Perspectives
L’importance de la résilience dans le marché de la cyberassurance au Canada
Tout est bien qui répond bien
par Daniel Shum, Nick Galletto, Megan Brister et Aneesa Ruffudeen
Les assureurs détiennent une foule de renseignements confidentiels sur leurs clients. Pour cette raison, ils sont susceptibles d’être la cible de cybercriminels qui ne s’intéressent pas nécessairement à eux, mais qui cherchent plutôt à tirer profit de la vente de renseignements personnels ou de propriété intellectuelle. C’est tout aussi vrai pour d’autres organisations, mais les assureurs qui offrent de la cyberassurance, une pratique qui débute à peine au Canada, doivent d’autant plus se protéger. La cyberassurance donne accès à des renseignements en protection des données et à d’autres ressources qui obligent les sociétés de cyberassurance à comprendre l’importance de la gestion des cyberrisques mieux que leurs homologues des autres secteurs et, de même, à être très compétents en la matière. Appelons cela de l’ironie ou simplement le coût des affaires, mais c’est la réalité. Et même si un fournisseur de cyberassurance est victime d’une attaque, sa réaction en dira long sur son état de préparation et sa fiabilité, ainsi que sur sa gamme de produits de cyberassurance.
Mais prenons un instant pour revenir en arrière.
Lorsqu’il est question de cybersécurité, trois mots reviennent souvent : sécurité, vigilance et résilience. Les organisations qui cherchent à résister à la constante tempête actuelle de cybermenaces doivent posséder ces trois qualités.
Les assureurs sécuritaires sont ceux qui ont établi les contrôles appropriés pour se protéger contre les menaces connues et émergentes et qui sont conformes aux normes et aux règlements, notamment en veillant à ce que leurs processus de mise en œuvre d’innovations liées aux entreprises de technologie dans le secteur de l’assurance respectent une mentalité axée en priorité sur la sécurité et en mettant en œuvre des contrôles pour gouverner l’échange de renseignements avec des tiers.
S’ils sont vigilants, ils comprennent l’incidence des voitures autonomes et des paiements virtuels, entre autres, sur leur environnement de cybermenaces, ils ont défini les risques liés à la situation et ils sont sensibilisés aux risques pour détecter les infractions et les anomalies.
Enfin, les assureurs résilients sont en mesure de faire face aux incidents critiques (par exemple, une tentative d’infiltration de dossiers médicaux personnels sur leur réseau), de rétablir rapidement leurs activités et de réparer tout dommage à leur entreprise ou à leur marque.
Ce sont les principes d’un solide programme de gestion des cyberrisques et ils s’appliquent à toutes les entreprises, sans exception. C’est à la fois une bonne et une mauvaise nouvelle pour les assureurs. En effet, bien que les produits d’assurance soutiennent la croissance dans le secteur, un pirate qui réussirait à attaquer un fournisseur de cyberassurance, surtout si celui-ci n’est pas résilient, viendrait tout remettre en question.
Tout est bien qui répond bien
Sur le plan stratégique, bien réagir à une attaque (en d’autres termes, être résilient) signifie trouver un équilibre entre la reprise ou l’amélioration des capacités et le rétablissement de la confiance auprès d’une multitude de parties prenantes.
La reprise des activités de base et des capacités opérationnelles est bien entendu la priorité dans le cas d’attaques perturbatrices ou destructrices. Les capacités propres aux cyberrisques ont toutefois également besoin d’être améliorées pour sécuriser l’environnement de manière plus efficace, offrir une meilleure visibilité des menaces en cours et réduire l’incidence des attaques futures. Restaurer la confiance sans harmonisation avec une feuille de route des capacités pourrait conduire à une fausse confiance, augmentant l’exposition potentielle et les risques pendant le processus de reprise.
En ce sens, la résilience vise à supprimer tout doute à l’égard de la sécurité des actifs numériques de l’organisation, par exemple, les dossiers médicaux personnels ou les informations de paiement, et de sa préparation en cas d’un nouvel incident, le cas échéant.
Car un incident se reproduira assurément.
Alors, comment concentrer ses efforts et où? Chaque intervention à la suite d’un incident a un cycle de vie qui commence idéalement avant un incident et mise sur des capacités proactives et réactives.
