MNH : une nouvelle cyberattaque d’ampleur touche le monde de l’assurance

MNH : une nouvelle cyberattaque d’ampleur touche le monde de l’assurance

Anaïs

Par Anaïs

Mis à jour le
min de lecture

Depuis plusieurs jours, la Mutuelle Nationale des Hospitaliers est victime d’une cyberattaque qui a forcé l’entreprise à couper ses services en ligne pour limiter la propagation d’un virus. Peu d’informations ont pour l’instant été dévoilées sur les détails de l’assaut informatique, mais il n’est pas sans rappeler ce qui est arrivé à la MMA en juillet 2020.

  • Cyberattaque : quelles conséquences pour la Mutuelle Nationale des Hospitaliers ?
  • Depuis le vendredi 5 février 2021, la Mutuelle Nationale des Hospitaliers est victime d’une cyberattaque ;
  • Près d’une semaine plus tard, les services en ligne sont toujours inaccessibles ;
  • Ceux-ci ont été coupés pour éviter la propagation du virus, introduit à l’aide d’un « logiciel malveillant » ;
  • À ce jour, encore très peu d’informations sont disponibles sur la nature même de l’attaque ;
  • Cette situation n’est pas sans rappeler la cyberattaque subie par le groupe Covéa durant l’été 2020, laquelle avait entre autres incapacité la MMA et ses services en ligne pendant plusieurs jours ;
  • Sans surprise, il s’agissait également d’une attaque par « logiciel malveillant », un ransomware, lequel bloque l’accès aux données par les entreprises touchées. Les pirates promettent alors de lever les restrictions contre une somme d’argent ;
  • Bien que l’on ne sache rien de concret sur la situation de la MNH à l’heure actuelle, il est fort probable que la nature de l’attaque soit la même et que le retour à la normale soit potentiellement difficile ;
  • Ce type d’attaques n’est pas nouveau, mais elle se multiplieraient, alors que leur coût deviendrait de plus en plus important pour les entreprises ;
  • Cependant, en 2021 encore, il semblerait que les entreprises françaises soient toujours mal préparées face aux cybermenaces, voire pas du tout.

Mutuelle Nationale des Hospitaliers : une cyberattaque d’ampleur, et peu d’informations

La question de la cybersécurité dans le secteur de l’assurance revient sur le devant de la scène, alors que la Mutuelle Nationale des Hospitaliers – ou MNH – est victime d’une cyberattaque depuis le vendredi 5 février 2021, rapporte BFMTV. Depuis une semaine, les services en ligne sont donc inaccessibles aux adhérents et partenaires.

C’est l’Argus de l’Assurance qui a d’abord relevé la situation. Dans un article publié le 9 février dernier, le site faisait état d’une attaque causée par un « logiciel malveillant », selon un porte-parole de la MNH. « Le système d’information de la mutuelle a été déconnecté dès la détection du virus vendredi, afin d’éviter sa propagation, est-il expliqué. Cette déconnexion a rendu les sites internet et la plateforme téléphonique de la mutuelle temporairement indisponible. Mais la quasi-totalité des opérations est aussi provisoirement à l’arrêt […] ».

Aujourd’hui, vendredi 12 février 2021, le site de la MNH est encore inaccessible et il semble que la situation ne soit pas encore réglée. Très peu d’informations supplémentaires sont disponibles à cette heure.

Les assureurs français sont-ils assez protégés face aux cybermenaces ?

cyberattaque

L’été dernier, Selectra évoquait une affaire similaire lorsque la MMA a été victime d’une cyberattaque d’ampleur, ainsi que plusieurs entités du groupe Covéa, dont la MAAF et la GMF. Durant plusieurs jours, là aussi, les services en ligne avaient été mis à l’arrêt et très peu d’informations concernant la nature de l’attaque avaient été dévoilées. Cependant, dès que l’affaire a été rendue publique, des experts de la cybersécurité soupçonnaient un ransomware, ou rançongiciel en français, ce qui a ensuite été confirmé par Covéa.

Très concrètement, un ransomware permet aux pirates informatiques de s’infiltrer dans le système de l’entreprise en vue de réaliser une prise d’otage virtuelle des données. Ces dernières sont encryptées et deviennent inaccessibles à ses propriétaires. En échange d’argent, les hackers promettent de rétablir leurs accès.

Le phénomène n’est pas nouveau, mais il devient de plus en plus coûteux aux entreprises. L’an dernier, le rapport annuel Hiscox sur les cybermenaces et la cyberrésiliences des entreprises avançait qu’au total, sur les douze derniers mois, les cyberattaques avaient coûté 1,6 milliard d’euros à leurs victimes. En une année seulement, le coût médian avait explosé, passant de 9 000 à 52 000 euros par entreprise, alors que le nombre de sociétés touchées, lui, était apparemment en baisse, passant de 61 % en 2019 à 39 % en 2020.

Face à ce phénomène, les entreprises – assureurs compris – se protègent davantage. Toujours selon le rapport Hiscox, leurs dépenses en matière de cybersécurité avaient ainsi augmenté de 39 % en 2019.

Dans une étude publiée en janvier 2021 par le courtier Bessé, le constat n’était cependant pas rassurant. Selon le document, les entreprises françaises restent toujours peu préparées face au risque de cyberattaques. Dans un contexte de plus en plus favorable à l’usage des nouvelles technologies dans le monde professionnel, favorisant le travail à distance et les outils numériques, les entreprises ne seraient pas prêtes. « Jamais un tel péril n’a autant menacé l’économie, il est systémique, diffus et sournois, plus encore que le Covid. Pour les entreprises, la question n’est plus de savoir si elles vont être attaquées, mais quand et avec quelle intensité », s’alarme Pierre Bessé, PDG du courtier Bessé.

cyberattaque

Selon les chiffres de l’Agence nationale de sécurité des systèmes d’information – Anssi –, repris dans l’étude, le nombre de cyberattaques de nature ransomware aurait été multiplié par trois ou quatre en seulement une année.

Les Échos relèvent que « sur le panel observé, le risque de défaillance augmente de 50 % dans les trois mois qui suivent l’annonce de l’incident. [Et que ce] risque atteint même 80 % pour les entreprises françaises ».

Le journal rappelle également que si l’on a aujourd’hui connaissance d’un certain nombre d’attaques, le phénomène pourrait être en réalité bien plus important. Il souligne également que « 80 % des entreprises françaises n’ont pas de plan de réponse aux incidents robustes » (IBM Ponemon Institute) et que « 86 % d’entre elles n’ont toujours pas souscrit de contrat de cyberassurance » (Clusif).

En 2021, il semble donc urgent pour les assureurs français de changer leur rapport à la cybersécurité, et de prévenir le risque plutôt que d’en subir les conséquences. Les données stockées et manipulées dans le cadre de la santé sont particulièrement sensibles, et la vulnérabilité des entreprises face aux attaques informatiques est considérée par beaucoup comme inacceptable et irresponsable.

Depuis de nombreuses années, certains experts alertent sur les dangers liés aux cyberattaques dans un monde dépendant du numérique. Les entreprises semblent incapables d’évaluer correctement le risque que cela implique et d’agir pour renforcer des mesures de protection qui auraient dû être implémentées dès le début. En 2018, un sondage réalisé par Ipsos pour PwC dévoilait que trois entreprises sur dix ne connaissaient pas les offres cyberassurantielles.

Partager cet article !