Cofondateur de Sekur'Up Advisory & Consulting La cybersécurité s'impose comme un enjeu stratégique majeur pour les entreprises marocaines, et en particulier pour le secteur de l'assurance. Les résultats de l'Ausimètre 2024-2025, élaboré par l'AUSIM et PwC Maroc, révèlent une prise de conscience accrue face aux cyber-risques, mais aussi des fragilités persistantes en matière de gouvernance, d'anticipation et de maîtrise de l'intelligence artificielle. Entre rançongiciels, fuites de données et nouvelles formes d'attaques liées à l'IA, le marché marocain accélère ses investissements tout en devant repenser en profondeur ses stratégies de résilience et de prévention. Quelles sont les principales menaces cyber auxquelles font face les assureurs et leurs clients au Maroc ? Les assureurs, comme tous les autres acteurs dont l'industrie est basée sur l'IT, font face à tous les types de risques cyber connus. Leurs plateformes sont généralement exposées sur Internet pour permettre une meilleure expérience utilisateur à travers la digitalisation d'une bonne partie des services (gestion des comptes – suivi des dossiers – souscriptions – paiements). Ils sont donc face à un danger permanent pouvant émaner d'une tierce partie malveillance qui peut recourir aux vols de données, à l'usurpation d'identité, ou même d'un déni de service. À ceux-là s'ajoutent les risques des attaques internes, lesquels peuvent être orchestrées par des employés desdites structures ayant un avantage de parfaite maîtrise et connaissance de l'environnement. Quels produits d'assurance existent sur le marché pour couvrir les risques liés à la cybersécurité ? Les risques cyber étant omniprésents, les assurances ont pu répondre à la problématique en créant des produits d'assurance destinés à assurer une couverture des risques cybersécurité de l'organisme souscripteur. Les produits sont mis à la disposition des différents acteurs publics et privés afin de leur garantir une ligne de protection supplémentaire. Celle-ci vient s'ajouter aux nombreux autres contrôles existants visant à garantir une bonne résilience opérationnelle et numérique des organisations. Inutile de rappeler que la responsabilité de la sécurisation de tout environnement IT demeure une obligation de l'organisation. Même après avoir souscrit à un produit similaire, la responsabilité n'est donc pas imputable. Quels outils ou technologies utilisez-vous pour détecter et prévenir les attaques ou fraudes dans le domaine de l'assurance ? Le premier pas que je recommande toujours est d'abord celui de bien connaître son environnement. Cela ne peut être concrétisé que par le biais d'un réel exercice d'identification des différents processus métiers existants pour être capable ensuite d'identifier les actifs informationnels permettant la réalisation des services en question. À partir de là, un exercice d'analyse des risques relatif à chaque actif peut être possible, en vue de sortir avec une cartographie détaillée incluant l'ensemble des mesures de contrôle à mettre en place pour assurer un niveau de sécurité acceptable. Les mesures peuvent inclure des actions relevant du volet humain comme de la formation et sensibilisation des personnes. D'autres mesures, comme la mise en place des processus et documentation relevant du volet organisationnel, peuvent s'ajouter, sans oublier les mesures technologiques susceptibles d'inclure le déploiement des solutions de sécurité ou la configuration sécurisée des actifs informatiques. Quels défis réglementaires ou normatifs rencontrez-vous en matière de protection des données et cybersécurité ? Je n'oserais pas les qualifier de défis mais plutôt d'enablers. En effet, l'existence des cadres réglementaires et normatifs en matière de protection des données permet à l'organisation d'atteindre ses objectifs business tout en garantissant la continuité des services. Imaginez que votre structure soit attaquée et que cet incident ait donné lieu à une fuite massive des données personnelles des clients. Vous risquez une poursuite judiciaire pour avoir failli à vos responsabilités en matière de protection des données qui vous ont été confiées par vos clients et partenaires. Sans oublier les pénalités applicables par régulateurs et la perte de la confiance et de l'image de marque. En réalité, vous vous épargnez de vous retrouver dans des situations aussi désastreuses en appliquant les bons contrôles de sécurité, ce qui, en réalité, ne peut se faire qu'en conduisant des exercices de mise en conformité vis-à-vis des cadres normatifs et réglementaires. Quels conseils donneriez-vous aux assureurs traditionnels et Assurtech pour renforcer leur résilience face aux cyber-risques ? Mon conseil est de passer à l'action et tout de suite. Tout est rattrapable sauf lorsque tout votre business s'envole en l'air, à cause d'une attaque cybersécurité. Restez vigilants ! Abdelhafid Marzak / Les Inspirations ECO
