1. Insights
  2. Blog
  3. Banque & Assurance
  4. Assurances : à quelles lois et règlementations cyber doivent-elles se conformer ?

Assurances : à quelles lois et règlementations cyber doivent-elles se conformer ?

Le secteur de l’assurance étant particulièrement ciblé par les hackers, le risque cyber est très encadré juridiquement.  

L’assurance : un secteur particulier 

Les sociétés d’assurance sont concernées par les risques cyber de deux manières. Premièrement, en tant qu’entreprises potentiellement victimes d’attaques. De par leur secteur activité, elles peuvent également être amenées à assurer des entités contre le risque cyber.   

Une double-casquette qui renforce la criticité des cyberattaques. Celles-ci pourraient entraîner des dommages graves et persistants pour les assurés, voire même, dans le pire des cas, une paralysie du secteur assurantiel dans son ensemble. 

Assurance : des données très attractives pour les hackers 

Les assureurs collectent, stockent et gèrent des volumes importants de données, certaines très privées et donc sensibles(1). Ils sont donc des cibles de choix pour les cybercriminels qui recherchent des informations qui pourront ensuite être utilisées à des fins illégitimes (espionnage, harcèlement, corruption, etc.).  

Le coût annuel moyen des cyberattaques(2) dans le secteur des assurances était de 15,76 millions en 2018 contre 12,93 millions de dollars en 2017. Une augmentation qui va de pair avec un risque croissant : en juillet 2020, le risque cyber a été classé à l’échelle européenne comme le deuxième risque le plus important pour le secteur de l’assurance(3). 

Assurance : des attaques très médiatisées 

Ces dernières années, le secteur de l’assurance a connu des violations de données très médiatisées, notamment aux Etats-Unis. L’une d’entre elles, ayant eu lieu en 2015, est restée tristement célèbre à cause du nombre d’assurés touchés. Près de 91 millions de clients(4) des compagnies Anthem, Blue Cross Blue Shield et Premera Blue ont vu leurs données fuiter. Ne serait-ce que pour Premera Blue, la liste des données personnelles dérobées atteint les 11 millions. Parmi ces données : les noms des clients, leurs adresses, leurs données de cartes de crédit, leurs numéros de sécurité sociale, leurs dates de naissance mais aussi des fichiers décrivant blessures et incidents subis ou encore le nom de leur(s) employeur(s), etc.  

En Europe, selon l’European Insurance and Occupational Pensions Authority(5), les vecteurs d’attaque les plus couramment utilisés contre les assureurs sont :  

  • les e-mails de phishing,
  • les logiciels malveillants (ransomwares),  
  • l’exfiltration de données et les attaques par déni de service.  

Les impacts de ces incidents étant le plus souvent des atteintes à la disponibilité et à la confidentialité des actifs. 

La cybersécurité dans l’assurance : un risque très encadré juridiquement 

Les principes fondamentaux de l’assurance ne traitent pas spécifiquement du risque cyber. Ils fournissent seulement une base générale aux autorités de contrôle pour l’aborder. Jusqu’à un passé récent, le traitement du cyber-risque dépendait uniquement du bon vouloir des assureurs et les autorités n’avaient pas de pourvoir de contraintes.  

C’est tout à fait le contraire dans le secteur bancaire où le règlement nº 97-02 du Comité de la règlementation bancaire et financière, datant de février 1997, a donné très tôt aux autorités de contrôle une base juridique pour s’assurer de l’existence au sein des établissements d’un dispositif de contrôle des systèmes d’information. La situation a changé aujourd’hui ; règlementations et directives européennes traitant de la cybersécurité encadrent désormais le secteur assurantiel.  

Assurance et cyber : les règlementations européennes 

Solvabilité II 

Le nouveau cadre juridique de Solvabilité II invite les organismes d’assurance à mesurer plus précisément l’ensemble de leurs risques. Pour rappel, Solvabilité II est « un ensemble de règles fixant le régime de solvabilité applicables aux entreprises d’assurances dans l’Union européenne » (source : Banque de France).  

Comme c’est le cas dans le domaine bancaire, les risques opérationnels liés aux systèmes d’information doivent désormais être mieux évalués et davantage encadrés : les organismes doivent disposer d’un système de gestion des risques qui préserve en particulier la sécurité, l’intégrité et la confidentialité des informations. 

L’article 258 du règlement 2015/35(6) pose des exigences en termes d’objectifs et de sécurité du SI. Il enjoint les entreprises d’assurance à se doter de systèmes qui produisent des informations complètes, fiables, claires, cohérentes, pertinentes et à jour sur les activités de l’entreprise, les engagements qu’elle assume et les risques auxquels elle est exposée. 

La directive NIS et le RGPD 

En plus de ces textes sectoriels, d’autres textes juridiques non spécifiques à l’assurance concernent le secteur. C’est le cas de la directive NIS (Network and Information System Security), adoptée le 6 juillet 2016. Déclinée dans chaque pays de l’Union Européenne, elle garantit un niveau de sécurité commun à tous les pays membres. 

C’est le cas également du Règlement Général sur la Protection des Données (RGPD). Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne. L’assurance traitant des informations sensibles, une vigilance particulière est de mise. Pour faire face aux risques de perte d’intégrité ou de fuites de données, il est nécessaire que les différents acteurs du secteur mettent en place des mesures de sécurité comme, par exemple, le chiffrement des données à l’envoi, en transit ou au repos. 

En raison de l’impact négatif que pourrait avoir une interruption du service des assureurs, ceux-ci doivent également respecter des obligations au regard de la sécurité des systèmes d’information et des réseaux. Eu égard à la directive NIS, ces obligations concernent quatre domaines : la gouvernance de la sécurité, la protection et la défense des réseaux et des SI, ainsi que la résilience des activités. Dans chaque domaine, nous trouvons des règles spécifiques comme l’analyse de risque, l’authentification, le cloisonnement, le droit d’accès, l’accès distant, les audits de sécurité. 

Conclusion 

Les assurances manipulent des données très sensibles. Une des premières choses à faire avant tout travail de mise en conformité serait de réaliser une étude d’impact sur les données personnelles comme le préconise le RGPD. Une pratique pourtant trop peu répandue… 

Merci à Ibrahima Sene, consultant en cybersécurité chez Orange Cyberdefense France, pour ses explications.

Pour être accompagné dans vos mises en conformité règlementaires, n’hésitez pas à nous contacter.

Notes :

(1)Les données sensibles sont des informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale. Ce sont également les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique. 

(2)Source: The Cost of Cybercrime Report by Accenture (2019). Etude réalisée sur 11 pays

(3)Source : Financial Stability report (July 2020) by the European Insurance and Occupational Pensions Authority

(4)Source : Issues paper on cyber risk to the insurance sector (August 2016) by the IAIS

(5)Source : Cyber risk for insurers – Challenges and Opportunities report (2019) by the European Insurance and Occupational Pensions Authority

(6)RÈGLEMENT DÉLÉGUÉ (UE) 2015/35 DE LA COMMISSION du 10 octobre 2014 complétant la directive 2009/138/CE du Parlement européen et du Conseil sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (solvabilité II)

 

Partager l'article