BOXX Insurance Inc: www.boxxinsurance.com
Le 6 mai dernier, l’ACIFA a tenu un webinaire intitulé « Problèmes liés à la cybersécurité dans l’industrie de l’assurance – Risques et mesures d’atténuation ». L’analyse de recherche de l’ACIFA, Robyn Jennings, a animé le webinaire. Elle était accompagnée d’un grand spécialiste de la cybersécurité : Neil Jardine, dirigeant principal de l’exploitation informatique et des réclamations chez BOXX Insurance. La discussion portait essentiellement sur la prévalence des cybermenaces et les façons dont les institutions financières peuvent se protéger contre les atteintes à la sécurité informatique et la cybercriminalité.
De nombreux représentants des 14 entreprises membres et des 12 entreprises associées de l’ACIFA ont participé à ce webinaire, ainsi que des représentants d’associations sectorielles connexes, notamment l’Association canadienne des compagnies d’assurances de personnes et l’Association canadienne de l’assurance voyage. Des représentants de plusieurs organismes de réglementation des assurances et des services financiers ainsi que d’organismes d’élaboration des politiques ont également participé au webinaire, notamment les organismes gouvernementaux suivants :
- Insurance Council of British Columbia
- Gouvernement de la Colombie-Britannique
- Gouvernement de l’Alberta
- Autorité des marchés financiers (AMF) du Québec
- Autorité ontarienne de réglementation des services financiers
- Agence de la consommation en matière financière du Canada
- Ministère des Finances du Canada
R. Jennings a commencé le webinaire en remerciant Neal Jardine et en lui demandant pourquoi il a décidé de faire carrière dans le domaine de la cybersécurité. Il a précisé qu’il s’intéressait depuis longtemps à ce sujet, mais que lorsqu’il est arrivé dans le secteur de l’assurance en 2005, le sujet n’était pas encore une priorité. La situation a changé en 2014, lorsque les réclamations liées à la cybersécurité ont commencé à apparaître. À l’origine, bon nombre d’entre elles étaient gérées par des avocats. N. Jardine était curieux de savoir comment les pirates informatiques accédaient à divers ordinateurs centraux, ce qu’ils y faisaient et si de nouveaux vecteurs d’attaque apparaissaient. C’est ainsi qu’il a commencé à s’orienter progressivement vers la cybersécurité et le soutien aux entreprises qui se remettent de cyberattaques.
N. Jardine a expliqué ce que signifie la cybersécurité traditionnelle et en quoi BOXX Insurance se distingue des autres entreprises du secteur. Dans les années 1980, le marché traditionnel de la cybersécurité était axé sur la cyberassurance basée sur les applications, ce qui consistait à poser une série de questions aux entreprises afin d’évaluer les mesures qu’elles avaient mises en place. Il s’agissait d’un processus de vérification ponctuel. Cependant, le problème lié à cette approche est que les vecteurs d’attaque sur le marché de la cybersécurité évoluent en permanence. Les menaces évoluent, et les mesures de protection qu’une entreprise avait mises en place il y a un mois peuvent devenir inefficaces par la suite. Il a comparé la cyberassurance traditionnelle à l’authentification multifactorielle (AMF). Il y a cinq ans, les membres du secteur pensaient que l’AMF offrait une protection infaillible. Si l’AMF présente toujours des avantages, elle n’est toutefois pas aussi efficace que ce que nous pensions initialement, car les pirates informatiques ont trouvé des moyens de la contourner.
L’assurance traditionnelle reposait initialement sur un format de questions-réponses, suivi d’une souscription. Aujourd’hui, la souscription a évolué vers une approche plus dynamique qui combine la technologie et les modèles traditionnels. Les clients continuent de passer par un courtier pour comprendre la cyberassurance et souscrire une police. Sans doute, l’aspect le plus intéressant de cette application est le domaine du client, car il permet aux assureurs d’adopter un style d’assurance plus moderne, qui consiste à sonder le client à partir d’un port externe. Le sondage de port est une analyse de sécurité qui permet d’évaluer les sites exposés à des fuites, les atteintes à la sécurité des données, les balayages de mots-clés sur Internet, etc. Ainsi, alors que l’assurance traditionnelle repose sur un système de questions-réponses ponctuel, BOXX Insurance s’est orientée vers un modèle de souscription qui effectue des analyses et des vérifications tout au long de la durée du contrat, et pas seulement au moment de la souscription. Il s’agit ici d’adopter des modèles proactifs plutôt que réactifs.
