En 2020, la menace constituée par les ransomwares a explosé : plus 300% en un an. C’est sur ce chiffre choc que s’est ouvert le webinaire organisé par l’ACSEL le 30 juin sur la chasse à la data. Plusieurs acteurs du milieu ont pu prendre la parole autour des nouveaux enjeux entourant ces données si sensibles. Au programme, des éclairages précieux de la part de quatre experts sur ce milieu obscur poussé par les événements sous le feu des projecteurs, et sur lequel le secteur assurance ne peut plus fermer les yeux.
L’explosion du cybercrime en 2020 est souvent attribuée à un unique fautif : le télétravail. Cependant, tout n’est pas aussi simple. Comme l’explique Yosra Barbier, le télétravail massif et soudain a fragilisé les systèmes informatiques des entreprises. Les écosystèmes sur lesquels repose le travail à distance n’étaient pas prêts à recevoir cette masse de demandes et de connexions. Avec des systèmes fragiles, des mauvais choix techniques, et des employés non sensibilisés aux risques cybers, la menace a trouvé un terrain fertile.
Quand on pense aux cyberattaques, on pense souvent aux rançonnages de grandes entreprises. Ce sont ces événements qui font la une des médias spécialisés. Récemment, Fujifilm, JBS ou encore Colonial Pipeline ont été la cible de ces logiciels malveillants, avec des demandes de rançons faramineuses atteignant plusieurs millions de dollars. Mais dans les faits, la plupart des victimes de ces attaques sont de plus petites structures. Pensez plutôt à des TPE ou des PME, des mairies ou encore des hôpitaux.
Laissez aussi tomber l’image désuète du hacker que vous avez en tête. Les acteurs malveillants ne travaillent pas tous de nuit dans des petits bureaux exigus. Ils ne veulent pas tous s’infiltrer dans les serveurs de la CIA pour faire tomber Washington et entraîner dans sa chute tout le système financier. Les acteurs malveillants ne travaillent pas non plus seuls, sans jamais vouloir savoir ce qui se passe dans le monde extérieur.
Aujourd’hui, être un acteur malveillant, c’est être un vrai professionnel. En développant des malwares applicables pour chaque entreprise, les pirates peuvent traiter du volume. Ce qui rapporte le plus est le déploiement massif de ces malwares. En ciblant des dizaines, voire des centaines d’entreprises qui payeront en majorité la rançon, les pirates peuvent engranger des sommes considérables. Les plus compétents peuvent aussi vendre leur malware à d’autres pirates, générant encore plus de profits.
Certains pirates décident aussi de commettre des méfaits à de plus petites échelles. Avec l’émergence des réseaux sociaux, certains citoyens sont victimes de ce qu’ils postent. Les pirates ne se gênent pas pour créer des fraudes élaborées à partir d’informations partagées sur les réseaux.
Aujourd’hui, deux entreprises sur trois décident de payer la rançon plutôt que de subir ses effets. En France, comme en Europe, les rançons se comptent généralement en quelques milliers d’euros. Cette somme est finalement assez mince pour récupérer toutes ses données et faire repartir son service sans ébruiter le problème. Pourtant, le tabou du piratage est en train de se lever. Pour les intervenants, les entreprises osent beaucoup plus avertir les autorités de ces incidents qu’auparavant.
Ce webinaire était aussi l’occasion de se pencher sur nos données de santé, leur valeur mais aussi leur impact. L’objectif de la malveillance a toujours été le même, numérique ou non : gagner de l’argent. Sur le marché noir de la donnée, nos données de santé se vendent à prix d’or. Comptez par donnée de 150 à 300 euros, une petite fortune ! Les données des hôpitaux et autres acteurs de la santé sont donc sans surprise convoitées par les criminels pour leur grande valeur.
Les attaques des hôpitaux sont des cas d’études très intéressants. En lançant un ransomware sur ces structures, les acteurs malveillants mettent à mal toute la chaîne de soin. Certains hôpitaux paient évidemment au plus vite la rançon, mais parfois le pire est déjà arrivé. Les ransomwares tuent, et ce n’est pas un phénomène qui risque de s’arrêter. En 2017, une attaque sur le NHS (le système de santé anglais) par le logiciel wannacry avait indirectement causé la mort de 600 à 900 patients.
