Échange avec : Tobias Ludwichowski de Signal Iduna

« En matière de menaces cyber, la situation ne cesse de se complexifier. »

Dans un monde où la technologie progresse à vitesse grand V, la question de la sécurité au sein du cyberespace est devenue une préoccupation majeure, aussi importante même que notre protection physique. Pour étudier la complexité de ce terrain, l’équipe SoSafe a eu le privilège d’interviewer le responsable du département de sécurité de l’information de Signal Iduna, un expert en cyberassurance.

Signal Iduna est à la pointe de l’innovation en matière de solutions d’assurance et sait adapter ses produits pour relever les défis posés par notre monde hyperconnecté. Le groupe a placé la barre haut et garantit une protection numérique durable, sans pour autant placer les sociétés devant un dilemme où la sécurité implique de renoncer à des opportunités de croissance en ligne.

Au cours de cet échange des plus enrichissants, nous avons analysé en profondeur le paysage actuel des menaces, les mutations initiées par l’IA et les répercussions importantes causées par le télétravail. Nous avons bien sûr aussi abordé le cœur de métier de notre interlocuteur : le rôle primordial des cyberassurances pour les entreprises. Cette interview ouvre de nouvelles perspectives sur l’évolution des risques cyber et sur le rôle de l’assurance pour en limiter l’impact.

Le regard posé par la direction et les comités consultatifs des sociétés sur la sécurité de l’information a-t-il évolué au cours des années ?

La réglementation qui s’applique à la sécurité de l’information pour les prestataires en assurances se développe rapidement : de plus en plus de lois sont adoptées. Depuis quelques années déjà, l’Autorité allemande de supervision financière travaille beaucoup sur cette question. De manière générale, les instances de direction ont beaucoup de pression sur leurs épaules, car ce sujet est associé à la complexité des menaces qui nous entourent. De ce fait, les cadres supérieurs se sont beaucoup sensibilisés aux problèmes de cybersécurité, ces dernières années. Heureusement, il existe aujourd’hui davantage de ressources dans lesquelles nous pouvons investir.

Comment voyez-vous le paysage des menaces cyber, à l’heure actuelle ? Selon vous, quelles sont les tendances et les évolutions qui se détachent ?

En matière de menaces cyber, la situation ne cesse de se complexifier. Nous sommes extrêmement vulnérables face aux attaques de la chaîne d’approvisionnement et notre sécurité dépend de plus en plus de celle de nos prestataires de services. L’incident qui a frappé SolarWinds en 2020 nous donne une idée des éventuelles répercussions que peut avoir ce type d’attaque ciblée avec des ramifications à l’échelle mondiale. Les attaques de la chaîne d’approvisionnement constituent une menace pour l’ensemble du marché. Généralement complexes et avec une grande portée, elles ont des conséquences immenses. Je pense donc que les attaques de la chaîne d’approvisionnement vont devenir de plus en plus fréquentes, mais je continue de voir également proliférer des types de cyberattaques plus conventionnelles, telles que les rançongiciels. Ceux-ci visent majoritairement le secteur financier et les grandes quantités de données sensibles qu’il traite. Pourtant, le risque d’attaques par rançongiciel me semble légèrement plus faible, car les points d’entrée sont plus faciles à gérer.

Comment la guerre en Ukraine affecte-t-elle la sécurité de nos informations ? 

Le point positif, c’est qu’à l’heure actuelle, le conflit en Ukraine n’a pas eu les conséquences désastreuses auxquelles nous nous attendions au niveau de la sécurité informatique. Mais il nous faut nous préparer à l’éventualité d’une nouvelle vague d’attaques. Nous savons que la guerre s’organise sur un mode hybride, et que de nombreuses personnes ont versé dans la cybercriminalité pour soutenir l’un ou l’autre des belligérants. Une fois le conflit terminé, une grande partie de ces attaquants se retrouvera désœuvrée. Ces cybercriminels « au chômage » se mettront alors en quête d’un nouveau défi… et il ne fait aucun doute qu’ils sauront le trouver.

D’après vous, quel impact l’intelligence artificielle aura-t-elle sur la sécurité de nos données ?

L’intelligence artificielle et les autres avancées technologiques favorisent l’émergence de vecteurs de plus en plus complexes dans les attaques de phishing ou de spear phishing. Autrefois, ces tentatives étaient immédiatement identifiables, notamment parce qu’elles contenaient souvent des fautes d’orthographe. Aujourd’hui, les outils d’IA permettent de rédiger des e-mails de meilleure facture qui sont plus difficiles à repérer du premier coup d’œil. En conséquence, les cyberattaques se multiplient.