L’assurance ne doit pas se limiter à un simple transfert de perte, mais doit également servir de moyen de prévention. De nombreuses polices de cyberassurance fournissent désormais aux clients des outils pour gérer les attaques potentielles. BOXX Insurance évolue vers un environnement interconnecté, où elle fait partie des services de cyberprévention de ses clients. Cette approche est particulièrement avantageuse pour les petites et moyennes entreprises (PME), qui sont nombreuses au Canada. N. Jardine a souligné qu’à l’avenir, la plupart des clients de cyberassurance seront des PME qui n’ont pas accès à ces services de manière indépendante.
R. Jennings a demandé si les grandes institutions financières (IF) ou les petites et moyennes entreprises (PME) étaient plus exposées aux cyberattaques, ou si le risque était le même. N. Jardine a expliqué que les grandes institutions financières étaient autrefois considérées comme les principales cibles des cyberattaques, mais que ce n’est plus le cas aujourd’hui, car ces organisations ont déjà mis en place des mesures de cybersécurité robustes. Récemment, BOXX Insurance a observé que les grandes entreprises cherchent à renforcer leurs chaînes d’approvisionnement, notamment auprès des PME avec lesquelles elles traitent, car ce domaine est vulnérable. Les atteintes à la sécurité dans la chaîne d’approvisionnement peuvent nuire à la réputation des institutions financières et compromettre leurs activités, car elles dépendent de ces petites organisations, qui sont plus vulnérables. De plus, au Canada, les grandes entreprises sont moins nombreuses que les petites. Par conséquent, les pirates informatiques ont davantage d’options et d’occasions auprès des PME.
Dans le cas de l’ACIFA, N. Jardine a expliqué que les membres de l’association seraient probablement intéressés par une assurance contre les risques liés à l’interruption contingente des activités. Les membres de l’ACIFA sont exposés en raison de leurs fournisseurs, et non en raison des lacunes de leur réseau. Les grandes institutions financières souhaitent surveiller et recenser les fuites tout au long de leur chaîne d’approvisionnement afin de déterminer si elles souhaitent continuer à collaborer avec une entreprise donnée ou diversifier leurs activités.
R. Jennings a demandé à N. Jardine de donner un exemple concret de cyberattaque et d’expliquer comment les organisations devraient ou ne devraient pas réagir. Il a souligné qu’il existe plusieurs types de cyberattaques, mais que la criminalité financière et la fraude sont les plus courantes. Ce type d’activité est le plus lucratif et ne nécessite pas de moyens sophistiqués. Un exemple typique est la fraude par courriel : les pirates informatiques déterminent qu’une entreprise fait affaire avec une autre, soit à partir de publications sur les réseaux sociaux, soit à partir de publicités en ligne. Ils rédigeront ensuite une chaîne de courriels qui semblera provenir du président de l’une des entreprises et adressée à l’autre entreprise, dans laquelle ils décriront en détail une conversation qui confirme le paiement d’un service ou d’une technologie vocale. Cette chaîne de courriels sera transmise au service des comptes payables, avec le faux courriel du président en copie, pour demander le paiement. Si le personnel chargé des comptes payables décide de vérifier auprès de son président, il utilise souvent le courriel mis en copie, qui sera presque identique au courriel réel du président. Bref, ces employés discutent avec la personne malveillante qui se fait passer pour le président. Il y a quelques années, les pirates informatiques s’introduisaient dans les comptes de messagerie pour y trouver de vraies factures. Aujourd’hui, grâce à l’AMF, ils ont pris du recul, mais continuent de créer des courriels et des factures qui semblent authentiques.
Quelles mesures les institutions financières doivent-elles prendre alors? BOXX Insurance recommande à ses clients d’envoyer chaque année à leurs clients un avis pour confirmer que leurs données bancaires n’ont pas changé. Le client doit appeler l’institution financière à un numéro désigné et prédéfini pour fournir ces nouvelles informations, si les données bancaires ont changé.
Auparavant, les groupes de rançonneurs infiltraient le système dorsal ou le système de données d’une organisation, cryptaient tout, puis volaient les données. L’inconvénient de cette méthode tient au fait que le vol de données nécessite beaucoup de temps et d’efforts. En effet, il faut disposer d’un système performant pour mener une opération d’une telle ampleur. Au fur et à mesure que ces cyberattaques s’intensifiaient, de nombreuses entreprises ont pris conscience de la situation et ont commencé à utiliser des sauvegardes redondantes en dehors de leurs systèmes dorsaux pour conserver leurs données. Cette évolution a incité les groupes de rançonneurs à passer du rançonnage en tant que service au rançonnage en tant qu’exfiltration de données. Aujourd’hui, les groupes de rançonneurs déploient de petits programmes qui peuvent être intégrés à des composants logiciels, comme les courriels, pour infiltrer le système d’une entreprise et siphonner ses données. Les pirates informatiques extorquent ensuite de l’argent à l’entreprise en menaçant de publier ces données en ligne, souvent sur le Web clandestin.
