Protéger les protecteurs : la sécurité des données dans le secteur de l’assurance

Lorsque des individus et des organisations traversent une crise, ils se tournent vers le secteur de l’assurance. Les compagnies d’assurance médicale, d’assurance-vie et d’assurance automobile offrent un soutien dans les circonstances les plus difficiles de la vie. Il est donc essentiel que les compagnies d’assurance établissent la confiance avec leurs assurés en fournissant un excellent service à la clientèle et en protégeant leurs données.

Malheureusement, une crise croissante de la sécurité des données menace la réputation des compagnies d’assurance auprès de leurs clients. Le rapport 2021 sur la protection des données de Shred-it a révélé que les compagnies d’assurance sont plus susceptibles que celles de tout autre secteur de subir une violation de données. Trois compagnies d’assurance interrogées sur quatre ont subi une violation de données à un certain moment, et 65 % ont signalé une violation de données au cours de l’année précédente. Ces violations peuvent affecter à la fois les petites compagnies d’assurance et certaines des plus grandes compagnies d’assurance au monde. Les compagnies d’assurance achètent leur propre assurance pour se protéger contre les attaques de rançongiciels.

Les fournisseurs de polices d’assurance peuvent être des cibles parce qu’ils entreposent de grandes quantités d’informations sensibles pour les particuliers et les entreprises. Pour les assurés individuels, les compagnies d’assurance peuvent collecter des numéros d’assurance sociale, des numéros de téléphone, des adresses, des informations bancaires et même des informations de santé protégées (PHI). Pour les entreprises, les compagnies d’assurance reçoivent des informations financières, les noms et adresses des employés et, dans certains cas, des informations sur les opérations internes.

En 2018, il est devenu obligatoire pour les entreprises canadiennes de signaler une atteinte à la protection des données en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les organisations assujetties à la LPRPDE doivent signaler toute atteinte qui pourrait causer un préjudice important aux personnes. Les victimes doivent être informées et toutes les violations de données au sein d’une organisation doivent être enregistrées.

Si une compagnie d’assurance a des protocoles de sécurité de l’information relativement faibles, les mauvais acteurs ont un accès plus facile aux données de la compagnie d’assurance. Selon le rapport sur la protection des données de 2021, seulement la moitié des organisations d’assurance interrogées ont mis en place des politiques de sécurité de l’information, comparé à 64% des organisations de soins de santé et 72% des organisations financières. Seul un organisme d’assurance sur quatre interrogé effectue régulièrement des audits d’infrastructure et encore moins effectue des évaluations de vulnérabilité.

En outre, les compagnies d’assurance ont tendance à être plus préoccupées par les violations de données physiques internes, car 85% des organisations interrogées se disent préoccupées par le fait que les employés laissent des documents confidentiels sur leur bureau. Une solution simple pour aider à protéger les informations vulnérables consiste à mettre en œuvre une politique de bureau propre, qui oblige les employés à déchiqueter ou à stocker en toute sécurité toute information confidentielle chaque fois qu’ils quittent leur bureau. Ce type de protocole fonctionne mieux lorsqu’il est associé à un service de déchiquetage de papier, ce que seulement 6% des compagnies d’assurance interrogées ont.

Les compagnies d’assurance savent comment soutenir d’autres entreprises en cas de crise, mais en investissant dans des mesures de sécurité des données appropriées, elles peuvent être mieux préparées à se protéger. Pour en savoir plus sur la protection des données dans le secteur de l’assurance, téléchargez notre infographie rapport sur la protection des données.