22 avril 2024

20 cyberconseils pour les intermédiaires d’assurance

Limburg.net a récemment été victime d’un piratage. Cet organisme n’est pas un cas isolé. Songez à la Ville d’Anvers qui a été la cible d’une cyberattaque majeure en 2022. Sachez que les cybercriminels s’attaquent aussi à de petites entreprises et, même récemment, à un courtier d’assurances.

Une assurance représente un moyen évident de couvrir ce risque. Mais, quelle que soit la qualité de cette police, mieux vaut toujours prévenir que guérir. Cet article propose une vingtaine de conseils pratiques qui peuvent être utilisés dans n’importe quel bureau d’assurance pour réduire le risque d’attaque. Il n’en reste pas moins qu’une bonne cyberpolitique permet d’appréhender les conséquences, si les choses tournent mal.

Il est évident que ces conseils peuvent aussi être utilisés immédiatement pour les clients de la compagnie, tant dans un contexte commercial que dans un contexte d’assurance.

Cet article s’adresse au dirigeant effectif et aux RD des compagnies d’assurance, sans connaissance préalable des techniques ICT en matière de sécurité. Les conseils se situent donc en dehors de la sphère technique de l’IT.

Introduction

L’escroquerie a toujours existé. Les Vikings vendaient la défense en spirale des narvals comme corne de rhinocéros. La tour Eiffel a été vendue par un escroc en tant que ferraille, à deux reprises même ! L’Histoire regorge d’exemples de tromperies et d’arnaques. Les escroqueries par Internet n’ont donc rien d’étonnant, même si le numérique facilite quand même les choses.

Cela veut également dire qu’il y a beaucoup plus de tentatives d’escroquerie, ce qui augmente aussi le risque de cybercriminalité.

Le mode d’escroquerie par Internet évolue à la vitesse de l’éclair, à l’instar de la révolution numérique. L’époque des courriels envoyés par des princes nigérians – dans un anglais ou un français douteux – pour vous annoncer que vous êtes l’heureux héritier d’une grande fortune, moyennant une petite contribution financière, est révolue depuis longtemps. Ces anciennes méthodes existent toujours, mais de nouvelles techniques ont fait leur apparition. Vos clients doivent également y être attentifs. Cet article présente une série de conseils pour éviter que vous et/ou vos collègues ne soyez victimes d’un piratage informatique ou d’autres cyberincidents.

Approche des cyberrisques

Votre entreprise peut s’appuyer sur 4 axes pour appréhender les cyberrisques.

Premier axe : l’éducation et la formation

D’après certaines sources, 90 % des cyberincidents découlent d’une erreur humaine. Ce « human factor » influence donc fortement la prévention d’un cyberincident. Cet article s’inscrit parfaitement dans ce cadre : 20 conseils pour éviter un cyberincident.

Deuxième axe : la prévention

Il s’agit principalement d’un aspect technique que nous n’évoquerons pas ici. À l’exception d’un élément que nous analyserons : la double authentification.

Troisième axe : détection et réaction.

Il s’agit ici aussi d’un concept technique que nous ne développerons pas davantage. Nous nous limiterons donc à préciser ceci : en cas de cyberincident, il est judicieux de partager l’expérience avec tous les collaborateurs de l’organisation. On peut tirer de nombreux enseignements des erreurs commises.

Quatrième axe : testing

Cet axe est un peu plus délicat et requiert une bonne approche, avec des informations et des explications à destination des collaborateurs. Lors des tests, des tentatives de piratage sont envoyées intentionnellement aux collaborateurs afin de vérifier s’ils sont suffisamment attentifs pour les détecter. Le piratage provient en effet de sources « amies ». Si un collaborateur se laisse berner, le piratage n’est pas réel. Par contre, son erreur permet de tirer des enseignements.

L’assurance peut être considérée comme un cinquième axe. Une bonne cyberpolice sera sans aucun doute en mesure de limiter les dommages après un incident et, bien sûr, de les indemniser dans les limites des conditions de celle-ci. Nous n’évoquerons pas la cyberassurance dans le cadre de cet article.

Conseils concernant l’attitude à adopter

L’attitude des collaborateurs d’une compagnie d’assurance à l’égard des cyberrisques peut déjà faire une grande différence.

