N° 145 : Synthèse de l’enquête déclarative de 2022 sur la gestion de la sécurité des systèmes d’information des organismes d’assurance

Les aspects conceptuels de stratégie et de gouvernance liés à la sécurité des systèmes d’information (SSI) semblent mieux pris en compte. Cependant, le positionnement de la fonction Sécurité de l’Information reste un enjeu pour de nombreux organismes, en particulier car il n’assure pas systématiquement une indépendance suffisante vis-à-vis des fonctions opérationnelles ainsi que l’accès privilégié aux instances dirigeantes. Le budget moyen alloué à la sécurité des SI apparait stable entre 2019 et 2022, s’établissant à près de 7 % du budget informatique.

Le besoin de profils spécialisés en sécurité de l’information reste élevé dans le secteur de l’assurance alors que la demande pour ce type de profil, soutenue par l’ensemble des secteurs économiques, est déjà en forte tension.

Le dispositif de gestion des risques SSI se révèle souvent incomplet et, de facto, ne permet pas de piloter les risques efficacement. En effet, en la matière, les contrôles de premier niveau ne sont pas systématiquement réalisés ni systématiquement revus par la seconde ligne de défense. Facteur aggravant, la périodicité erratique des missions d’audit interne ne permet pas de juger de la robustesse du dispositif de maitrise des risques SSI.

La sensibilisation au cyber risque est désormais ancrée dans les processus internes. Elle se traduit par des démarches complémentaires (charte d’utilisation du SI, formations, insertion d’une clause de responsabilité quant à l’usage du SI dans le contrat de travail, campagnes d’hameçonnage) qui se sont développées depuis 2019. Bien que les campagnes de sensibilisation ciblent encore trop peu les prestataires et encore moins les assurés, leur efficacité semble être maintenant mesurée, ce qui permet d’adapter le plan d’amélioration continue.

La gestion opérationnelle de la sécurité aurait progressé depuis 2019. D’une part, la gestion des mises à jour des actifs informatiques serait plus robuste et l’identification des vulnérabilités auxquelles sont soumis ces actifs se serait développée. Pour autant, les mesures de correction opérationnelles de ces vulnérabilités restent perfectibles. Par ailleurs, les dispositifs d’identification et d’analyse proactive des cyber-menaces (« threat intelligence ») doivent être généralisés. D’autre part, si la revue annuelle des habilitations est une pratique qui semble avoir significativement progressé, elle n’est pas effectuée avec la rigueur nécessaire ni sur l’intégralité des périmètres.

La démarche de continuité d’activité est globalement adoptée par les organismes d’assurance. Néanmoins, en l’absence d’une analyse préalable des besoins métiers ainsi que de tests réguliers et opérationnels de la robustesse du PCA, cette démarche s’avère incomplète et donc inefficace. De la même manière, les exercices de simulation de gestion de crise cyber devraient être promus et initiés par la direction générale et menés régulièrement. En effet, seule la réalisation en conditions réelles de ces tests, aussi bien pour le PCA que pour la gestion de crise, est de nature à apporter une réponse efficace en cas de sinistre informatique.

Alors que le recours à l’externalisation s’est généralisé, l’analyse des risques, notamment sur les enjeux de sécurité des SI, n’est toujours pas systématisée. L’utilisation massive de services en nuage (cloud) modifie la nature des risques auxquels les organismes sont exposés. Notamment, la réversibilité des services n’est pas systématiquement prévue et le niveau réel de sécurisation de ces services n’est pas mesuré. La prise en compte des objectifs de sécurité dans les engagements de service et l’identification des risques liés à l’externalisation doivent rester un objectif fort quelle que soit la taille des organismes qui souhaitent y avoir recours et quelle que soit la solution (nuage ou autre) retenue.

L’attribution d’un score aux réponses individuelles permet de mesurer et visualiser la maturité moyenne du marché sur les différentes thématiques abordées dans l’enquête et de constater d’éventuels écarts entre les différentes populations d’organismes.