LE SECTEUR A FAIT DES PROGRÈS SIGNIFICATIFS POUR RENFORCER SA CYBERSÉCURITÉ

Mme Debbih Karima, responsable de la Sécurité des Systèmes d’Information à la CAAT :

LE SECTEUR A FAIT DES PROGRÈS SIGNIFICATIFS POUR RENFORCER SA CYBERSÉCURITÉ

Mme Debbih Karima, responsable de la Sécurité des Systèmes d’Information à la CAAT, expose, dans cet entretien, son point de vue sur l’importance d’une approche proactive et continue dans la cybersécurité, face à des menaces en constante évolution. Elle aborde la stratégie adoptée par le secteur des assurances pour renforcer ses défenses, l’analyse des risques, et les collaborations inter-entreprises pour une meilleure résilience collective.

Revue de L’ASSURANCE : M. Bruce Schneier, cryptologue, spécialiste en sécurité informatique et écrivain américain, affirme que « la cybersécurité n’est pas un produit, mais un processus ». Qu’en pensez-vous ?

Mme Debbih Karima : M. Bruce Schneier a tout à fait raison. La cybersécurité ne peut être perçue comme un simple produit ou un ensemble d’outils que l’on achète et installe. C’est un processus continu et évolutif qui nécessite une attention constante et une adaptation perpétuelle, face aux nouvelles menaces et vulnérabilités. En effet, la nature même des menaces de cybersécurité évolue constamment. Les attaquants développent de nouvelles techniques, exploitent des vulnérabilités inconnues, et cherchent, sans cesse, à contourner les mesures de sécurité existantes. Par conséquent, les défenses doivent également évoluer via des processus de cybersécurité qui reposent sur plusieurs piliers, à savoir :

•L’évaluation continue des risques, qui permettent d’identifier les actifs critiques et les menaces potentielles ;

•La mise en œuvre de contrôles de sécurité adaptés, comme le pare-feu, les systèmes de détection d’intrusion, les politiques de gestion des accès… ;

•La formation et la sensibilisation des utilisateurs, car les erreurs humaines sont souvent à l’origine des failles de sécurité ;

•La surveillance active et continue ainsi que la capacité à répondre rapidement aux incidents pour minimiser l’impact des attaques.

La cybersécurité se présente en enjeu majeur, pour le secteur des assurances. Comment ce dernier fait-il face  aux menaces ? Est-il en mesure de lutter contre les attaques cybernétiques ? Quels sont les risques ?

Avec la digitalisation croissante des services et des quantités considérables de données que détiennent les compagnies d’assurances, elles deviennent des cibles privilégiées pour les cybercriminels. Aujourd’hui, nous percevons une prise de conscience de la part des décideurs, qui commencent à investir dans des technologies de pointe pour renforcer la sécurité des systèmes d’information et protéger les données des clients et les infrastructures. Cela inclut l’installation de pare-feu avancés, l’utilisation de logiciels antivirus sophistiqués et le recours à des solutions de chiffrement. Il est vrai que ces mesures représentent une première ligne de défense, mais les cybermenaces évoluent constamment et les cybercriminels développent des techniques de plus en plus sophistiquées. Pour rester efficaces, les sociétés d’assurance doivent adopter une approche proactive et évolutive : mises à jour régulière des systèmes, réalisation de tests de pénétration pour identifier les vulnérabilités potentielles, collaboration avec des experts en cybersécurité, sensibilisation régulière des employés,…

Pour ce qui est des risques, ils sont multiples et peuvent avoir des conséquences graves. Une cyberattaque réussie peut, notamment, entraîner le vol de données personnelles et les interruptions de service. Cela peut non seulement causer des pertes financières, mais aussi nuire gravement à la réputation de l’entreprise, entraînant une perte de confiance de la part des clients. De plus, les compagnies d’assurance peuvent être tenues responsables en vertu de la réglementation en vigueur en matière de protection des données à caractère personnel (Loi 18-07), ce qui peut causer des sanctions financières et légales.

Pour résumer, le secteur des assurances a fait des progrès significatifs pour renforcer sa cybersécurité, mais il est essentiel de ne pas relâcher les efforts. La cybersécurité est un domaine en constante évolution et les compagnies doivent rester vigilantes et adaptatives. La coopération entre les différentes parties prenantes, y compris les régulateurs les experts en cybersécurité, est indispensable pour bâtir un écosystème résilient et capable de répondre aux défis actuels et futurs.

Lors d’une réunion organisée à l’initiative de l’UAR autour de la cybersécurité dans le milieu des assurances, un baromètre a été présenté lequel fait état que 60% des compagnies d’assurances (sur les 20 qui ont répondu) utilisent des moyens obsolètes et que seulement 10% disposent de politique de cybersécurité. Quelle lecture faites-vous de ces chiffres et comment expliquez-vous cet état de fait ? Répondre à une telle question demande une analyse approfondie des chiffres et des facteurs sous-jacents. Toutefois, je partage avec vous mon analyse sommaire.

