Astrid Wagner
Partner – Arendt & Medernach
Article rédigé par Arendt & Medernach dans le cadre de leur sponsoring de l’ACA Insurance Day 2024. Cette version est traduite de la version EN originale dont le contenu engage exclusivement son auteur.
En janvier 2025, le Centre des technologies de l’information de l’État luxembourgeois (CTIE) a confirmé que plusieurs sites web du gouvernement luxembourgeois avaient été ciblés lors d’une cyberattaque, et qu’un certain nombre de sites, dont MyGuichet et LuxTrust, étaient devenus inaccessibles pendant environ deux heures en raison d’une attaque par déni de service distribué (DDoS) rendant les sites incapables de répondre aux demandes légitimes des utilisateurs.
Cet incident est loin d’être un cas isolé. Le nombre d’attaques informatiques contre les entreprises et les organismes gouvernementaux au Luxembourg a doublé au cours de l’année passée, avec près de 1 200 attaques par semaine en moyenne au deuxième trimestre de 20241.
En raison de la présence d’un secteur financier de classe mondiale au Luxembourg, et des données précieuses qu’il traite, ce secteur est fréquemment ciblé par des cyberattaques et des crimes facilités par le cyberespace, comme la fraude financière.
Les attaques par phishing, exploitant l’erreur humaine, et la falsification de documents demeurent parmi les cybermenaces les plus courantes. Les malwares, en particulier les ransomwares, qui encryptent les fichiers de la victime ou verrouillent son système tout en exigeant une rançon pour restaurer l’accès, sont également de plus en plus reconnus comme une menace importante.
Les cybercriminels emploient diverses tactiques pour exploiter d’éventuelles vulnérabilités dans l’infrastructure informatique d’une entreprise. En fonction de leur nature et de leur gravité, ces menaces peuvent entraîner des pertes financières, des violations de données, des dommages à la réputation ou des sanctions réglementaires.
Le secteur de l’assurance, en particulier, fait face à un niveau élevé de risque, en grande partie à cause du volume important de données sensibles traitées, des transactions financières impliquées et du potentiel de paiements élevés, ce qui fait des assureurs des cibles attractives pour les cybercriminels.
Une approche multifacette, combinant des mesures ciblant le personnel, les systèmes, le réseau et l’infrastructure de sécurité de l’entreprise, ainsi que la conformité réglementaire, est essentielle pour une prévention optimale des cyberattaques.
Le développement de l’arsenal juridique de l’UE, avec l’entrée en vigueur du Digital Operational Resilience Act (DORA) et de la Directive sur la sécurité des réseaux et de l’information 2 (NIS2), met en lumière la nécessité d’une cybersécurité renforcée. Cette nécessité se fait également sentir dans le secteur de l’assurance, qui a jusqu’ici été relativement moins réglementé que d’autres secteurs, comme l’industrie bancaire.
Étant donné que les signes d’une attaque ne sont pas toujours évidents, il est essentiel d’anticiper les menaces actuelles et futures susceptibles d’être rencontrées.
L’approche la plus efficace est la formation des employés, comme les programmes de sensibilisation et les tests réguliers. Cela peut réduire considérablement le risque d’erreur humaine, qui est l’une des principales raisons pour lesquelles les cyberattaques réussissent.
La sécurité des systèmes est également cruciale. Les mises à jour régulières permettent de combler les lacunes de sécurité, tandis que la protection des points d’accès déploie des mesures de sécurité avancées pour détecter et prévenir les menaces aux points d’accès des utilisateurs.
De plus, une surveillance de sécurité robuste permet une détection précoce des activités suspectes, ce qui permet une réponse rapide en cas d’infiltration non autorisée. Développer des stratégies de confinement est également essentiel, car elles aident à protéger les actifs critiques en les isolant des vecteurs d’attaque potentiels, minimisant ainsi l’impact d’une violation de sécurité.
L’initiative gouvernementale Centre d’intervention en cas d’incident informatique du Luxembourg (CIRCL), opérée par la Luxembourg House of Cybersecurity (LHC), joue un rôle proactif dans la détection des menaces potentielles en surveillant le dark web et en avertissant les victimes avant que les attaquants n’entrent en action. En fournissant des données pertinentes à CIRCL, y compris des « honeytokens » (c’est-à-dire des données falsifiées conçues pour attirer et tromper les cybercriminels), les organisations peuvent considérablement améliorer leur capacité à prévenir les attaques futures.
La mise en œuvre de solutions développées par des prestataires externes est utile pour isoler les données critiques des systèmes vulnérables, fournir des copies immuables pour la récupération, et nettoyer et restaurer les données de manière sécurisée en cas d’attaque.
Une autre option précieuse, bien que souvent débattue, consiste à tester la résilience cybernétique d’une entreprise en faisant appel à des hackers éthiques (ou hackers « white-hat ») pour identifier de manière proactive les points vulnérables avant que les attaquants ne puissent les exploiter.
L’entrée en application de DORA le 17 janvier 2025 joue un rôle fondamental dans l’application des normes de cybersécurité et de résilience opérationnelle numérique pour les entités financières, y compris dans le secteur de l’assurance. Assurer la conformité à DORA et se conformer à ses cinq piliers de résilience permettra de réduire considérablement les menaces cybernétiques.