  • Le premier conseil, et sans doute le plus important : détendez-vous, réfléchissez et puis cliquez. Ce sont l’urgence et la précipitation qui poussent quelqu’un à cliquer trop rapidement sur un lien suspect qui provoquent des problèmes. Il est vrai qu’il est parfois tentant de parcourir les messages très rapidement, surtout lorsque l’on rentre de vacances et que l’on doit passer au crible une liste de 200 e-mails. Néanmoins, prendre le temps nécessaire pour lire tranquillement un message peut s’avérer plus judicieux. En effet, le temps perdu à cause d’un cyberincident peut être plusieurs fois supérieur à celui que vous gagnez en cliquant trop vite.
  • Une bonne attitude consiste à faire preuve de la méfiance nécessaire lorsqu’il faut réagir rapidement et dans l’urgence. En effet, les courriels suspects incitent très souvent à une action rapide et l’idée sous-jacente s’inscrit dans le cadre de ce qui précède. Le fait d’insister sur l’urgence rend le lecteur moins prudent et trop prompt à cliquer sur la mauvaise URL.
  • Une autre forme de saine méfiance consiste à se méfier un peu des messages inattendus. Lorsqu’un collègue est malade depuis un certain temps, il se peut qu’un courriel de sa part soit douteux et qu’il faille faire preuve de prudence.
  • Il est évident que l’on ne partage jamais les mots de passe et les codes. On les écrit encore moins sur un post-it pour les coller à côté de l’ordinateur. Si cela s’avère malgré tout nécessaire, par exemple parce qu’un collègue doit utiliser l’ordinateur pendant un moment, il est judicieux de modifier le mot de passe immédiatement après.
  • La prudence est de toute façon de mise lorsqu’il s’agit d’accéder à des sites web sensibles, tels que les services bancaires en ligne. Ce n’est que lorsque vous décidez vous-même d’ouvrir une telle application qu’il n’y a aucun problème. Lorsque d’autres vous invitent à le faire, redoublez de prudence.
  • Dernier conseil : restez sur vos gardes lorsque vous recevez un courriel d’un parfait inconnu, même s’il est très bien rédigé en français. L’époque des courriels envoyés dans un français médiocre est révolue. Grâce à l’intelligence artificielle et à toutes sortes d’applications de traduction, il est très facile pour les criminels de traduire leurs messages frauduleux dans un français correct. Certains font même appel à des bureaux officiels de traducteurs-interprètes pour traduire leurs messages.

Conseils pour répondre aux messages

Lorsque vous recevez un message, il existe quelques méthodes relativement simples pour vérifier s’il est fiable ou non.

  • Un premier conseil consiste à contrôler l’adresse électronique de l’expéditeur. Hans@bol.com diffère de hans@bol1.com. Si vous recevez un message du 2e Hans, mieux vaut se méfier ! Des extensions complexes peuvent également révéler un message frauduleux, comme celui-ci : jasitwa@bcsl.co.ke.
  • Deuxième conseil : contrôlez l’extension du domaine à l’aide d’un bouton sur lequel vous pouvez cliquer. Celle-ci doit correspondre à 100 % à l’expéditeur présumé. Imaginez que vous receviez un courriel de collegue@boulot.be. Le message inclut un lien vers collegue@boulot.org. Cette URL ne correspond pas à 100 %, ce message est donc suspect.
  • Voici un troisième conseil en cas d’e-mail suspect : appelez son expéditeur. Un appel téléphonique permet également de détecter les messages frauduleux relatifs aux paiements. Vous recevez un e-mail vous demandant d’effectuer un versement ? Partez du principe que ce type de messages est systématiquement suspect. En principe, vous devez recevoir une facture ou un autre document du même genre à titre de demande de paiement. En cas de doute, appelez l’expéditeur afin de lui demander si la demande de paiement est correcte.
  • L’heure de l’envoi peut aussi représenter un indicateur. Un collègue ne vous enverrait pas un courriel à 3 heures du matin ! Une heure d’envoi improbable constitue un autre indice d’un courrier potentiellement suspect.
  • Votre e-mail inclut une pièce jointe alors que vous ne vous y attendiez pas ? Redoublez de prudence !
  • Dernier conseil : procédez au test de plausibilité. Le message que vous avez reçu est-il plausible ? La question que vous pose l’expéditeur du message est-elle une demande à laquelle vous pouvez et devez vous attendre ? Cette demande est-elle appropriée et adaptée à la relation que vous entretenez avec cette contrepartie ? Si vous avez le moindre doute, un coup de fil à cette dernière vous permettra de lever toute équivoque.

Conseils relatifs à l’organisation du travail

Dans l’organisation du travail et de la vie au bureau, il existe également de nombreux moyens de réduire le risque de cyberincident.

