Collectivités, associations, entreprises, particuliers jeunes et moins jeunes… chacun peut être victime de cyberattaques. Au-delà de leurs répercussions techniques et financières, elles atteignent aussi l’intimité numérique des citoyens.
Face à ces menaces toujours plus sophistiquées et ciblées, la cybersécurité ne peut plus être une affaire individuelle. Elle doit relever d’un engagement sociétal fort. Il en va d’une société plus sûre. Voici venu le temps de la résilience numérique.
Quand le risque cyber devient une menace systémique
« Bonjour vous êtes chez vous ? ». Qui n’a jamais reçu de (faux) SMS alors qu’il attendait une (vraie) livraison ? C’est exactement ce que l’on appelle une tentative d’hameçonnage et c’est la cybermenace qui prédomine en France(1). Aussi appelée ingénierie sociale, cette technique de manipulation a pour but d’obtenir des données confidentielles de la part d’une personne peu méfiante. Avec la violation de données personnelles, le piratage de compte, les rançongiciels ou encore les arnaques aux faux supports techniques, elle vient compléter la panoplie des cybercriminels.
Et en 2024, les arnaques en ligne ont été particulièrement prolifiques. La plateforme Cybermalveillance.gouv.fr. – qui informe, sensibilise et assiste les victimes de cyber malveillances – a notamment vu son audience atteindre 5,4 millions de visiteurs uniques. Quelque 420 000 demandes d’assistance ont également été enregistrées. C’est près de 50% de plus que l’année précédente (1).
Car loin de n’être que l’affaire des « geeks » ou des personnes numériquement illettrées, les cybermenaces concernent absolument chaque segment de la société. Elles représentent même le risque n°1 pour les entreprises en 2025(2). Face à ce fléau numérique, chacun est une proie potentielle. Et les arnaques et vols de données – au-delà des aspects techniques, financiers ou opérationnels – peuvent avoir des répercussions très concrètes sur le quotidien des victimes. Il ne s’agit malheureusement pas toujours de changer son mot de passe pour clore l’incident. Certaines organisations ont parfois mis des mois, voire des années à résoudre une cyber crise. Avec au passage, un impact psychologique loin d’être anodin.
La cybersécurité touche au cœur de la protection sociale
Certains actes de cyber malveillance peuvent aller jusqu’à perturber tout un écosystème. En février dernier, c’est Harvest, éditeur de logiciel à destination des gestionnaires de patrimoine, qui en a fait les frais, victime d’un ransomware. Cette forme d’extorsion, aussi appelée rançongiciel, est un type de logiciel malveillant qui chiffre un système informatique et exige une rançon en échange d’une clé de déchiffrement. Autrement dit : un véritable cauchemar pour les entreprises. Cette cyberattaque a donc eu des conséquences sur Harvest évidemment. Mais aussi sur ses clients. Et des clients, Harvest en a beaucoup. 4 600 pour être précis. Une véritable onde de choc et, in fine, une possible compromission des données personnelles de milliers de personnes. Et c’est bien là le « double effet kiss cool » des cyberattaques. Au-delà d’une paralysie du système informatique qui freine l’activité, l’autre risque, c’est la fuite de données personnelles.
Parmi celles particulièrement prisées par les cybercriminels, les données médicales (ordonnances, prescriptions, coordonnées bancaires associées aux paiements de soins…) représentent une manne très juteuse. Dates de naissance et numéros de sécurité sociale suffisent par exemple à usurper une identité. Et donc à créer des comptes frauduleux pour effectuer des transactions illicites, de fausses démarches administratives, ou pour solliciter des prêts.
En la matière, un autre exemple fait date : celui de la cyberattaque dont Viamedis et Almerys, deux opérateurs assurant la gestion du tiers payant des complémentaires santé, ont été victimes en février 2024. États civils, dates de naissance, numéros de sécurité sociale, noms des assureurs santé ou encore garanties du contrat souscrit… ce sont les données personnelles de plus de 33 millions de personnes qui ont fuité. Là encore : double peine pour les victimes. Au-delà de l’angoisse bien réelle générée par le sort incertain de leurs données, certains patients ont vu la gestion de leur dossier considérablement entravée.
