Avertissement au lecteur : contexte et limites :
Le secrétariat général de l’ACPR a lancé fin 2019 une enquête par questionnaire portant à la fois sur la qualité des données et sur la sécurité des systèmes d’information auprès des acteurs opérant sur le marché français de l’assurance, sollicités soit directement soit par l’intermédiaire des fédérations professionnelles. Le questionnaire en ligne, ouvert du 16 septembre au 8 novembre, a permis de recueillir les réponses de 193 organismes représentant 84 % du chiffre d’affaires du marché de l’assurance et de la réassurance en France
.
Ce questionnaire fait suite à ceux de 2015 et 2017 qui portaient, pour le premier sur la qualité des données (QDD), le système d’information (SI) et sa sécurité (SSI) et, pour le second, uniquement sur le volet SI/SSI. L’occurrence 2019 reprend de manière plus approfondie les thématiques de qualité des données et de sécurité des SI. Ce document présente les principaux enseignements concernant la gestion du risque informatique des assureurs français, établis sur la base de leurs déclarations. Cependant, certains de ces constats apparaissent optimistes au regard des situations observées lors des contrôles sur place réalisés par l’ACPR.
Par rapport aux précédents questionnaires, les aspects conceptuels de stratégie et de gouvernance liée à la sécurité des systèmes d’information (SSI) seraient aujourd’hui très majoritairement pris en compte de manière plus satisfaisante :
- la réalisation de la cartographie des risques SI semble une pratique plus répandue ;
- qui permet de bâtir une stratégie SSI, celle-ci participant et soutenant la stratégie globale de l’entreprise ;
- une politique de sécurité des systèmes d’information (PSSI) est définie et mise en œuvre ;
- la proportion de responsables de la sécurité des systèmes d’information (RSSI) indépendants du directeur des systèmes d’information (DSI) est en augmentation ;
- la comitologie évolue : le dialogue s’instaure via la mise en place plus courante de comités dédiés à la sécurité des SI.
Les risques associés à la SSI seraient également mieux compris. Pour autant, les actions opérationnelles concourant à leur maitrise ne sont que partiellement en place et les deuxième et troisième lignes de défense s’investissent encore trop peu dans ces sujets : certaines pratiques de vérification de la sécurité se sont démocratisées comme les tests d’intrusion sur les sites web accessibles depuis l’extérieur, ce qui n’est pas encore le cas pour le réseau interne. En revanche, leurs conclusions restent cantonnées aux équipes techniques et sont encore peu partagées avec le top management et les instances de contrôle interne (contrôle permanent, audit interne, comité des risques et de l’audit…).
Les campagnes de sensibilisation au sein des organismes se développent : la proportion d’assureurs ayant mis en place des actions de sensibilisation de leurs collaborateurs est en augmentation. De plus, ces actions de sensibilisation sont mieux ancrées dans l’environnement de travail2 et sont plus sophistiquées qu’auparavant : les campagnes sont adaptées en fonction de l’actualité de la menace cyber et s’appuient sur des mises en situation (phishing, clés USB…). Toutefois, en l’absence de bilan des résultats, ces campagnes ne s’inscrivent pas encore dans un plan global de sensibilisation à long terme des collaborateurs.
La gestion de la sécurité en profondeur reste à renforcer : la revue des habilitations est un des piliers de la sécurité en profondeur. Pourtant, la revue annuelle des droits d’accès aux applications n’est pas systématique : une partie des assureurs n’en réalise toujours pas (cependant, leur proportion a diminué depuis l’enquête de 2017). Quand la procédure de revue existe, on constate une absence de discipline dans la régularité du cycle de mise en œuvre. De plus, la revue des comptes est mal, voire pas effectuée. On constate par ailleurs que le contrôle permanent n’est pas ou peu impliqué dans ces sujets.
La gestion de l’inventaire du parc informatique et la gestion des versions sont absolument nécessaires. Si la première est maintenant bien ancrée dans les processus, des progrès doivent être faits concernant la seconde. De surcroît, en l’absence d’une politique de gestion des versions proactive et prospective, la réalisation accrue de tests de vulnérabilité n’est pas totalement efficace. Le plan de continuité/de reprise d’activité (PCA/PRA) est devenu un pilier de la stratégie d’entreprise et les sociétés sont désormais plus attentives à le tester régulièrement, en simulant des scenarii de crise dans lesquels il serait pertinent d’intégrer un scenario de cyber-attaque. En outre, la conception du PCA prend encore trop peu en compte les attentes et contraintes des métiers qui devraient pourtant logiquement orienter les objectifs de la reprise.
Par ailleurs, les contraintes de sécurité liées à l’externalisation paraissent de mieux en mieux intégrées. Pour autant, l’analyse de risques, notamment sur les enjeux de sécurité des SI, auxquels cette sous-traitance exposerait l’organisme d’assurance n’est pas systématique, notamment dans les organismes de taille plus modeste. Le renforcement des aspects contractuels, de la prise en compte des objectifs de sécurité dans les engagements de service et l’identification des risques liés à l’externalisation doivent rester un objectif fort quelle que soit la taille des organismes qui souhaitent y avoir recours.
Le recours à des solutions externes au système d’information (le shadow IT3) et l’usage des EUC4 sont encore trop peu surveillés par les organismes malgré les risques de sécurité qu’ils représentent. Il en va ainsi de l’usage de solutions Cloud, parfois plus ergonomiques ou plus facilement accessibles que les solutions validées par les Directions informatiques, démultipliant les risques de fuites de données pour l’organisme. De même, la généralisation du télétravail doit s’accompagner de réflexions sur la sécurité des usages dans des environnements informatiques domestiques.
Enfin, le budget alloué à la sécurité des SI a légèrement augmenté depuis l’enquête 2017. Mais une part encore importante des organismes ne s’oblige pas à sanctuariser ce budget même si des actions de sécurité sont effectivement réalisées, ce qui in fine ne leur permet pas d’en pérenniser l’existence ni de suivre les dépenses de sécurité réellement engagées.
N.B. Les résultats ci-après sont le plus souvent présentés selon une segmentation du marché de
l’assurance/réassurance en 4 catégories : petits, moyens, grands et très grands organismes,
correspondant aux quartiles définis en fonction du chiffre d’affaires.
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.