Dans les cas où la victime a souscrit à une police d’assurance cybernétique, l’assureur doit être informé rapidement de l’incident et pourra fournir son assistance sans délai excessif. Les assureurs cybernétiques offrent souvent l’accès à des équipes spécialisées qui aident à la containment, à l’enquête et à la récupération. L’engagement d’une équipe de spécialistes, comprenant des experts juridiques et en sécurité informatique, ainsi que des professionnels de la communication, permettra de minimiser les risques et de réduire efficacement les éventuels dommages.
Le marché de l’assurance cybernétique est en pleine expansion, et une police bien choisie peut offrir une protection financière, un soutien à la gestion des risques et des opportunités de conformité.
Une fois l’attaque identifiée, la première étape (pas si évidente) est de rester calme et concentré pour activer ensuite le plan de réponse à l’incident, assurant ainsi une réponse coordonnée et efficace et en limitant la brèche.
Procéder à un processus approfondi de collecte des faits et à une évaluation des actifs affectés aidera davantage à comprendre l’étendue de la violation et, si nécessaire, à procéder à une recherche d’actifs.
L’un des principaux défis dans la gestion des incidents cybernétiques est de trouver un équilibre entre la nécessité de restaurer les opérations et celle de préserver les preuves judiciaires. Les entreprises doivent naviguer avec soin dans cet équilibre pour maintenir la continuité des activités tout en identifiant la cause profonde de l’attaque.
En plus de déposer une plainte pénale auprès des autorités compétentes, les organisations doivent également soumettre un rapport sur les incidents ICT majeurs au Commissariat aux Assurances (CAA), comme l’exige DORA.
Les arrangements contractuels doivent également être révisés pour évaluer s’il y a eu des violations des engagements de confidentialité, dans le cas où ces violations dépassent les obligations de secret professionnel prévues par la loi.
Si des données personnelles ont été compromises, les dispositions du Règlement général sur la protection des données (RGPD) entrent en jeu. À condition que la société d’assurance soit le responsable du traitement des données compromises, la violation devra être enregistrée en interne dans un registre des violations de données. De plus, la Commission nationale pour la protection des données (CNPD) doit en être informée sans délai et au plus tard 72 heures après avoir pris connaissance de la violation si celle-ci présente un risque pour les droits et libertés des personnes physiques. Si ce risque est élevé, les personnes concernées devront également être informées de l’incident sans délai, cette notification devant idéalement être préparée en collaboration avec des experts en communication.
Chaque cyberattaque représente une occasion de renforcer les défenses. Mener des enquêtes judiciaires pour comprendre le modus operandi des cybercriminels permet aux entreprises d’améliorer leurs mesures de sécurité et de réduire le risque d’incidents futurs.
Un plan de réponse bien défini doit trouver un équilibre entre la gestion interne et l’expertise de tiers, garantissant une approche efficace et agile face aux menaces cybernétiques, qui se font de plus en plus fréquentes.
Enfin, maintenir une compréhension claire des exigences réglementaires en constante évolution est essentiel pour assurer la conformité sur le long terme dans un paysage juridique en perpétuelle mutation.
Astrid Wagner is a Partner, heading the IP, Communication & Technology practice of Arendt & Medernach.
She is specialised in the areas of data protection and privacy, data compliance, cybersecurity and ICT resilience, TMT, artificial intelligence, commercial contracts, e-commerce, consumer protection, the full spectrum of IP rights (trademarks, patents, designs and copyright), advertising, unfair competition and product regulation.
In addition to her advisory and transactional expertise, Astrid Wagner represents her clients in litigation cases.
Astrid Wagner further handles corporate and commercial law matters, advising operational companies on their establishment in Luxembourg.
Office Location
Company
Language
Phone +352 40 78 78 698
Email astrid.wagner@arendt.com
Emmanuelle advises banks, investment firms and other financial sector professionals, as well as payment service providers, insurance and reinsurance undertakings, insurance intermediaries and insurance sector professionals on regulatory, civil, commercial and insolvency law matters. Her areas of special expertise include licensing requirements, mergers and acquisitions, drafting and review of contractual and business documentation, as well as issues pertaining to anti-money laundering and anti-terrorism financing measures. She also advises on questions relating to pension funds.
Emmanuelle further assists institutional clients with criminal and regulatory investigations and litigation cases. She has received high praise for her work as an attorney in finance litigation.
Emmanuelle has developed proficient knowledge and expertise in environmental, social and governance (ESG) matters and regularly advises clients on any requirements deriving therefrom, including disclosure, risk management, product governance as well as organisational and conduct of business rules.
Office Location
Company
Language
Phone +352 40 78 78 5643
Email emmanuelle.mousel@arendt.com
🔗https://www.arendt.com/about-us/our-people/emmanuelle-mousel/
En savoir plus :
IP, Communication & Technology practice > https://www.arendt.com/our-expertise/legal-tax/ip-communication-technology/
Insurance & Reinsurance Law practice > https://www.arendt.com/our-expertise/legal-tax/insurance-reinsurance-law/
6 minutes
Digital, Évènements
3 minutes
Digital, Évènements
3 minutes
Digital, Évènements