« 60% des compagnies d’assurances utilisent des moyens obsolètes » : plusieurs facteurs peuvent être à l’origine de l’obsolescence des moyens. Tout d’abord, il faut reconnaître que le secteur des assurances est traditionnellement conservateur et lent à adopter de nouvelles technologies. Cette tendance à la prudence est, essentiellement due à la complexité du processus de migration, vers de nouvelles technologies, et à la crainte de perturber les opérations courantes, décourageant ainsi les entreprises à franchir le pas. Aussi, l’obsolescence des moyens utilisés peut être attribuée à des contraintes budgétaires ; la mise à jour des systèmes peut représenter des investissements significatifs pour certaines compagnies, ces coûts peuvent engendrer un obstacle majeur. Il est également possible que la perception des risques liés à la cybersécurité ne soit pas encore pleinement intégrée dans la culture d’entreprise. Pour ce qui est du 2ème chiffre indiqué dans le baromètre, lorsque l’on examine le fait que seulement 10% des entreprises dispose d’une politique de cybersécurité, il est clair que nous avons encore beaucoup de chemin à parcourir pour atteindre un niveau de sécurité adéquat. Ce chiffre peut sembler alarmant, mais il y a plusieurs facteurs qui peuvent expliquer cette situation. Tout d’abord, il est important de noter que la prise de conscience des risques liés à la cybersécurité est encore relativement récente, en Algérie. Jusqu’à tout récemment, la cybersécurité n’était pas toujours perçue comme une priorité stratégique, mais, plutôt, comme une question technique secondaire. Cependant, nous constatons une évolution positive : de nombreuses entreprises ont désigné, récemment, leurs Responsables de la Sécurité des Systèmes d’Information (RSSI), conformément au Décret présidentiel n°20-05 du 20 janvier 2020 portant mise en place d’un dispositif national de la sécurité des systèmes d’information. La nomination des RSSI montre que le secteur des assurances reconnaît l’importance de la cybersécurité et qu’il est prêt à investir des ressources pour protéger ses actifs. Un RSSI joue un rôle-clé dans la définition, la mise en œuvre et le suivi des politiques de cybersécurité et sa présence au sein de l’organisation est un indicateur de maturité croissante en matière de gestion des risques informatiques. D’ailleurs, le baromètre indique que 60% des entreprises sont en cours d’élaboration de leur politique de sécurité.

Ensuite, la complexité croissante des menaces et l’évolution rapide des technologies peuvent également expliquer pourquoi peu d’entreprises ont encore formalisé leurs politiques de cybersécurité. Elles doivent constamment adapter leurs stratégies pour faire face à de nouvelles vulnérabilités et attaques, ce qui peut retarder l’adoption de politiques formelles. Enfin, il y a, aussi, une question de ressources. La mise en place et le maintien d’une politique de cybersécurité efficace nécessitent des investissements en termes de temps, d’argent et de personnel qualifié. En conclusion, bien que seulement 10% des entreprises dis- posent, actuellement, d’une politique de cybersécurité, nous voyons des signes encourageants d’amélioration. La désignation récente de RSSI, dans de nombreuses entreprises, est un indicateur positif de leur engagement à renforcer leur sécurité numérique.

Comment renforcer la résilience des compagnies d’assurance face aux menaces émergentes liées aux cyberattaques ?

Pour renforcer leur résilience face aux menaces émergentes liées aux cyberattaques, les compagnies d’assurance doivent adopter une approche holistique et instaurer un dispositif qui inclut :

•La mise en place de politiques de sécurité claires et des procédures opérationnelles standardisées pour répondre aux incidents de cybersécurité. Cela devrait inclure des plans de réponse aux incidents, des audits de sécurité réguliers et des évaluations de risques pour identifier les vulnérabilités potentielles ;

•Le renforcement des infrastructures de sécurité par l’inversement dans des solutions de sécurité de pointe et robustes, incluant des pares-feux avancés, des systèmes de détection et de prévention des intrusions, des solutions de sécurité des terminaux… ;

•La formation et la sensibilisation régulières des employés, qui constituent souvent la première ligne de défense contre les cyberattaques. Les programmes de sensibilisation doivent inclure des informations sur les menaces émergentes et les best-practices en matière de cybersécurité (reconnaissance des tentatives de phishing, l’utilisation de mots de passe complexes, la gestion sécurisée des données, …) ;

•La collaboration et la partage d’information sur les menaces et les meilleures pratiques avec d’autres parties prenantes (compagnies d’assurance, organismes de réglementation et experts en cybersécurité). Les partenariats peuvent également être bénéfiques pour renforcer la résilience collective face aux cybermenaces.