Les capacités proactives comprennent les suivantes :
- La gouvernance et la stratégie, qui englobent l’élaboration et la conception d’un programme d’intervention en cas d’incident, incluant non seulement l’équipe des TI, mais aussi un modèle d’intégration clair des équipes des services juridiques, des communications et des talents et des activités opérationnelles;
- Pour les fournisseurs d’assurance en particulier, ces capacités comprennent les équipes de développement de produits et services novateurs afin d’accroître leur accessibilité numérique.
- L’architecture et l’exploitation, qui englobent l’élaboration et la mise en œuvre d’une infrastructure résiliente des TI, de modèles d’architecture qui intègrent la sécurité dans vos solutions, et des processus qui font en sorte que les équipes opérationnelles prennent des décisions en tenant compte des risques;
- Étant donné l’augmentation des entreprises de technologie dans le secteur de l’assurance et des paiements entre particuliers, tous les assureurs doivent déterminer s’ils doivent mettre en œuvre un processus de développement agile qui met l’accent sur la sécurité.
- L’identification, c’est-à-dire le suivi persistant et continu des actifs d’information, des accès au système, et des fonctions et processus d’affaires essentiels qui doivent être protégés en priorité contre les attaques;
- Des guides, qui fournissent des directives pour des scénarios de menaces pertinentes pour les assureurs, y compris les violations de la confidentialité, les rançongiciels, les logiciels espions et les logiciels malveillants;
- Les simulations et les jeux de guerre, qui permettent aux assureurs de s’entraîner à tester leurs capacités d’intervention en cas d’incident dans un scénario simulé ou quasi réel et d’apprendre des leçons dans un environnement « sécuritaire »;
- La détection d’incidents, qui exploite les renseignements sur les cybermenaces pour mettre sur pied un programme de cybersurveillance exhaustif.
À mi-chemin entre la proaction et la réaction vient le triage. Tout comme dans les salles d’urgence des hôpitaux, le triage comprend la collecte de renseignements sur de multiples incidents, dont on établit ensuite la corrélation et qui sont classés par ordre de priorité afin de déterminer les étapes d’une réaction appropriée. Les fournisseurs d’assurance doivent donc prendre une décision. Prendront-elles des mesures immédiates pour contenir la menace, ou laisseront-elles aller les choses afin d’observer et d’apprendre? Une évaluation des compromissions peut vous aider à déterminer si votre environnement a déjà été compromis par des auteurs de menaces avancées, par exemple, un initié malveillant qui transmet des secrets commerciaux liés à vos politiques de sélection des risques.
Puisque le cycle de vie se termine avec une réponse, les capacités sont orientées vers les éléments suivants :
- La réaction en elle-même, qui devrait être axée sur les activités de confinement qui empêchent une incidence plus grande sur l’organisation et l’éradication pour éliminer la menace;
- La reprise, qui permet à l’entreprise de poursuivre ses activités; à ce moment, les contrôles restrictifs sont supprimés;
- Le maintien des efforts, pour l’élaboration d’un plan d’atténuation des risques à long terme afin de prévenir d’autres attaques semblables et d’apprendre de celle-ci.
Autoassurance contre les cyberrisques
Tout cela ne servira cependant à rien si la direction de l’organisation ne se mobilise pas. Lors d’un incident, les éléments évidents sont souvent laissés de côté ou mal gérés, si bien que les cyberincidents peuvent rapidement devenir des problèmes critiques pour l’entreprise. Pour cette raison, une équipe d’intervention en cas d’incident au niveau de la direction devrait diriger la prise de décisions et l’établissement des priorités en matière d’améliorations et de restauration, tant pour les capacités que la confiance.
Il y aura des défis. Vous devrez envoyer un message précis et uniforme au moyen d’une vaste gamme de communications à divers auditoires, notamment à propos de ce qui s’est réellement passé, de qui a été touché, de ce que vous comptez faire et des progrès réalisés. Tout cela est beaucoup plus facile à dire qu’à faire pour un cyberassureur qui vient d’être victime d’une cyberattaque. Vous devrez sans doute répondre à un volume exceptionnel de demandes d’information de la part des clients, des partenaires, des fournisseurs, etc. Vous aurez peut-être même à faire face à des menaces de poursuite ou de mesures réglementaires et devrez déterminer quels recours s’offrent à vous, le cas échéant.
Alors, sociétés de cyberassurance, rendez-vous service et aidez vos titulaires de police en vous préparant à l’inévitable. Faites-nous confiance : si vous avez préparé des plans pour devenir résilient et que vous savez comment bien réagir, vous aurez une longueur d’avance.
Même si vous êtes un peu en retard.