Les compagnies d\u2019assurance n\u2019ont pas \u00e0 se d\u00e9barrasser compl\u00e8tement de leurs anciens syst\u00e8mes.\nLes assureurs doivent toutefois s\u2019assurer qu\u2019ils se conforment aux r\u00e9glementations applicables et prot\u00e9ger les clients et l\u2019entreprise contre l\u2019exposition gr\u00e2ce \u00e0 une s\u00e9curit\u00e9 d\u00e9di\u00e9e aux syst\u00e8mes existants. <\/p>\n\n
Pourquoi les assureurs doivent s\u2019attaquer \u00e0 la s\u00e9curit\u00e9 des syst\u00e8mes existants<\/h2>\n\n
La cybercriminalit\u00e9 est une activit\u00e9 lucrative.\nLe piratage et d\u2019autres actes similaires ont co\u00fbt\u00e9 3 000 milliards de dollars \u00e0 l\u2019\u00e9conomie mondiale en 2015 et devraient co\u00fbter jusqu\u2019\u00e0 6 000 milliards de dollars par an d\u2019ici 2021, a d\u00e9clar\u00e9 Steve Morgan<\/a>, fondateur de Cybersecurity Ventures.\nUne \u00e9tude men\u00e9e par Michel Cukier<\/a> , professeur agr\u00e9g\u00e9 \u00e0 l\u2019Universit\u00e9 du Maryland, estime que les pirates informatiques attaquent un syst\u00e8me informatique quelque part dans le monde toutes les 39 secondes en moyenne. <\/p>\n\n Les syst\u00e8mes existants, avec leurs configurations obsol\u00e8tes ou non conformes, offrent un acc\u00e8s plus facile \u00e0 ceux qui cherchent \u00e0 voler les donn\u00e9es des compagnies d\u2019assurance ou \u00e0 causer des m\u00e9faits num\u00e9riques.<\/p>\n\n Les syst\u00e8mes existants sont couramment utilis\u00e9s dans les entreprises et autres organisations du monde entier.\nSouvent, les organisations continuent d\u2019utiliser des logiciels obsol\u00e8tes, car ces derniers servent de support de vie pour les syst\u00e8mes ou les informations critiques. <\/p>\n\n Par exemple, lorsque Microsoft a annonc\u00e9 qu\u2019il ne prendrait plus en charge Windows XP en 2014, le minist\u00e8re am\u00e9ricain de la D\u00e9fense a demand\u00e9 de l\u2019aide pendant que le Pentagone passait \u00e0 Windows 10.\nEnviron 30 % des ordinateurs dans le monde fonctionnaient encore sous Windows XP en 2014, y compris un certain nombre de syst\u00e8mes militaires am\u00e9ricains critiques, selon le journaliste technologique Jeremy Hsu<\/a>. <\/p>\n\n Les organisations peuvent \u00e9galement choisir de continuer \u00e0 utiliser les syst\u00e8mes existants afin de maximiser la valeur de leur investissement dans le logiciel et sa maintenance.\n\u00ab Lorsqu\u2019elles investissent dans une infrastructure, les organisations le font dans l\u2019espoir d\u2019obtenir une certaine dur\u00e9e du produit. Ce cycle de vie fait partie des budgets amortis pluriannuels et des plans d\u2019affaires dont les agents financiers r\u00e9pugnent \u00e0 s\u2019\u00e9carter \u00e0 moins que cela ne soit absolument n\u00e9cessaire \u00bb, explique Jaime Manteiga<\/a>, chercheur en s\u00e9curit\u00e9 de l\u2019information et fondateur de Venkon.us. <\/p>\n\n Enfin, les syst\u00e8mes existants peuvent \u00eatre maintenus parce qu\u2019il s\u2019agit de logiciels personnalis\u00e9s qui font exactement ce dont l\u2019entreprise a besoin, ajoute M. Manteiga.