Les Organismes canadiens de réglementation en assurance (OCRA) ont annoncé la publication d’un nouvel outil de référence pour les courtiers d’assurance, intitulé « Cybersecurity Readiness » (préparation à la cybersécurité).
« Les cybermenaces constituent un risque croissant qui pèse sans relâche sur le secteur de l’assurance. En effet, la technologie est devenue incontournable pour les intermédiaires, tant pour l’exercice de leurs activités que la conservation des renseignements sur leurs clients », écrivent les membres des OCRA dans un communiqué diffusé ce 13 septembre 2023.
Le rapport souligne, quant à lui, l’importance pour les intermédiaires de gérer les risques cybernétiques et de favoriser « une culture où chacun comprend la portée de son rôle ». Les membres affirment que chaque personne au sein d’une organisation devrait savoir comment contribuer à la préparation de l’organisation à la cybersécurité.
« Les membres des OCRA invitent les intermédiaires à examiner leurs pratiques actuelles de cybersécurité et à prendre toutes les mesures de préparation nécessaires en la matière », ajoute l’organisme dans son communiqué.
Être proactif face au risque
Dans le document, ils poursuivent en disant que l’utilisation de la technologie s’accompagne de la responsabilité de la protéger contre tout accès non autorisé.
La cybersécurité fait référence à « toutes les pratiques visant à protéger la confidentialité, l’intégrité et l’accessibilité des données sur les activités, le personnel et la clientèle de l’organisation qui se trouvent dans ses systèmes informatiques.
Toute défaillance dans ces protections constitue un « cyberincident », écrivent-ils. « Être proactif dans la mise en œuvre de mesures appropriées est essentiel pour prévenir les incidents cybernétiques qui pourraient compromettre ou entraîner le vol d’informations sur les clients. »
Le document conseille aux intermédiaires en assurance de déterminer quelles sont les données susceptibles d’intéresser les cybercriminels, ainsi que les systèmes qui pourraient être vulnérables aux attaques. Les auteurs suggèrent également de revoir les pratiques en matière de cybersécurité et de prendre les mesures appropriées pour faire face aux risques identifiés ou les atténuer.
Enfin, il est recommandé aux entreprises de faire appel à des professionnels de la cybersécurité, tout en examinant les mesures de sécurité sous l’angle de la conformité avec la législation applicable en matière de protection de la vie privée.
Former ses équipes
Le contrôle de l’accès, l’élimination en toute sécurité des appareils informatiques, des enregistrements électroniques et des données, les sauvegardes d’informations, les tests de vulnérabilité sont également abordés. Le document fournit également des éléments de langage pour s’adresser aux personnes et les sensibiliser.
Il faut ainsi « comprendre que l’individu est la première ligne de défense contre les cyberincidents et, par conséquent, toujours être attentif aux actions posées et des causes potentielles de cyberincidents », indiquent-ils. « La cybersécurité est l’affaire de tous, il importe d’être au fait de tout acte pouvant entraîner un cyberincident et d’en faire le signalement sans tarder. » Le rapport conclut en encourageant les intermédiaires à investir dans la détection des intrusions, à nommer une équipe de réponse et à établir un protocole de communication par écrit pour guider l’équipe de réponse. L’OCRA indique qu’il faut « mettre à l’essai le plan d’intervention en cas de cyberincident pour tester son l’efficacité et y apporter les ajustements nécessaires ». Le rapport ajoute par ailleurs une liste d’éléments à inclure dans ces plans.