Quand les cyberattaques ne paralysent pas les écosystèmes de santé, elles en subtilisent les données. Les intervenants ont tous repris un même slogan à ce sujet : nos données sont victimes d’une véritable ruée vers l’or. Mais à qui sont vendues ces données ? Qui est prêt à investir autant d’argent pour racheter nos soucis de santé ? Plusieurs réponses sont possibles : d’autres acteurs malveillants, des brokers de données de santé ou des entreprises pas très nettes, mais aussi des assurances.
Attention à ne pas vous emballer ! Votre assureur français n’est pas en train de trafiquer vos données de santé sur le marché noir contre votre numéro de téléphone. Il est absolument illégal en France de faire ce qui s’appelle du profiling financier depuis ce genre d’informations. La donnée de santé en France est récupérée de manière plus transparente que dans d’autres pays. Les questionnaires invasifs des mutuelles ou les examens de santé avant un prêt bancaire remplissent parfaitement ce rôle.
Mais, cette pratique est légale dans d’autres parties du globe. Aux Etats-Unis, votre assureur pourrait récupérer certaines de vos données de santé, et vous proposer ensuite un plan d’assurance adaptée ! Bien évidemment, peu d’informations filtrent sur ce genre de rachats de données. Ces situations existent, mais elles sont complexes à prouver et à documenter. La source de ces données, comme leur utilisation, demeurent toujours bien mystérieuses.
Mais la data n’a pas que des aspects négatifs ! Pour les assureurs, le profilage et les montagnes de données représentent des ressources inestimables. Pour proposer des tarifs personnalisés adaptés à chaque situation, des algorithmes sont créés pour traiter toutes ces données. Elles y détectent des logiques et des mouvements que les employés ne peuvent pas percevoir. On peut ici penser à la solution d’Akur8, une assurtech française, qui développe une intelligence artificielle pour faciliter la tarification et la modélisation des risques pour les assureurs et réassureurs.
Certaines assurances ont aussi commencé à développer des formules de protection et de garantie contre les risques cyber pour protéger les données des entreprises. Mais, pour les intervenants de l’ACSEL, ce plan va prendre l’eau dans peu de temps. En effet, l’ensemble des coûts induits par un ransomware sont en fait bien plus élevés que le prix de ces assurances. Le système n’est donc pas économiquement viable.
Une question reste cependant en suspens : comment les entreprises, et nous les internautes, pouvons mieux protéger nos données ? Qui que l’on soit, quand on confie des données, le plus important est de se renseigner sur les mesures de sécurité qui les entourent. Pour les entreprises confiant leurs données à des sous-traitants, la vigilance est de mise sur les conditions de stockage et d’exploitation des données.
Au final, une idée majeure ressort de ce webinaire : les datas sont le nouvel or du web. Il est simple de voguer sur Internet et de ne pas se soucier de l’endroit où atterrissent nos données. Mais, gardons à l’esprit que des acteurs malveillants sont prêts à tout pour les acquérir. Il faut donc être très prudent et vigilant face à ces questions de données personnelles, tout en gardant en tête le positif qu’elles peuvent nous offrir.
La pandémie de COVID-19 a pris les allures de tsunami pour la société entière. Aucun secteur n’a été épargné. L’assurance, en particulier, s’est trouvée plongée au cœur de plusieurs polémiques, dont celle autour de la brûlante question des pertes d’exploitation. Pour de nombreux observateurs, la communication n’a pas été à la hauteur et lui a fait manquer une magnifique opportunité de redorer son image. Cette impression générale est aujourd’hui confirmée par les chiffres.
En 2021, seuls 17% des Français se sentent en effet compris par leur assureur et déclarent apprécier les produits et services qu’il propose. Ce chiffre était de 23% un an plus tôt. Une autre statistique illustre cette