\nLe remplacement de ces syst\u00e8mes personnalis\u00e9s peut \u00eatre co\u00fbteux et difficile. <\/p>\n\n Le fait qu\u2019un syst\u00e8me h\u00e9rit\u00e9 soit commun, pr\u00e9cieux ou indispensable ne signifie pas qu\u2019il est sans risque.\nSouvent, les compagnies d\u2019assurance se retrouvent \u00e0 utiliser des syst\u00e8mes h\u00e9rit\u00e9s qui pr\u00e9sentent des risques de s\u00e9curit\u00e9 importants, car il n\u2019y a pas de meilleure option.\nPar exemple, une grande plate-forme peut ne pas avoir de remplacement fonctionnel, ou un logiciel fonctionne mais n\u2019est pas conforme aux derni\u00e8res lois ou r\u00e9glementations en mati\u00e8re de s\u00e9curit\u00e9.\nDans ces cas, il est indispensable de pr\u00eater attention \u00e0 la s\u00e9curit\u00e9 des syst\u00e8mes existants. <\/p>\n\n Il est facile de voir \u00e0 quel point une s\u00e9curit\u00e9 obsol\u00e8te sur un syst\u00e8me h\u00e9rit\u00e9 peut mettre en p\u00e9ril les informations stock\u00e9es dans ce syst\u00e8me.\nCependant, ces syst\u00e8mes pr\u00e9sentent \u00e9galement des risques pour tous les autres syst\u00e8mes du r\u00e9seau d\u2019une compagnie d\u2019assurance. <\/p>\n\n Imaginons par exemple un assureur dont les syst\u00e8mes d\u2019information comprennent un serveur dont le syst\u00e8me d\u2019exploitation date de quinze ans et qui contient une vuln\u00e9rabilit\u00e9 connue.\nCette vuln\u00e9rabilit\u00e9, si elle n\u2019est pas corrig\u00e9e, devient une porte ouverte pour un acc\u00e8s non autoris\u00e9. <\/p>\n\n \u00ab Si les attaquants acc\u00e8dent \u00e0 cette machine non corrig\u00e9e (ce qui est beaucoup plus facile que de pirater un serveur moderne et bien corrig\u00e9), ils peuvent s\u2019enfoncer lat\u00e9ralement plus profond\u00e9ment dans le r\u00e9seau \u00bb, explique Lior Neudorfer<\/a>, vice-pr\u00e9sident des produits chez Guardicore, soci\u00e9t\u00e9 de s\u00e9curit\u00e9 des centres de donn\u00e9es et du cloud.<\/p>\n\n Cet exemple n\u2019est pas tout \u00e0 fait imaginaire.\nEn mai 2019, Microsoft a publi\u00e9 un correctif pour Windows XP et Windows Server 2003.\nAlors que les deux syst\u00e8mes d\u2019exploitation approchent de leur 20e anniversaire, ils sont toujours utilis\u00e9s dans le cadre des syst\u00e8mes informatiques de nombreuses organisations, \u00e9crivent Daniel Goldberg et Ophir Harpaz<\/a> de Guardicore. <\/p>\n\n Les pirates recherchent d\u00e9j\u00e0 les n\u0153uds les moins s\u00e9curis\u00e9s d\u2019un r\u00e9seau afin d\u2019y acc\u00e9der.\nDans un exemple c\u00e9l\u00e8bre, les pirates ont utilis\u00e9 un capteur intelligent d\u2019aquarium pour acc\u00e9der au r\u00e9seau d\u2019un casino de Las Vegas, puis ont finalement p\u00e9n\u00e9tr\u00e9 dans une base de donn\u00e9es contenant des informations sur les clients du casino \u2013 des donn\u00e9es que le casino pensait s\u00e9curis\u00e9es. <\/p>\n\n \u00ab Quelqu\u2019un a utilis\u00e9 l\u2019aquarium pour entrer dans le r\u00e9seau, et une fois qu\u2019il \u00e9tait dans l\u2019aquarium, il a scann\u00e9 et trouv\u00e9 d\u2019autres vuln\u00e9rabilit\u00e9s et s\u2019est d\u00e9plac\u00e9 lat\u00e9ralement vers d\u2019autres endroits du r\u00e9seau \u00bb, explique Justin Fier<\/a>, directeur du renseignement et de l\u2019analyse cybern\u00e9tiques de la soci\u00e9t\u00e9 d\u2019IA cybern\u00e9tique Darktrace.