En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Les cybercriminels passent par les fournisseurs tiers pour cibler les assureurs

Visibilité360, version PDF à partager

par Kate McCaffery | 20 février 2025 14:55

Un nouveau rapport de SecurityScorecard, une firme spécialisée dans l’évaluation et la gestion des risques en cybersécurité, révèle que certaines des plus grandes vulnérabilités dans la chaîne d’approvisionnement du secteur de l’assurance concernent les fournisseurs tiers qui assurent la distribution et les services.

Dans ce rapport intitulé A Cyber Security Assessment of the Insurance Industry Supply Chain, ses auteurs indiquent que la position de sécurité du secteur est mitigée. ils recommandent notamment aux assureurs de porter une attention particulière aux partenaires tiers qui affichent des performances inférieures en matière de cybersécurité.

Contournement des défenses

« Un score moyen plus élevé ne protège pas nécessairement les entreprises contre les attaques impliquant des brèches chez des tiers. En fait, les cybercriminels peuvent délibérément cibler des entreprises mieux protégées en exploitant les maillons faibles de leur chaîne d’approvisionnement. Les données le confirment », précisent-ils.

Notamment, ils soulignent que les entreprises touchées par des brèches chez des tiers avaient souvent des scores de sécurité supérieurs à la moyenne. « Cela suggère que les attaquants ont contourné des défenses solides en s’attaquant à des partenaires plus vulnérables. »

Les rançongiciels restent la principale menace pour le secteur, ajoutent-ils. « Pourtant, le degré de domination des rançongiciels sur cet échantillon, éclipsant les autres menaces, a surpris nos chercheurs. »

« Il existe une forte corrélation entre les rançongiciels et les intrusions auprès de fournisseurs tiers, et leur chevauchement est important. Les moyens d’attaque de tierces parties permettent aux opérateurs de rançongiciels d’étendre leurs opérations efficacement, en touchant de nombreuses cibles à la fois », poursuivent-ils.

Risques de sécurité

Les auteurs du rapport se penchent également sur les atteintes à la sécurité de tiers, les variations géographiques, les risques de sécurité courants et les problèmes de sécurité spécifiques. Les problèmes de sécurité des applications représentent près de la moitié des problèmes ayant le plus d’impact, tandis que les problèmes de sécurité des réseaux représentent 40 % des problèmes ayant le plus d’impact. Les trois principaux problèmes de sécurité abordés concernent tous un chiffrement faible ou manquant.

Par ailleurs, les attaques par des logiciels malveillants et les compromissions d’appareils ont touché 17 % des 150 plus grandes entreprises d’assurance examinées à l’échelle mondiale. De plus, 56 % de ces entreprises ont enregistré au moins une compromission d’identifiants au cours des deux dernières années.

« Les assureurs américains se démarquent par un nombre bien plus élevé d’identifiants compromis, ce qui fausse les données », soulignent les chercheurs. Parmi ses recommandations, SecurityScorecard suggère d’adopter des pratiques de gestion des risques liés aux tiers (Third-Party Risk Management—TPRM) plus rigoureuses lors de partenariats avec des entreprises américaines et chinoises. L’entreprise recommande également de s’assurer que les fournisseurs disposent eux-mêmes de solides programmes TPRM.

Taux de brèches les plus élevés aux États-Unis

Les assureurs et réassureurs obtiennent généralement les meilleurs scores en matière de cybersécurité, tandis que les agences, courtiers et fournisseurs de logiciels et services informatiques liés à l’assurance figurent parmi les moins performants.

« Le taux de brèches est le plus élevé dans l’ensemble du secteur de l’assurance aux États-Unis, incluant tant les assureurs que les agences et courtiers », écrivent les auteurs. Sur les 42 entreprises ayant subi une brèche, 12 en ont connu plusieurs.

« Ces entreprises touchées à répétition sont principalement des assureurs, agences et courtiers basés aux États-Unis », précise-t-on dans le rapport. « Sur les 150 entreprises étudiées, 42 (28 %) ont subi au moins une brèche signalée publiquement, totalisant 64 incidents de sécurité. »

Le document souligne que les assureurs et réassureurs sont soumis aux réglementations et exigences de solvabilité les plus strictes, ce qui se traduit par de meilleurs scores de sécurité. Les fournisseurs tiers spécialisés dans le traitement des réclamations se situent dans la moyenne, tandis que les agences, courtiers et fournisseurs de logiciels et services informatiques propres au secteur obtiennent les scores les plus faibles. « Ces résultats s’alignent sur une tendance observée dans d’autres industries : les fournisseurs de produits et services informatiques ont souvent des scores inférieurs à ceux de leurs clients. »

Le rapport se conclut sur une mise en garde contre les risques spécifiques associés aux agents et courtiers, qui augmentent l’exposition des entreprises aux attaques par ingénierie sociale et autres menaces de cybersécurité. « La pression liée aux ventes et à la réactivité peut réduire la vigilance des employés lorsqu’ils interagissent avec des tiers inconnus », peut-on lire.

Les plus populaires en Société

Une bonne couverture d’assurance est liée à la résilience financière des ménages