Les assureurs demeurent vulnérables face aux risques informatiques

Franck Joselin
Une enquête menée par l’ACPR fin 2019 montre que les assureurs présentent encore des lacunes concernant leur sécurité informatique
Credit : Pexels

Cela commençait pourtant bien. Entre septembre et novembre 2019, l’Autorité de contrôle prudentiel et de résolution (ACPR) a mené une enquête déclarative sur les risques liés aux systèmes d’information des assureurs. La synthèse des résultats, publiée en fin de semaine dernière, débute par quelques éléments positifs. Les assureurs ont aujourd’hui mieux intégré ces risques qu’en 2015 et 2017, date à laquelle des études comparables avait été menées. Certains points ont été améliorés. «Le plan de continuité/de reprise d’activité (PCA/PRA) est devenu un pilier de la stratégie d’entreprise et les sociétés sont désormais plus attentives à le tester régulièrement», note l’ACPR.

Mais, après ce rapide satisfecit, les mises en garde se multiplient au fur et à mesure que la liste de ce qui pourrait être amélioré s’allonge. L’Autorité s’étonne même que les déclarations faites par les assureurs «apparaissent optimistes au regard des situations observées lors des contrôles sur place». En clair, il y a encore des différences notables entre la manière dont les professionnels se voient et ce que constate leur autorité.

Cela n’empêche pas que les sociétés d’assurances restent lucides sur certains de leurs points faibles. En vertu de leurs réponses, l’ACPR estime que si les risques associés aux systèmes d’information apparaissent «mieux compris» des assureurs, «les actions opérationnelles concourant à leur maitrise ne sont que partiellement en place». Notamment, les résultats des tests d’intrusion - couramment menés dans les sociétés - restent «encore peu partagés avec le top management et les instances de contrôle interne». Cette absence de circulation de l’information est constatée aussi concernant les campagnes de sensibilisation aux risques. «En l’absence de bilan des résultats, ces campagnes ne s’inscrivent pas encore dans un plan global de sensibilisation à long terme des collaborateurs», regrette l’ACPR.

Améliorations indispensables

L’autorité constate aussi des lacunes dans la gestion de la «sécurité en profondeur». Par ce terme s’entend la gestion des habilitations et des droits d’accès aux applications et aux systèmes, dont une revue devrait être opérée annuellement. Or, «une partie des assureurs n’en réalise toujours pas» et «quand la procédure de revue existe, on constate une absence de discipline dans la régularité du cycle de mise en œuvre», lit-on dans le document du superviseur. De la même manière, la gestion des versions des programmes ou services utilisés pourrait être améliorée, car «en l’absence d’une politique de gestion des versions proactive et prospective, la réalisation accrue de tests de vulnérabilité n’est pas totalement efficace», met en garde l’Autorité. 

Enfin, l’utilisation, devenue courante, de services externes aux systèmes d’information ou l’utilisation par les collaborateurs de programmes ou services non gérés par la direction informatique peut poser des problèmes de sécurité. Cela peut être le cas, par exemple, des solutions cloud «parfois plus ergonomiques ou plus facilement accessibles que les solutions validées par les Directions informatiques, démultipliant les risques de fuites de données pour l’organisme»