Peut-on en savoir davantage sur le travail réalisé avec les autres compagnies d’assurance, dans le cadre de la mutualisation des efforts en cybersécurité. Comment vous êtes-vous organisés et quels sont les objectifs attendus de cette mutualisation ?

L’idée de la coopération, la mutualisation et la fédération des efforts entre la CAAT, la SAA, la CAAR et la CCR concernant la sécurité des systèmes d’information et la conformité à la Loi n°18-07, est née suite aux discussions et réflexions engagées par les Premiers Responsables des quatre Compagnies. C’est un aspect stratégique, pour renforcer notre défense collective contre les menaces numériques.

Les principaux objectifs attendus de cette mutualisation sont : •Renforcement de la résilience face aux cybermenaces : être capable de prévenir, détecter et répondre efficacement aux attaques ;

Réduction des risques : Communiquer sur les tendances et les techniques des cybercriminels, pour une compréhension meilleure, ce qui nous aidera à anticiper les menaces et à réduire les risques associés ;

•Efficacité opérationnelle : Optimiser l’utilisation de nos ressources et éviter la duplication des efforts ;

•Encouragement de l’innovation et de l’amélioration continue : Les nouvelles idées et technologies peuvent être testées et mises en œuvre plus rapidement lorsqu’elles sont développées en commun.

L’idée de mutualisation a été concrétisée par la création de deux Groupes de Travail : Le premier composé des RSSI des quatre compagnies pour la thématique « Sécurité des Systèmes d’Information » et le deuxième composé, aussi des RSSI et des Directeurs Risk Management pour la thématique « protection des données à caractère personnel, conformément à la Loi 18-07 ».

Les deux Groupes de Travail ont défini des objectifs partagés et élaboré une gouvernance solide, avec les rôles et les responsabilités de toutes les parties prenantes. Les membres se réunissent régulièrement, en présentiel ou à distance, pour partager des informations et échanger sur les deux thématiques.

Ce travail collaboratif a donné ses premiers fruits, parmi lesquels sont à citer, principalement :

•Les échanges sur l’applicabilité, les priorités et les correspondances liées au Référentiel National de Sécurité des SI (RNSI 2020) ;

•L’ossature, le contenu et le niveau de détails de la politique de sécurité des systèmes d’information et des politiques spécifiques… ;

•L’élaboration d’un questionnaire collectif, avec plus de 60 questions, adressé à l’Autorité Nationale de Protection des Données à caractère Personnel
 « ANPDP » ;

•Le partage du Template de recensement des traitements de données à caractère personnel, conformément aux exigences de l’ANPDP ;

•L’uniformisation du modèle de contrat de sous-traitance, des articles de consentement et des droits des personnes concernées ;

•Le retour d’expérience sur l’accompagnement externe (Cadrage, Milestone, Livrables…) et sur les journées sensibilisation (SSI et Loi 18-07).

Pensez-vous que les compagnies d’assurance devront se mobiliser davantage et agir ensemble pour l’élaboration d’une stratégie commune de cybersécurité ?

Absolument, je suis convaincue que les compagnies d’assurance doivent se mobiliser davantage et collaborer pour développer une stratégie commune de cybersécurité. La nature des cybermenaces évolue rapidement et devient de plus en plus complexe, ce qui exige une approche coordonnée et proactive. Une coopération renforcée entre les compagnies d’assurance permettrait le partage d’informations sur les menaces émergentes, les vulnérabilités identifiées, et les meilleures pratiques en matière de sécurité. Cela pourrait inclure des données sur les incidents de sécurité, les tactiques utilisées par les cybercriminels, ainsi que les solutions technologiques efficaces pour les contrer.

Aussi, une stratégie commune de cybersécurité pourrait aider à établir des couches et des protocoles de sécurité uniformes et plus élevés à travers tout le secteur. Cela garantirait que toutes les compagnies d’assurance disposent des défenses nécessaires pour protéger les données de leurs clients et maintenir leur confiance.

Enfin, une approche collaborative permettrait de mutualiser les ressources et les investissements en cybersécurité. Face à l’ampleur et à la sophistication croissantes des cybermenaces, il est impératif que les compagnies d’assurance se mobilisent ensemble pour élaborer et mettre en œuvre une stratégie commune de cybersécurité. Cela permettra de créer des synergies qui renforceront, non seulement la résilience de tout le secteur, mais, aussi, la protection des données et des intérêts de nos clients.

Une des recommandations de ce workshop est la création de nouvelles polices pour une couverture assurantielle sur les risques liés à la cyberattaque.

Est-ce que la CAAT s’inscrit dans cette démarche et quelle est la politique
adoptée par votre compagnie pour la sécurisation des données et systèmes d’information ?