« L’intelligence artificielle favorise l’émergence de vecteurs d’attaques de plus en plus complexes dans les tentatives de phishing ou de spear phishing. »

De quelle manière l’adoption à grande échelle de nouveaux modèles de travail, tels que le télétravail ou le travail à domicile, affecte-t-elle la sécurité de l’information ?

Il faut impérativement protéger ces nouvelles formes de travail en créant une infrastructure adaptée. Les collaborateurs doivent apprendre à sécuriser leurs postes de travail mobiles ou stationnaires situés hors des locaux de leur employeur. Le contact interpersonnel reste essentiel. Or, il fait défaut, lorsqu’on travaille à domicile. Il est donc primordial de mettre en place une communication exemplaire. Imaginons qu’un employé reçoive un spam, par exemple. S’il peut en parler avec les collègues qui travaillent dans le même bureau, il comprendra bien plus vite qu’il s’agit d’un e-mail potentiellement dangereux. À ceci s’ajoute que les comportements changent de manière significative selon qu’un collaborateur travaille de chez lui ou du bureau. En cas de doute sur un e-mail, les employés en télétravail peuvent avoir tendance à surfer sur Internet pour trouver des informations, ce qui n’est pas sans danger non plus. Pour nous, à l’échelle de notre entreprise, nous n’avons pas constaté de différence notable depuis que nous sommes passés au travail hybride, mais je crois qu’il faut encourager davantage les interactions humaines pour garantir une solide culture de la cybersécurité dans le cadre des formes de travail hybrides.

Intéressons-nous plus précisément au monde de l’assurance dans le cyberespace : quelles nouvelles tendances avez-vous remarquées, en tant que professionnel de ce secteur, sur le marché actuel ?

Nous constatons que la cyberassurance se centralise autour des quelques compagnies qui se sont préparées à intégrer ces risques dans la couverture qu’elles proposent. Si l’offre est si limitée, c’est principalement parce qu’il est difficile d’évaluer et d’appréhender les risques cyber d’une entreprise, sur un marché où les menaces changent constamment. Définir, de manière objective, l’efficacité d’une couverture contre les risques cyber actuels et futurs est extrêmement délicat.

D’autant que l’assurance doit être attractive pour le client. Par exemple, des sociétés de taille moyenne n’auront aucun intérêt à souscrire à un contrat qui ne les couvre qu’à hauteur de 200 000 euros. Par ailleurs, nous devons aussi garantir que, même assurées contre les risques cyber, les sociétés ne se reposent pas sur leurs lauriers et continuent de se protéger activement. À l’heure actuelle, la cyberassurance est un réel défi.

Comment peut-on faire en sorte que la sécurité de l’information cesse d’être considérée comme un domaine réservé aux initiés et devienne une sorte de projet commun auquel, dans l’idéal, tous aient envie de participer ?

Il faudrait adopter une double approche : d’abord, mettre en place une communication et des formations en continu, pour donner de la visibilité aux éventuels effets des incidents de sécurité. C’est, par exemple, une bonne idée de présenter activement aux collaborateurs les menaces actuelles et les bons gestes à connaître. Cela peut leur être utile même en dehors de la sphère professionnelle et peut donc rendre les choses plus concrètes en leur expliquant qu’ils doivent aussi protéger leurs comptes personnels.

Dans un second temps, il faut intégrer ces principes dans le flux de travail de telle sorte que les collaborateurs adoptent des comportements sécurisés sans même s’en rendre compte. Il faut concevoir les processus de façon que les employés respectent automatiquement les normes de sécurité : à long terme, ils auront moins l’impression que la cybersécurité leur donne plus de travail. Si vous envoyez des directives et vous attendez à ce que tout le monde les lise, les comprenne et adopte les comportements attendus, ça ne marchera jamais.

Quel conseil donneriez-vous à d’autres RSSI ?

Nous vivons à une époque qui est obnubilée par les outils. Il nous faut, cependant, concentrer davantage nos efforts sur la formation des employés et les processus. Les meilleurs outils ne serviront à rien si vos processus ne sont pas adaptés et si vos employés ne sont pas capables d’identifier les risques. Il y a aussi le problème du cyberrenseignement : le fait que d’autres personnes infiltrent nos systèmes. Les êtres humains ont toujours plus de facilité à comprendre les comportements d’autres êtres humains. Si vous ne comptez que sur la technologie en pensant qu’elle interceptera tout, vous faites erreur. Il est important de toujours aborder les stratégies cyber et informatique selon trois perspectives : l’humain, la technologie et le processus.