<\/p>\n\n \u00c0 l\u2019instar des aquariums, les syst\u00e8mes existants peuvent repr\u00e9senter la partie la plus faible du r\u00e9seau d\u2019une compagnie d\u2019assurance, ce qui rend l\u2019ensemble de l\u2019infrastructure informatique vuln\u00e9rable.<\/p>\n\n Les syst\u00e8mes existants sont souvent au c\u0153ur des d\u00e9fis de s\u00e9curit\u00e9 des donn\u00e9es.\n\u00ab Les syst\u00e8mes informatiques existants sont souvent au c\u0153ur des incidents de cyberviolation, et comme la mise hors service n\u2019est g\u00e9n\u00e9ralement pas une option, les professionnels de la s\u00e9curit\u00e9 de l\u2019information doivent g\u00e9rer le risque \u00bb, d\u00e9clare Bobby Ford<\/a>, vice-pr\u00e9sident et directeur mondial de la s\u00e9curit\u00e9 de l\u2019information chez Unilever. <\/p>\n\n Les syst\u00e8mes existants posent un certain nombre de d\u00e9fis aux \u00e9quipes informatiques.\nPar exemple, les nouvelles mises \u00e0 jour logicielles, y compris les correctifs de s\u00e9curit\u00e9, sont plus difficiles \u00e0 appliquer aux syst\u00e8mes plus anciens.\nUn syst\u00e8me h\u00e9rit\u00e9 peut \u00e9galement ne pas disposer d\u2019une documentation ad\u00e9quate de ses contr\u00f4les de s\u00e9curit\u00e9 existants.\nSans cette documentation, les \u00e9quipes informatiques ont plus de mal \u00e0 ajouter des pare-feu, des unit\u00e9s de cryptage, des d\u00e9tecteurs de logiciels malveillants et d\u2019autres outils de s\u00e9curit\u00e9, \u00e9crit Susan Crozier Cox<\/a> , ing\u00e9nieure principale \u00e0 l\u2019Institut de g\u00e9nie logiciel de l\u2019Universit\u00e9 Carnegie Mellon. <\/p>\n\n En outre, les \u00e9quipes informatiques sont confront\u00e9es \u00e0 une pression accrue lorsqu\u2019elles tentent de s\u00e9curiser un syst\u00e8me existant.\nNon seulement l\u2019\u00e9quipe doit se tenir au courant des risques et des outils de s\u00e9curit\u00e9 en constante \u00e9volution, mais elle doit \u00e9galement s\u2019assurer que ces risques et outils sont compris et adapt\u00e9s correctement dans le contexte d\u2019un syst\u00e8me h\u00e9rit\u00e9 – le m\u00eame syst\u00e8me pour lequel il n\u2019existe peut-\u00eatre pas de documentation ad\u00e9quate. <\/p>\n\n Tous ces d\u00e9fis peuvent rendre la maintenance et la s\u00e9curisation des syst\u00e8mes existants d\u00e9courageantes.\nDans le m\u00eame temps, les co\u00fbts financiers et les inconv\u00e9nients li\u00e9s au passage \u00e0 un syst\u00e8me enti\u00e8rement nouveau peuvent sembler tout aussi d\u00e9courageants. <\/p>\n\n Les syst\u00e8mes existants jouent souvent un r\u00f4le cl\u00e9 dans les activit\u00e9s quotidiennes d\u2019un assureur de dommages.\nLe respect des meilleures pratiques pour la mise \u00e0 jour et la pr\u00e9servation de la s\u00e9curit\u00e9 des syst\u00e8mes existants peut aider les compagnies d\u2019assurance \u00e0 s\u2019assurer qu\u2019elles peuvent utiliser les donn\u00e9es de leurs syst\u00e8mes existants en toute s\u00e9curit\u00e9. <\/p>\n\n La s\u00e9curit\u00e9 des syst\u00e8mes existants n\u00e9cessite l\u2019aide de professionnels exp\u00e9riment\u00e9s de la s\u00e9curit\u00e9 informatique, mais le projet ne peut pas \u00eatre laiss\u00e9 entre leurs mains exclusives.