INTERVIEW- Jean-Marc Pouly, directeur opérationnel d’Emoa Mutuelle du Var, revient sur la cyber-attaque de mars dernier qui s’est soldée par le vol de 80.000 lignes de données. Il partage ses enseignements sur la gestion de la crise et les impacts à moyen et long terme pour la mutuelle.

Comment avez-vous appris qu’Emoa Mutuelle du Var était victime d’une cyber-attaque ?

Le 14 mars dernier, l’Agence nationale de la sécurité des systèmes d’information (Anssi) nous a informés d’une première fuite de données. L’attaque concernait 74.000 lignes de données d’un ancien fichier qui servait de base de test pour les mises à jour informatiques. EMOA Mutuelle du Var comptabilise aujourd’hui 65.000 personnes protégées. Dans ce fichier il y avait donc des données de clients et de faux clients qui nous servaient à faire nos tests. La faille venait du formulaire de contact de notre site internet et le lendemain de l’alerte de l’Anssi, nous avons corrigé la faille et fermé l’accès.

Fin juillet, pourtant, un article de Libération annonce une nouvelle fuite de données de 80.000 personnes. Comment l’expliquez-vous ?

Fin avril, il y a eu une deuxième publication du fichier sur le darknet. Damien Bancal, auteur du blog Zataz et qui se présente comme un « chevalier blanc", a alerté le journal Libération, sans nous prévenir. Cette fois-ci, le fichier contenait des données personnelles de clients ou de faux clients avec des noms, prénoms, adresses e-mail, des numéros de sécurité sociale, et pour 47 personnes, des numéros de cartes d’identité et des RIB.

Pensez-vous avoir adopté les bonnes mesures de protection après la première attaque ?

Dès le mois d’avril, nous avons mis en place un certain nombre de verrous, installé le logiciel Cloudfare, fait changer tous les mots de passe en interne et en externe, accéléré la migration des fichiers du serveur sur lequel étaient les fichiers qui ont été dérobés. Le problème c’est que vous mettez en place un pare-feu et ils trouvent le moyen de le contourner.

Comment avez-vous réagi face à cette deuxième fuite ?

Nous avons fermé nos services en ligne, lancé une cellule de crise, fait appel à une entreprise de cyber-sécurité et lancé un audit. A ce stade, nous n’avons pas d’éléments qui nous permettent de confirmer qu’il y a eu une deuxième intrusion. L’essentiel des données est le même que pendant la première publication sur le darkweb.

Nous avions adopté un plan de sécurisation des systèmes d’information sur trois ans, doté de plusieurs centaines de milliers d’euros et la cyber-attaque nous a forcé à l’accélérer. L’audit prévu en septembre, nous l’avons fait en août. Nous avons recruté une nouvelle personne dans le service informatique qui est désormais composée de 10 personnes.

Comment ont réagi vos adhérents ?

Nous avons rapidement prévenu la Cnil et informé l’ensemble de nos adhérents en mars et et juillet. Pour ceux qui en ont fait la demande, nous avons pu préciser s’ils faisaient partie du fichier volé et quel type de donnée avait été dérobée. Nous avons prévenu de manière individuelle les 47 personnes dont les données bancaires ont été dérobées. Sur ces données les plus sensibles, nous allons missionner un prestataire pour faire des recherches sur le darknet afin de vérifier si le RIB et carte d’identité ont pu être utilisés. Nous n’avons pas constaté un nombre plus élevé de réclamations en août et certains adhérents nous ont même remercié de notre démarche.

Quels sont les résultats de l’audit ?

Dans certains endroits, le pare-feu marche correctement et dans d’autres, l’audit a permis de détecter des vulnérabilités. Nous avons corrigé les failles mais avant de rouvrir nos services numériques, nous avons besoin de re-tester nos systèmes. Nous allons progressivement rouvrir une partie des services prochainement. Nous sommes extrêmement prudents car chat échaudé craint l’eau froide.

Quels sont les impacts de cette cyber-attaque sur votre activité ?

Le principal impact est en termes d’image. Heureusement, les pirates ne sont pas entrés dans le cœur de notre système car nous disposons des données bancaires de 40.000 adhérents. Depuis début août, les prospects particuliers ne peuvent pas faire de devis en ligne, mais le nombre de souscriptions en ligne est très faible, de l’ordre de 50 sur 3.000 affaires nouvelles par an. Par ailleurs, les services digitaux de nos clients ne sont pas encore opérationnels. Cependant, les clients peuvent nous envoyer leurs demandes de remboursement par e-mail. L’entreprise continue de fonctionner et nos services de gestion continuent à rembourser les prestations santé à nos adhérents. 93% de nos prestations sont réglées en 48 heures.

Pensez-vous qu’Emoa mutuelle du Var est désormais bien protégée face aux nouvelles attaques ?

Après cette crise, nous allons nous serons sûrement mieux protégés et plus armés pour faire face à ces attaques. Nous allons plus vite et plus loin que ce que nous avions prévu initialement. La cyber-sécurité va devenir un investissement et une veille permanents car les attaques évoluent constamment.

Quels sont vos axes de développement pour les prochaines années ?

Emoa Mutuelle du Var protège 36.000 adhérents particuliers et 24.000 adhérents couverts par un contrat collectif. Nous réalisons 40M d’euros de chiffre d’affaires par an, dont 60% en assurance individuelle. Nous avons commencé à diversifier notre activité en IARD avec Thélem Assurances et en prévoyance avec Thélem et Mutex. Nous avons l’intention de renforcer la prévoyance en direct dans les prochaines années et de nous développer grâce au partenariat avec Praeconis. Nous avons souffert d’une forte sinistralité en 2021, année qui s’est soldée avec un déficit de 2,9M d’euros. Nous travaillons sur la prévention et la lutte contre la fraude, notamment en dentaire, pour améliorer notre résultat technique.