Gestion des risques pour le secteur de l'assurance

Alors que les maisons, les véhicules et autres biens personnels peuvent être assurés, les données sensibles collectées par les compagnies d'assurance ne le peuvent pas. En effet, les assureurs collectent de nombreux types de données personnelles lorsqu'ils déterminent le montant des primes qu'un client doit payer. Des numéros de sécurité sociale aux adresses privées et aux informations de carte de crédit, les compagnies d'assurance utilisent des données provenant de nombreuses sources différentes pour évaluer le niveau de risque que chaque client présente.

Une fois que des sources non autorisées accèdent aux données personnelles de vos clients, les conséquences peuvent être dévastatrices. Les compagnies d'assurance doivent mettre en place un processus de gestion qui minimise la probabilité d'atteinte à la cybersécurité des données sensibles.

Données d'assurance exposées aux menaces de cybersécurité

Il faut beaucoup déterminer le niveau de risque que chaque titulaire de police présente pour une compagnie d'assurance. Grâce à l'utilisation d'algorithmes avancés, les assureurs demandent souvent des informations sensibles à leurs clients pour identifier un taux de prime mensuel approprié. Ces données comprennent les numéros de sécurité sociale, les numéros de permis de conduire, les données biométriques, les informations sur les soins de santé et les dossiers financiers.

La nécessité de sécuriser ces données est vitale pour toutes les compagnies d'assurance. Pour gérer efficacement ce risque, l'Association nationale des commissaires aux assurances (NAIC) a présenté un projet de loi qui décrit les meilleures pratiques d'évaluation et de gestion des risques. Cette loi, introduite en 2017, décrit un processus en 5 étapes pour l'évaluation des risques et un autre processus en 5 étapes pour la gestion.

Au centre de cette loi se trouve l'accent mis sur la protection de toutes les informations non publiques que les assurés peuvent fournir à leur compagnie d'assurance. Les informations non publiques sont toutes les données utilisées par les assureurs lors du calcul des primes.

Les cinq étapes d'une évaluation des risques

Ce processus d'évaluation des risques comprend les éléments suivants :

Faire de l'évaluation des risques un processus interne

La première étape proposée par la NAIC consiste à rendre l'évaluation des risques interne à chaque entreprise. Avec un sens personnel de la responsabilité de protéger les données des clients, les compagnies d'assurance resteront vigilantes en ce qui concerne la sécurité des données ; réduisant ainsi la probabilité de violations de données. Ce processus commence par la désignation d'un gestionnaire des risques qui sera chargé de superviser le programme de sécurité de l'entreprise.

Établir un cadre pour identifier les menaces internes et externes

Les menaces qui pèsent sur les données d'assurance sont très répandues. Parce qu'ils peuvent provenir de sources internes et externes, la loi proposée par la NAIC stipule que les assureurs doivent consacrer un processus à l'identification de tous les risques potentiels pour se prémunir contre eux.

Quelle est la probabilité qu'une menace se produise et quelles en seraient les conséquences ?

De la même manière qu'une compagnie d'assurance évalue la probabilité qu'un assuré puisse avoir un accident, les assureurs doivent déterminer la probabilité que les données des clients soient violées à un moment donné. L'évaluation doit également inclure toutes les conséquences financières, juridiques et immatérielles auxquelles votre entreprise pourrait être confrontée.

Un examen des systèmes actuels et de leur sensibilité aux risques

L'étape suivante consiste à examiner les systèmes de cybersécurité actuels et à déterminer dans quelle mesure ils se comparent aux directives normalisées. Cet examen doit porter sur tous les réseaux et logiciels utilisés, les pratiques de stockage des données, la classification et les procédures de transmission. Toute lacune identifiée doit être notée afin de déterminer un plan d'amélioration.

Mettre en place un plan d'atténuation des risques

Les assureurs doivent rester au courant de tout nouveau risque pouvant survenir en raison des nouvelles technologies ou de la sophistication des cyberattaques. Cela ne peut être réalisé qu'au moyen d'évaluations régulières des risques qui sont effectuées sur une base annuelle.

Comprendre le processus de gestion des risques pour les assureurs

Alors que l'évaluation des risques fait référence à l'identification des points faibles potentiels de la sécurité des données, la gestion des risques fait référence à la surveillance active et à l'atténuation des risques potentiels auxquels votre entreprise pourrait être confrontée. Un plan de gestion des risques, selon la NAIC, comprendra les étapes suivantes.

Établir un programme de sécurité de l'information

La gestion des risques commence par un programme efficace de sécurité de l'information. Un tel programme doit être pertinent pour les opérations de votre entreprise et disposer de suffisamment de ressources pour aider à identifier et à atténuer les risques actuels auxquels votre entreprise peut être confrontée.

Mise en place de contrôles de sécurité

Contrôles de sécurité pour limiter les personnes ayant accès aux données sensibles des clients tout en offrant une couche supplémentaire de protection contre les menaces internes. Votre protocole de contrôle de la sécurité doit impliquer un processus d'authentification pour l'accès aux données, un accès physique restreint aux différentes parties de l'entreprise, des tests et une surveillance réguliers des systèmes de l'entreprise et un développement logiciel sécurisé.

Un plan de gestion des risques d'entreprise qui intègre la cybersécurité

Votre plan ERM doit également inclure les menaces de cybersécurité dans le cadre des éléments potentiels à prendre en compte.

Mettre en place un plan de partage d'informations

Le partage d'informations permet à tous les départements et acteurs de l'industrie de se renseigner sur les nouveaux risques en temps opportun, pour concevoir une réponse appropriée.

Des formations régulières pour maintenir le personnel au fait des risques émergents

Enfin, votre plan de gestion des risques doit impliquer la formation du personnel approprié afin qu'il puisse rester au courant des stratégies en évolution rapide que les cyber-attaquants utilisent.

Note de l'éditeur : Ken Lynch est un vétéran des startups de logiciels d'entreprise, qui a toujours été fasciné par ce qui pousse les travailleurs à travailler et comment rendre le travail plus attrayant. Ken a fondé Reciprocity pour poursuivre exactement cela. Il a propulsé le succès de Reciprocity avec cet objectif basé sur la mission d'impliquer les employés dans les objectifs de gouvernance, de risque et de conformité de leur entreprise afin de créer des entreprises citoyennes plus soucieuses de la société. Ken a obtenu son BS en informatique et en génie électrique du MIT. En savoir plus sur ReciprocityLabs.com.

Avez-vous des idées à ce sujet? Faites-le nous savoir ci-dessous dans les commentaires ou transférez la discussion sur notre Twitter ou Facebook.

Recommandations des éditeurs :

• Cybersécurité & enseignement supérieur
• Sécuriser le cloud
• Qu'est-ce que la tolérance au risque et l'appétit pour le risque
• Meilleures pratiques pour la gestion de la conformité
• Processus efficaces de gestion de l'audit des workflows