\nAu lieu de cela, les professionnels de la s\u00e9curit\u00e9 et les professionnels des affaires doivent travailler ensemble. <\/p>\n\n \u00ab Le r\u00f4le des professionnels de la s\u00e9curit\u00e9 est d\u2019\u00e9valuer la probabilit\u00e9 et l\u2019impact potentiel d\u2019une cyberattaque, tandis que le r\u00f4le des entreprises [professionals] est d\u2019identifier les syst\u00e8mes et les processus les plus critiques \u00bb, explique M. Ford.<\/p>\n\n De nombreuses compagnies d\u2019assurance cherchent \u00e0 cr\u00e9er des \u00e9cosyst\u00e8mes commerciaux, en s\u2019associant \u00e0 d\u2019autres entreprises pour placer l\u2019assureur exactement l\u00e0 o\u00f9 il doit \u00eatre pour aider les clients \u00e0 chaque \u00e9tape de leur parcours de vie.<\/p>\n\n Un certain nombre de technologies soutiennent la cr\u00e9ation d\u2019\u00e9cosyst\u00e8mes, comme l\u2019utilisation d\u2019interfaces de traitement d\u2019applications (API) pour connecter les logiciels et les syst\u00e8mes afin d\u2019am\u00e9liorer le transfert et le partage des donn\u00e9es.\nCependant, lorsque les syst\u00e8mes existants sont inclus dans un \u00e9cosyst\u00e8me pilot\u00e9 par API, le processus devient plus complexe, en particulier en l\u2019absence de directives pour s\u00e9curiser la technologie existante, \u00e9crit Shuvo G. Roy<\/a>, responsable des solutions bancaires et des march\u00e9s de capitaux chez Mphasis. <\/p>\n\n Les syst\u00e8mes existants n\u2019emp\u00eachent pas une compagnie d\u2019assurance de construire un \u00e9cosyst\u00e8me viable.\nLes assureurs et leurs partenaires de l\u2019\u00e9cosyst\u00e8me b\u00e9n\u00e9ficieront toutefois de la prise en compte des d\u00e9fis de s\u00e9curit\u00e9 suppl\u00e9mentaires qui se posent lorsque les syst\u00e8mes existants entrent dans l\u2019\u00e9quation. <\/p>\n\n Les co\u00fbts de mise \u00e0 niveau vers une nouvelle plateforme peuvent sembler \u00e9crasants.\nCependant, ils peuvent \u00eatre consid\u00e9rablement inf\u00e9rieurs aux co\u00fbts de continuer \u00e0 allaiter le long d\u2019un syst\u00e8me h\u00e9rit\u00e9 obsol\u00e8te. <\/p>\n\n Par exemple, un rapport<\/a> du GAO estime qu\u2019environ 80 % du budget informatique de 90 milliards de dollars du gouvernement f\u00e9d\u00e9ral est consacr\u00e9 \u00e0 l\u2019exploitation et \u00e0 la maintenance de syst\u00e8mes plus anciens, y compris des syst\u00e8mes h\u00e9rit\u00e9s qui peuvent avoir plus de cinquante ans dans certains cas.\nAu fil du temps, les syst\u00e8mes h\u00e9rit\u00e9s consomment une partie du budget d\u2019une organisation qui pourrait \u00eatre mieux d\u00e9pens\u00e9e pour la mise \u00e0 niveau de nouvelles technologies.\nFace au co\u00fbt de la mise \u00e0 niveau, certaines entreprises se tournent vers les correctifs de firmware pour moderniser les syst\u00e8mes existants.