« Le secteur des assurances doit être en état d’alerte maximale », déclare l’analyste en chef 

Les assureurs ont été exhortés à renforcer leurs cyberdéfenses après que le GTIG de (Google Threat Intelligence Group) a indiqué les acteurs liés au groupe Scattered Spider semblaient s'intéresser au secteur des assurances.

John Hultquist, analyste en chef chez Mandiant (fait partie de Google Cloud) a averti que ce groupe ciblait généralement un secteur à la fois et que désormais la surveillance de son activité montrait qu'il s'intéressait de plus en plus aux compagnies d'assurance.

« Le secteur de l'assurance doit être en état d'alerte maximale » selon l'analyste en chef. Il a également écrit sur LinkedIn que « les compagnies d'assurance doivent se méfier des tentatives d'ingénierie sociale ciblant leurs centres d'appels ».

Scattered Spider – également suivi sous les noms de 0ktapus, UNC3944 et Muddled Libra, Octo Tempes – utilise des techniques d'ingénierie sociale avancées, notamment l’usurpation d’identité du personnel informatique pour tromper les employés à des fins d’hameçonnage ciblé, l'échange de carte SIM ...

Le groupe a déjà piraté des organisations de premier plan comme Marks & Spencer et Harrods, déployant souvent des ransomware dans les dernières étapes de l'attaque en tant qu'affilié du groupe de rançongiciel BlackCat.

En juin 2025, deux compagnies d’assurance américaines – Philadelphia Insurance Companies et Erie Insurance – ont révélé des cyberincidents qui ont les traits des techniques utilisées par Scattered Spider.

Philadelphia Insurance a découvert un accès non autorisé le 9 juin et a été contrainte d'isoler une partie de son SI tandis qu'Erie Insurance a signalé une activité réseau inhabituelle à partir du 7 juin et a pris des mesures immédiates pour protéger ses systèmes et ses données.

Changement de cible

L'intérêt nouveau pour le secteur de l'assurance chez Scattered Spider de secteur marque une évolution dans la stratégie selon Mandiant qui a précédemment suivi l'activité du groupe alors qu'il privilégiait le secteur du commerce de détail.

Les experts en cybersécurité estiment que cette tendance représente un risque pour les assureurs en Europe dans le prolongement des actions constatées à l'encontre des assureurs outre atlantique.  Ces attaquants ont tendance à cibler un secteur à la fois, et aucun secteur n'est à l'abri. 

Les succès remportés contre des entreprises comme M&S, Caesars et MGM mettent en lumière que le niveau technologique des outils utilisés (ces entreprises ont les moyens) n'est pas plus important que les règles de base d'une bonne " 'hygiène informatique" d'autant que les attaquants n'utilisent pas des techniques ou "exploits" avancés mais plutôt des tactiques d'ingénierie sociale rapides pour contourner les protocoles d'assistance et les contrôles d'identité là où ils sont faibles.

Pour se protéger contre de telles attaques, le Google Cloud recommande de renforcer es processus de vérification d'identité, en particulier pour les utilisateurs à privilèges et de revoir la manière dont les services d'assistance authentifient les utilisateurs... D'autres mesures incluent la surveillance des connexions non autorisées.

Lorsque la menace est élevée, il convient de rester  sur les fondamentaux de la sécurité, tels que la tenue d'inventaires précis des actifs informatique, le renforcement des processus autour de l'assistance et la surveillance des anomalies "comportementales."  Plus important encore, les assureurs doivent instaurer une culture de sensibilisation à la sécurité au sein de toutes les équipes et dans tous leurs métiers.

En somme, la prévention reste la base pour les assureurs comme pour les assurés.