Les professionnels en assurance sont mieux placés pour répondre à cette question. Toutefois, je peux confirmer que la CAAT est pleinement engagée, dans cette démarche. Nous reconnaissons l’importance croissante des cyberattaques et les risques engendrés. En réponse, nous avons déjà développé et lancé des produits d’assurance, en ligne, destinés aux startups, couvrant plusieurs aspects auxquels nous avons intégré les deux garanties cyber « RC Cyber » et « Restauration des données ». Ces polices offrent une protection incluant la prise en charge des frais liés à la récupération des données et la Responsabilité Civile, en cas d’incident. Nous travaillons à développer d’autres produits d’assurance spécifiques qui couvrent les cyber-risques. Notre politique en matière de couverture assurantielle pour les risques cybernétiques est conçue pour offrir une protection adaptable aux besoins spécifiques de nos clients, en développant une gamme de produits d’assurance flexibles et adaptés en fonction de la taille et du secteur d’activité de chaque entreprise. Un accent particulier sera mis sur la prévention et la résilience. En partenariat avec des experts en cybersécurité, des outils de diagnostic pour identifier les vulnérabilités potentielles seront mis à la disposition des clients.

Enfin, nous croyons en la transparence et la collaboration. Nous travaillerons en étroite collaboration avec nos clients pour examiner régulièrement leur couverture et ajuster les polices en fonction des nouvelles menaces et des changements dans leur environnement technologique. En résumé, notre approche en matière de couverture assurantielle contre les cyberattaques est holistique, combinant assurance, prévention et réponse rapide pour offrir une protection optimale à nos clients contre les risques cybernétiques.

Quelles sont, selon vous, les garanties que devra contenir une police d’assurance spécifique à la cyber- sécurité ?

De mon point de vue, une police d’assurance cybersécurité devrait inclure des garanties couvrant les coûts de réponse aux incidents, les pertes financières dues à l’interruption du service, les frais de récupération et de restauration des données, la Responsabilité Civile liée aux réclamations des tiers pour les dommages résultant d’une violation de données en cas de violation de données et les frais juridiques associés. De plus, une bonne couverture assurantielle devrait proposer des services d’assistance pour la gestion des incidents et la récupération après une attaque. Une police d’assurance cybersécurité doit offrir une couverture étendue et flexible pour répondre aux besoins spécifiques des entreprises face à un paysage de menaces en constante évolution. Toutefois, il faut collaborer avec des experts en cybersécurité pour évaluer les risques spécifiques à chaque entreprise et s’assurer que la police d’assurance offre une protection adéquate et personnalisée.

Est-ce que la CAAT a fait l’objet d’un incident de cyberattaque, de quel type et comment a-t-elle réagi ?

La CAAT, comme beaucoup d’entreprises est confrontée à des tentatives de cyberattaques. À titre d’exemple, dès la mise en place de notre site web, pour test, nous avons fait l’objet de tentatives d’attaques qui se sont manifestées par des intrusions. Nous avons immédiatement renforcé la sécurité du site, avant sa mise en service officielle, par des mesures techniques correctives, notamment la mise en place d’un Web Application Firewall (WAF), les politiques de sécurité sur les firewalls, l’application des correctifs de sécurité, le chiffrement des communications, la segmentation du réseau, la gestion des authentifications… Aussi, les tentatives de phishing deviennent de plus en plus répandues et sophistiquées. Des campagnes d’emails malveillants ciblent nos employés. Ces emails contiennent souvent des liens ou des pièces jointes suspects. Nous réagissons en sensibilisant notre personnel à ces tentatives de fraude. Des journées de sensibilisation ont été organisées et des courriers sont, régulièrement, adressés aux employés pour leur apprendre à reconnaître les signes d’un email de phishing. De plus, des mesures techniques sont mises en place pour minimiser les impacts. Nous travaillons davantage pour renforcer notre posture de sécurité et améliorer nos mécanismes de défense : il faut mettre en place des politiques et des procédures de sécurité solides, assurer la veille et rester informés des dernières menaces et tendances en matière de cybersécurité, investir dans des technologies de protection avancées et, enfin, former et sensibiliser régulièrement les employés. La vigilance continue et proactive est la clé, pour se défendre contre les cyberattaques.

Qui est Debbih Karima ?
Titulaire d’un Ingéniorat d’État en Informatique et d’un Master en Économie Numérique, Mme. Debbih Karima occupe, actuellement, le poste de Responsable de la Sécurité des Systèmes d’Information (RSSI) au niveau de la Compagnie Algérienne des Assurances (CAAT). Avec plus de 25 ans d’expérience dans le domaine des technologies de l’information, acquis au sein de la Sonelgaz et de la CAAT, elle a participé dans plusieurs projets structurants, notamment « Refonte SI, Réseaux & Sécurité », avant de basculer sur la partie gouvernance, risques et conformité liés à la sécurisation des systèmes d’information.

Lyes Fettah