\nBien que les correctifs puissent \u00eatre efficaces dans certains cas, cette pratique finit souvent par co\u00fbter plus cher au fil du temps qu\u2019une mise \u00e0 niveau, expliquent David Dedinsky et Ricardo Duque<\/a> de Vertiv. <\/p>\n\n \u00ab\u00a0Les syst\u00e8mes ne sont pas optimis\u00e9s, ce qui conduit \u00e0 des taux d\u2019utilisation alarmants et \u00e0 des serveurs zombies inefficaces\u00a0\u00bb, \u00e9crivent-ils.\nLes correctifs de micrologiciel peuvent aider un syst\u00e8me h\u00e9rit\u00e9 \u00e0 se d\u00e9brouiller, mais ne r\u00e9solvent pas les probl\u00e8mes sous-jacents qui font du syst\u00e8me h\u00e9rit\u00e9 un mauvais choix pour un investissement continu. <\/p>\n\n Des options telles que les syst\u00e8mes globaux peuvent aider les compagnies d\u2019assurance \u00e0 am\u00e9liorer leur efficacit\u00e9 et \u00e0 continuer \u00e0 servir les clients pendant qu\u2019elles travaillent sur des mesures de s\u00e9curit\u00e9 et des mises \u00e0 niveau, explique Kumar Utpal<\/a>, directeur r\u00e9gional des ventes pour la banque et l\u2019assurance chez In2IT.\nLorsque la s\u00e9curit\u00e9 est prioritaire, les compagnies d\u2019assurance peuvent trouver des moyens d\u2019utiliser leur investissement existant tout en introduisant progressivement des technologies de pointe. <\/p>\n\n Images par\u00a0: everythingpossible\/\u00a9123RF.com, Konstantin Pelikh\/\u00a9123RF.com, Evgeniy Shkolenko\/\u00a9123RF.com<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Les syst\u00e8mes existants h\u00e9bergent des informations essentielles pour les assureurs, mais ils peuvent \u00e9galement pr\u00e9senter un risque pour la s\u00e9curit\u00e9. Plus un syst\u00e8me h\u00e9rit\u00e9 vieillit, moins il est capable de suivre les nouveaux d\u00e9veloppements technologiques, ce qui le rend vuln\u00e9rable aux menaces num\u00e9riques. Les syst\u00e8mes h\u00e9rit\u00e9s plus anciens sont \u00e9galement moins susceptibles d\u2019avoir les d\u00e9veloppeurs […]<\/p>\n","protected":false},"featured_media":0,"template":"","insight-category":[],"class_list":["post-20898","insight","type-insight","status-publish","hentry"],"acf":[],"_links":{"self":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/insight\/20898","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/insight"}],"about":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/types\/insight"}],"wp:attachment":[{"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/media?parent=20898"}],"wp:term":[{"taxonomy":"insight-category","embeddable":true,"href":"https:\/\/bolttech.io\/fr\/wp-json\/wp\/v2\/insight-category?post=20898"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Pourquoi les organisations aiment-elles leurs syst\u00e8mes existants ?<\/h3>\n\n
![\"\"](\"https:\/\/bolttech.io\/wp-content\/uploads\/2024\/08\/server-configurations-1024x683.jpg\")
<\/figure>\n\nUn facile \u00e0 entrer.<\/h3>\n\n
D\u00e9fis de la s\u00e9curit\u00e9 des donn\u00e9es sur les syst\u00e8mes existants<\/h2>\n\n
![\"\"](\"https:\/\/bolttech.io\/wp-content\/uploads\/2024\/08\/control-check-1-1024x683.jpg\")
<\/figure>\n\nMeilleures pratiques pour les mises \u00e0 jour de s\u00e9curit\u00e9 des syst\u00e8mes h\u00e9rit\u00e9s<\/h2>\n\n
Travaillez en \u00e9quipe.<\/h3>\n\n
\u00c9largissez vos horizons de s\u00e9curit\u00e9.<\/h3>\n\n
Adoptez l\u2019efficacit\u00e9.<\/h3>\n\n