Il y a quelques dizaines d’années, les pirates informatiques agissaient souvent seuls. Aujourd’hui, les pirates informatiques, ou cybercriminels, font plus souvent partie de groupes organisés. Bien que des pirates informatiques individuels existent toujours, la majorité de ces criminels fonctionnent comme des entreprises. Ils ont souvent un président, plusieurs divisions et une équipe de codage. Selon les informations recueillies par le FBI aux États-Unis, certaines de ces organisations disposent même de services des ressources humaines et versent des primes de fidélisation à leurs employés. R. Jennings a demandé si ces criminels agissent en tant qu’organisations établies et si cette structure permet de les repérer plus facilement. N. Jardine a précisé que cette structure à la fois facilite et complique la tâche de les trouver. Un grand nombre de ces organisations criminelles sont présentes sur le Web clandestin, notamment sur des sites où elles publient la liste de leurs victimes et indiquent où les informations sont à vendre. Il est facile d’obtenir ces informations, mais il est difficile de trouver le groupe physique. Ils masquent souvent leurs adresses IP ou ciblent des régions du monde différentes de leur emplacement réel. Certains pays ont des lois moins strictes en matière de cybercriminalité. En fait, certains de ces groupes sont même soutenus par l’État, car les gouvernements y voient un moyen de générer des revenus. Le problème est que lorsqu’un membre d’un de ces groupes est arrêté, les autres membres se dispersent et forment leurs propres organisations, ce qui augmente le nombre d’organisations criminelles actives.
Certaines de ces organisations se décrivent elles-mêmes comme des gangs. À leur avis, si vous payez une facture ou modifiez vos coordonnées bancaires parce que vous avez été ciblé, vous avez commis une erreur et devez donc assumer la responsabilité. Il y a plusieurs décennies, on disait que le courriel était le moyen de communication le plus fiable. Aujourd’hui, c’est tout le contraire : le courriel n’est plus un moyen sûr de communiquer.
R. Jennings a demandé comment s’établit l’équilibre entre les règlements gouvernementaux sur la cybersécurité et les mesures de protection mises en place par les organisations. L’un est-il plus important que l’autre? N. Jardine a répondu que les deux sont essentiels pour relever ce défi. Les institutions financières ont une responsabilité interne, tout comme le gouvernement. On lui a demandé s’il pensait que le gouvernement devrait adopter une loi pour rendre obligatoire la souscription d’une cyberassurance pour les entreprises. À son avis, il ne s’agit pas d’un moyen efficace pour protéger les organisations. Il recommande plutôt que le gouvernement définisse des exigences que les entreprises doivent respecter, de manière à ce que chaque entreprise soit libre de décider comment gérer les risques. R. Jennings a posé une question de suivi au sujet de la dimension internationale de la cybercriminalité et des mécanismes de protection mis en place par les gouvernements par rapport à ceux des organisations. N. Jardine a fait remarquer que, bien que la cybercriminalité ne connaisse pas de frontières, certains pays ou certaines régions d’un même pays sont plus fréquemment visés que d’autres. Les États-Unis sont le pays le plus touché au monde par la cybercriminalité. Les cybercriminels ne choisissent pas nécessairement un endroit plutôt qu’un autre, sauf si ce choix leur est profitable. En ce qui concerne la réglementation internationale sur la cybercriminalité, le règlement général sur la protection des données (RGPD) de l’Union européenne est excellent et a incité d’autres pays à mettre en place des mécanismes de contrôle plus efficaces. Les États-Unis ont des exigences strictes en matière de déclaration, qui placent cette question au niveau des conseils d’administration. Le Canada affiche également de bons résultats en ce qui concerne ses projets de loi sur la protection de la vie privée. Il a noté que, partout dans le monde, BOXX Insurance a constaté la mise en place de meilleurs mécanismes de contrôle. Les entreprises sont de plus en plus prudentes en ce qui concerne la collecte et le traitement des données, notamment grâce à une formation adéquate de leurs employés. N. Jardine dit qu’il est content que les entreprises soient moins critiquées pour avoir subi une atteinte à la sécurité que pour ce qui a été volé et les méthodes utilisées. Il a mentionné les exemples de Google, Amazon et Microsoft, des entreprises gigantesques qui ont toutes été victimes d’atteintes à la sécurité des données et de failles de sécurité. Doivent-elles été punies pour avoir été attaquées ou pour avoir mis en place des contrôles insuffisants pour se protéger contre un tel événement, et ces mécanismes de contrôle étaient-ils raisonnables au moment de l’attaque?
