Au cœur de la transformation digitale des assureurs, les API, servant d’intermédiaire entre deux systèmes informatiques pour leur permettre de communiquer entre eux se déploient à un rythme exponentiel. Elles viennent aujourd’hui révolutionner le secteur de l’assurance en régulant l’accès aux données et en permettant de proposer, ainsi, des expériences clients personnalisées. Une accélération qui n’est pas, toutefois, sans poser de nouveaux défis en matière de sécurité, puisqu’elle élargit la surface d’attaque potentielle pour les pirates informatiques.
Un secteur des assurances en pleine mutation
Avec les services financiers et le retail, les métiers de l’assurance sont aujourd’hui parmi les plus touchés par la recrudescence des attaques ciblant les API1. Ces interfaces innovantes sont désormais au cœur de cette profession. Il est loin le temps où on appelait les courtiers d’assurance uniquement pour souscrire une nouvelle police. Actuellement, les assurés s'attendent à pouvoir effectuer instantanément une multitude de démarches en ligne : signature de documents, déclaration de sinistres, renouvellement d’un contrat ou encore suivi des indemnisations. Pour répondre à ces nouvelles attentes, les compagnies d’assurance ont donc recours aux API (Application Programming Interface) pour optimiser l’expérience client et accélérer la délivrance de leurs services en traitant, ainsi qu’en partageant automatiquement leurs données avec une myriade de tiers. Depuis la pandémie de 2020, le nombre de prestataires à avoir adopté une technologie d'automatisation basée sur les API a grimpé en flèche. Le cabinet McKinsey pointe ainsi une accélération de leurs utilisations mais aussi du recours à l’IA, en passe de remodeler entièrement l’univers de l'assurance d'ici à 2030, et ce, dans le monde entier2.
Les API : surface d’attaque élargies pour les pirates informatiques
Si les API ont propulsé le monde de l’assurance dans l'ère moderne, leur utilisation intensive, ainsi que l'adoption d'architectures basées sur des microservices, fragilise aussi les systèmes d’information. Selon une récente étude1, 92 % des personnes évoluant dans ce secteur ont rencontré au moins un problème de sécurité important avec leurs API de production, au cours de l'année écoulée. On constate aussi une augmentation stupéfiante du nombre d'attaques uniques, qui s’est accru de 244 % entre le premier et le second semestre 2022. 27 % des personnes interrogées admettent par ailleurs avoir été récemment confrontées à une exposition de données sensibles ou à un incident de confidentialité.
Jusqu’à présent, le système d’authentification classique utilisé avec les API était considéré comme suffisamment dissuasif pour repousser les assaillants potentiels. Or, aujourd’hui, ce n’est plus le cas. 84 % des attaques proviennent de pirates authentifiés. Des hackers qui ont, soit acquis des informations d’authentification de manière malveillante, soit ont exploité les mécanismes existants pour générer leurs propres identifiants et codes d’accès valides.
Mettre en place des stratégies de défense spécifiques
Les API élargissent la surface d'attaque accessible aux attaquants, affaiblissant les barrières à l'intrusion. Les acteurs malveillants peuvent ainsi compromettre les demandes d'indemnisation, accéder aux informations relatives aux comptes des clients, et se livrer à des activités ou à des transactions frauduleuses. Une situation d’autant plus alarmante que les assureurs sont soumis à des obligations très strictes en matière de conformité. Une attaque de leurs API peut donc non seulement nuire à leur réputation et leur coûter la confiance de leurs clients, mais aussi générer de lourdes amendes à leur encontre. Aussi, ils n’ont d’autres choix aujourd’hui que d’envisager des stratégies éprouvées de réduction des risques spécifiquement liés aux API, et s’appuyant sur l'IA.
La sécurisation de ces API est donc devenue une priorité pour les assureurs, alors que ce secteur est entré dans une phase cruciale de son parcours d'innovation digitale. Sans prendre la mesure de ce nouveau risque majeur, ils ne seront plus en mesure de garantir la confidentialité des données de leurs clients, ainsi que la conformité réglementaire de leurs services. Les professionnels de l’assurance doivent donc prendre ce virage décisif sans attendre, s’ils veulent continuer à exploiter la formidable puissance de leurs API pour innover et rester compétitifs dans un univers entré dans une phase de transformation accélérée.
1 Rapport 2023 de Salt Security : « State of API Security for Financial Services and Insurance ».
2 Mars 2021, Mc Kinsey et Compagny – Les impact de l’IA sur l’avenir de l’assurance / Insurance 2030—The impact of AI on the future of insurance | McKinsey
L'investissement dans les crypto-actifs présente un risque de perte en capitale totale ou partielle. Dehfi attire l’attention des internautes sur le fait que des services et produits décrits dans le site peuvent faire l’objet de restrictions dans certains pays ou vis-à-vis de certaines personnes.