  • Tout d’abord, ne laissez jamais votre PC ou votre Mac être pris en charge par téléphone, à moins que vous ne sachiez très bien qui le fait et pourquoi. Vous éviterez ainsi l’hameçonnage téléphonique, une astuce classique pour soutirer des informations bancaires.
  • Vérifiez de temps en temps si votre boîte a été piratée. En effet, il est possible de pirater une boîte mail. Le cybercriminel peut alors non seulement lire votre flux de courrier électronique, mais aussi découvrir toutes sortes de choses sur vous. Mais un cybercriminel peut aussi envoyer des messages à partir de votre boîte aux lettres comme s’ils venaient de vous.
  • Veillez à l’hygiène du mot de passe. Tout le monde vous le dira : ce n’est pas agréable et c’est souvent même très gênant de changer régulièrement de mot de passe. Pourtant, il s’agit d’une astuce intéressante pour couper l’herbe sous le pied des hackers. S’il est difficile de se souvenir d’un mot de passe, inventez-en un et ajoutez-y le numéro du mois. De cette façon, vous avez chaque mois un nouveau mot de passe qui reste facile à retenir.
  • Utilisez ITSME ou une autre technique de double authentification (authentification multifacteurs). Grâce à cette méthode d’accès à un site web sécurisé, vous rendez la tâche pratiquement impossible aux cybercriminels. En effet, pour y accéder, il faut non seulement connaître quelque chose (un mot de passe et un login), mais aussi posséder quelque chose : un téléphone portable connu du système.
  • Ne rechargez jamais votre appareil à partir de stations de recharge USB publiques. Le risque de « juice jacking » est bel et bien réel. Faites-en une politique.
  • En cas d’incident, demandez toujours une aide spécialisée. Dans le cas d’un ransomware, vous devez également avertir la police ainsi que le Cert. Il convient toutefois d’être prudent. Lorsqu’un système informatique est piraté, le cybercriminel peut suivre toutes vos actions numériques. Il n’est donc pas judicieux de contacter la police par le biais d’un courriel ou d’une autre méthode numérique. En effet, le cybercriminel s’en apercevra. Dans un récent exemple, cela s’est immédiatement soldé par un doublement de la rançon. Le bon vieux coup de téléphone à la police est indétectable et offre le même résultat. Cette remarque s’applique aussi à l’assureur. Ne le contactez pas par la voie numérique, car le pirate informatique s’en apercevrait. D’ailleurs, les hackers savent parfois au préalable s’il existe une cyberpolice et jusqu’à quel montant de rançon vous êtes assuré. Récemment, lors d’une attaque d’un centre de soins résidentiels, le montant de la rançon correspondait précisément à la somme assurée ; on peut donc en déduire qu’en général, les cyberintrus savent ce qu’ils font.
  • Établissez un plan BCP afin de disposer d’une stratégie d’attaque lorsque l’entreprise est victime d’une cyberattaque. BCP est l’abréviation de Business Continuity Planning ou plan de continuité des activités, et c’est exactement son objectif : faire en sorte que l’entreprise puisse reprendre ses activités le plus rapidement possible après un sinistre. Ce BCP reprend de très nombreux éléments. En voici quelques-uns, sans être exhaustif :
    • Une liste des contacts. En cas d’incident, il est important de savoir immédiatement qui contacter et comment le faire.
    • La procédure de gestion des incidents. Un plan BCP décrit la manière dont un incident doit être appréhendé. Il est évident qu’un plan BCP dans le cas d’un cyberincident diffère d’un plan BCP dans le cadre d’un incendie, mais le principe reste identique : on réfléchit au préalable à toutes les tâches qui doivent être exécutées en cas d’incident.
    • Assurez la gestion de crise. C’est très important. Un incident nécessitera sans aucun doute beaucoup de communication, ce que le chef d’entreprise moyen ne sait pas faire. Il convient par exemple de prendre contact avec les autorités, la police et éventuellement l’autorité de protection des données. Il peut aussi être nécessaire de parler à la presse. Les collaborateurs, les clients et les fournisseurs doivent être informés. Il faut souvent contacter les cybercriminels lorsqu’ils demandent une rançon. Toutes ces communications requièrent des compétences et des expériences spécifiques, que le courtier d’assurance moyen ne possède pas.
    • Précisez les responsabilités. Définissez au préalable les rôles en cas de cyberincident.
  • Un dernier conseil qui est surtout valable pour les plus grandes compagnies d’assurance. Soumettez au Conseil d’administration la vision et l’approche des cyberincidents. Et surtout, parlez-lui des ransomwares. Quelle est sa position en la matière ? Définissez une politique cohérente par rapport à cette vision.

Dernier conseil

Le dernier conseil est peut-être le plus important : partagez tous les conseils de ce texte avec les collaborateurs de votre compagnie. Ce n’est que lorsque tous les collaborateurs de l’entreprise seront conscients du problème et des moyens d’éviter les risques que la probabilité d’un cyberincident diminuera réellement.

Sources & Annexes

  • Source : Up-to-date
Terug naar overzicht

Activez votre abonnement d’essai Up-to-date

  • Essayez gratuitement pendant 21 jours
  • Commencez en moins d’une minute
  • S’arrête automatiquement
  • Aucune information de paiement requise
Activer Advisors Up-to-date
Sélectionnez un pays et une langue

Les produits de connaissances mis à jour sont liés aux lois et réglementations du pays dans lequel ils sont proposés. Par conséquent, pour la meilleure expérience, sélectionnez le pays dans lequel vous travaillez.