N. Jardine a fait remarquer qu’une entreprise subira tôt ou tard une cyberattaque. R. Jennings lui a demandé de préciser dans quelle mesure les assureurs et les institutions financières devraient s’inquiéter dans le cadre de leurs opérations quotidiennes. N. Jardine a réaffirmé qu’il ne s’agissait pas de savoir si la situation allait se produire, mais quand. Il a ensuite expliqué que le secteur en pleine croissance de la cybercriminalité comprend les pannes des services infonuagiques causées par des problèmes chez les fournisseurs de logiciels tiers. Cette remarque renvoie à ce qui a été dit précédemment au sujet de la chaîne d’approvisionnement. Un événement comme celui-ci n’est pas nécessairement de nature malveillante, même s’il peut l’être. Par exemple, CrowdStrike a subi une panne qui n’était pas malveillante, mais qui était attribuable à une erreur de code qui avait réussi à contourner ses mécanismes de contrôle. Le côté positif est que plus le nombre de personnes qui souscrivent une cyberassurance augmente, mieux les risques sont répartis. Une meilleure répartition des risques nous permet de recueillir davantage de données, et plus nous disposons de données, mieux nous pouvons établir les primes.
Où les compagnies d’assurance sont-elles les plus vulnérables? R. Jennings a mentionné des problèmes, comme les systèmes traditionnels et la réticence à adopter les nouvelles technologies. N. Jardine a répondu qu’il s’agit là d’obstacles inhérents, car ces problèmes seront toujours présents. L’IA a permis de mener des cyberattaques plus créatives, mais les politiques en matière de cybersécurité ne prévoient aucune restriction à cet égard. Le secteur commence déjà à afficher des pertes liées à l’IA. Les gens le comprennent et l’acceptent. Des vulnérabilités sont apparues dans certains domaines, comme la responsabilité et la confidentialité. Air Canada, par exemple, a créé un robot conversationnel qui a fourni à un passager des informations erronées concernant un remboursement. Le passager a intenté une action en justice. Air Canada a fait valoir devant les tribunaux qu’elle n’était pas responsable de cette information erronée, mais les tribunaux ont rejeté cet argument et ont jugé qu’elle était responsable, car il s’agissait du robot conversationnel d’Air Canada. N. Jardine a toutefois souligné que le rejet total de l’IA et des technologies émergentes pouvait comporter des risques, car les employés seraient susceptibles de les utiliser en secret sans protection adéquate.
R. Jennings a fait remarquer que de nombreux cybercrimes sont réussis en raison des erreurs humaines. Comment les organisations peuvent-elles se protéger contre ce phénomène, compte tenu du fait qu’il y aura toujours une composante humaine dans le travail? Les entreprises doivent instaurer une culture de soutien et de transparence. La haute direction doit faire savoir à ses employés qu’ils peuvent remettre en question et contester les décisions, afin que, lorsqu’une attaque survient, un employé se sente à l’aise de communiquer avec son gestionnaire pour confirmer, par exemple, les détails d’un paiement. Les entreprises doivent éviter de blâmer leurs employés, qui sont les victimes d’une attaque, car ces cybercrimes sont très sophistiqués. R. Jennings a fait remarquer qu’il est ironique que l’interaction humaine soit indispensable pour contourner les cyberattaques au milieu de toutes ces technologies émergentes et ces mesures de sécurité. N. Jardine a exprimé son accord.
N. Jardine a mentionné des entreprises qui ne sont généralement pas considérées comme vulnérables aux cyberattaques. Certains cybercrimes ne visent pas à extraire des données, mais à paralyser le fonctionnement d’une entreprise. Les cybercriminels peuvent utiliser ce type de moyen de pression pour extorquer de l’argent à des organisations non financières, comme les compagnies d’électricité ou les hôpitaux. En parlant des hôpitaux, N. Jardine a fait remarquer que de nombreux cybercriminels évitent les hôpitaux, car leur réputation pourrait être ternie. La réputation est importante pour le bon fonctionnement de ces organisations criminelles.
Bien qu’il n’y ait pas un secteur particulier au sein de l’industrie de l’assurance, les secteurs et les organisations qui possèdent de grandes quantités de données ont tendance à être plus souvent attaqués.
Pour conclure le webinaire, R. Jennings a demandé à N. Jardine s’il était optimiste ou pessimiste quant à l’avenir de la cybercriminalité. Il a répondu qu’il était optimiste. De plus en plus de gens parlent de cybercriminalité et de cyberassurance. Les connaissances ont une grande importance. Le pire qui puisse arriver lorsqu’une cyberattaque se produit, c’est que personne n’en parle. Nous devons continuer à sensibiliser le public à cette question, sans sentiment de honte ou de préjugé.
R. Jennings a remercié N. Jardine pour sa présence et pour la conversation enrichissante, puis a invité K. Martin à conclure le webinaire.