En visant des établissements liés à la santé, les cybercriminels font peser bien plus qu’un préjudice technique ou financier sur leurs victimes. Ils touchent aussi à l’intimité numérique des citoyens. La cybersécurité doit donc devenir une responsabilité sociétale prioritaire. Une responsabilité que les acteurs mutualistes, en tant qu’experts de la protection, souhaitent endosser pleinement.
Pour Annick Rimlinger, Directrice sûreté-sécurité, cyber & data protection pour Aéma Groupe, « La cybersécurité est un enjeu majeur pour les assureurs mutualistes, surtout lorsqu’il s’agit de préserver la confiance de leurs assurés ».
Résilience numérique et cyber solidarité : le rôle clé des assureurs mutualistes
La fréquence des cyberattaques ne devrait malheureusement pas s’amenuiser à l’avenir. Entre l’intelligence artificielle qui offre une surface d’attaque encore plus importante, et une ingénierie sociale(3) toujours plus sophistiquée, les cybermenaces se diversifient et s’intensifient. Heureusement, les obligations de sécurisation pour les entreprises aussi. Ainsi, la directive NIS 2(4) tout comme le Digital Operational Resilience Act (DORA)(5) imposent aujourd’hui aux entreprises des obligations strictes en matière de gestion des risques numériques, de tests de résilience, mais aussi et surtout de coopération entre les acteurs.
« En tant que groupe mutualiste, nous avons au cœur de notre ADN la conviction que la construction de réponses face au risque passe par une mobilisation de tous. » Pascal Michard, Président Aéma Groupe.
Ce cadre réglementaire est un levier fondamental pour rendre le secteur plus résilient et poser des bases de cyber solidarité entre assureurs, pouvoirs publics, entreprises et citoyens. Mais il doit être associé à de réelles politiques de sensibilisation au sein des entreprises. Dans ce contexte, les assureurs mutualistes, en tant que tiers de confiance, ont un rôle moteur à jouer. Aéma Groupe s’engage ainsi activement auprès de ses équipes, assurés, sociétaires et clients en multipliant les initiatives pédagogiques. Le groupe profite notamment du Cybermois(6) pour organiser des ateliers thématiques, mener des exercices de lutte contre le phishing et développer des outils pédagogiques innovants.
L’objectif ? Faire prendre conscience aux collaborateurs du rôle important qu’ils jouent au quotidien dans la sécurité de l’entreprise. Et plus globalement : défendre la protection pour tous, y compris celle au sein de l’espace numérique. Une façon de positionner la cybersécurité comme un bien commun, au même titre que la santé ou le logement. Le groupe prend aussi régulièrement la parole pour promouvoir une vision collective de la cybersécurité, convaincu qu’une mobilisation de tous les acteurs de l’écosystème et des pouvoirs publics est clé. Un nouveau contrat social numérique pour bâtir une société numérique plus sûre et plus résiliente.
———–
1. D’après le rapport d’activité 2024 de Cybermalveillance.gouv.fr
2. Donnée issue d’une étude de l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
3. L’ANSSI définit l’ingénierie sociale comme une « manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes »
4. La directive NIS 2 vise à harmoniser la cybersécurité dans l’ensemble de l’Union Européenne. Elle a pour objectif d’inciter les entreprises et les organisations à atteindre un niveau de sécurité numérique élevé. Elle s’applique en parallèle du règlement DORA, qui couvre lui les secteurs de la finance et de l’assurance.
5. DORA est un règlement de l’Union Européenne qui concerne principalement les entreprises du secteur financier de l’UE. Il vise à assurer leur résilience en matière de cybersécurité. Le règlement DORA est entré en vigueur le 16 janvier 2023 et s’applique depuis le 17 janvier 2025.
6. Le Cybermois – ou Mois européen de la cybersécurité – est une initiative européenne créée en 2012 par l’ENISA (Agence de l’Union Européenne pour la cybersécurité) qui vise à sensibiliser aux cybermenaces et aux bons réflexes pour s’en protéger. En France, il est piloté par Cybermalveillance.gouv.fr.
