Le 29 septembre 2014, le courtier en assurance britannique Brightside a subi une violation de ses systèmes via son site « Ecar Insurance ». Ce courtier est une cible de choix pour les attaquants compte tenu des types de données qu’il pourrait posséder (donnée financière, donnée de santé,…) et de leur volumétrie probable, Brightside ayant une croissance très dynamique au Royaume-Uni.
Une cyberattaque sans vol de données
Une fois l’attaque identifiée, le courtier a immédiatement fermé son site afin de procéder à un audit de son système et identifier les défaillances. Il a également communiqué auprès de ses clients pour les informer de l’attaque.
Suite à l’analyse de la cyberattaque, Brightside a déclaré qu’aucune donnée à caractère personnel appartenant à ses clients n’avait été volée : seuls quelques documents commerciaux présents sur le site ont été accessibles par le hacker.
Cette attaque est cependant marquante car c’est la première fois qu’un acteur du monde de l’assurance est victime d’une cyberattaque (ou du moins qui déclare l’avoir été !). Avec des assureurs de plus en plus connectés avec l’extérieur (évolution de la distribution, objets connectés, big data…), il est probable qu’ils soient à l’avenir de plus en plus visés.
Par conséquent, les assureurs sont face à de véritables enjeux : sécuriser les futurs projets liés à l’utilisation des objets connectés qui vont augmenter le nombre de « portes » exploitables pour s’introduire dans les systèmes (intégration de la sécurité dans les projets) et renforcer la sécurisation des sites compte tenu de l’évolution d’une distribution de plus en plus orientée « web ».