Le secrétariat général de l’ACPR a lancé fin 2019 une enquête par questionnaire portant à la fois sur la qualité des données et sur la sécurité des systèmes d’information auprès des acteurs opérant sur le marché français de l’assurance, sollicités soit directement soit par l’intermédiaire des fédérations professionnelles. Le questionnaire en ligne, ouvert du 16 septembre au 8 novembre, a permis de recueillir les réponses de 193 organismes représentant 84 % du chiffre d’affaires du marché de l’assurance et de la réassurance en France.
Ce questionnaire fait suite à ceux de 2015 et 2017 qui portaient, pour le premier sur la qualité des données (QDD), le système d’information (SI) et sa sécurité (SSI) et, pour le second, uniquement sur le volet SI/SSI. L’occurrence 2019 reprend de manière plus approfondie les thématiques de qualité des données et de sécurité des SI.
Ce document présente les principaux enseignements concernant la gestion du risque informatique des assureurs français, établis sur la base de leurs déclarations. Cependant, certains de ces constats apparaissent optimistes au regard des situations observées lors des contrôles sur place réalisés par l’ACPR.
L’ACPR publie le 22/10/20 un « Analyses et Synthèses » consacré aux réponses des organismes d’assurance à un questionnaire portant sur la gestion des systèmes d’information (SI) et de leur sécurité (SSI). Cette enquête fait suite à celles menées en 2015 et 2017 et permet ainsi de mesurer des progrès quant à la perception des enjeux liés à la sécurité des systèmes d’information. Ainsi, certaines pratiques semblent s’être implantées, notamment la définition et la mise en œuvre de politiques de sécurité, la réalisation de la cartographie des risques des systèmes d’information, l’établissement d’une stratégie de sécurité participant et soutenant la stratégie globale de l’entreprise, la tenue de comités dédiés, la sensibilisation au risque menée auprès des salariés.
L’auto-évaluation des participants se révèle néanmoins plus optimiste que ce que montrent les contrôles sur place réalisés par l’ACPR, principalement en matière de gestion des risques liés à l’externalisation et de conception des plans de continuité et de reprise d’activité.
Enfin, certains points appellent des améliorations :
- La gestion de la sécurité en profondeur reste à renforcer : notamment, la revue annuelle des droits d’accès (habilitations) aux applications, la revue des comptes, la mise à jour du parc informatique et la gestion des versions doivent être impérativement effectuées et systématisées ;
- Le recours à des solutions externes au système d’information est encore trop peu surveillé malgré les risques qu’elles représentent. Il en va ainsi de l’usage de solutions Cloud, parfois plus ergonomiques ou plus facilement accessibles que les solutions validées par les Directions informatiques, démultipliant les risques de fuites de données pour l’organisme. De même, la généralisation du télétravail doit s’accompagner de réflexions sur la sécurité des usages dans des environnements informatiques domestiques.
Accédez à la synthèse
Virginie Gastine Menou
RISQUES ET VOUS
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.