N° 168 : Synthèse de l'enquête déclarative de 2024 sur la gestion de la sécurité d'information des organismes d'assurance

L’enquête SSI de 2024 illustre à nouveau la progression des organismes, en termes de prise de conscience de certains enjeux liés à la sécurité de l’information. Elle matérialise également des voies d’amélioration, voire des faiblesses persistantes, en particulier en ce qui concerne l’opérationnalisation des processus structurants de sécurité. Pour la première fois, le questionnaire a comporté un volet sur l’état de préparation à l’entrée en vigueur du cadre DORA, pour lequel les réponses ont pu paraître optimistes au regard des constats de terrain.

La progression se poursuit en particulier pour les aspects conceptuels de stratégie et de gouvernance liés à la sécurité des systèmes d’information (SSI), avec cependant une réserve persistante concernant le positionnement de la fonction SSI qui doit être indépendante et consultée lors des décisions clés.

Le dispositif de gestion des risques SSI connait également des progrès en termes de mise en place – définition du profil de risque, intégration à la cartographie des risques SSI, contrôle interne - mais les actions les plus structurantes comme la définition de la tolérance aux risques ou la prise en charge de la criticité révèlent encore certaines faiblesses et le besoin de progresser en maturité sur le sujet.

La sensibilisation au cyber risque apparait largement ancrée dans les processus internes. Il reste toutefois une proportion substantielle (24 %) d’organismes de taille plus ou moins modeste qui n’a pas encore déployé d’actions de sensibilisation à destination du personnel ou des instances de gouvernance, d’une part ou des assurés d’autre part.

La gestion opérationnelle de la sécurité poursuit une relative progression, qui se manifeste au travers de la gestion des mises à jour des actifs informatiques, ou l’identification des vulnérabilités et via certains dispositifs d’identification et d’analyse proactive des cyber-menaces (« threat intelligence »). Des points de vigilance demeurent concernant la mise à jour au fil de l’eau des actifs SI, intégrant leur niveau de version – information essentielle en termes de sécurité –, l’extension du périmètre d’analyse à l’intégralité du SI, ou la réalisation des scans de vulnérabilités. La démarche de continuité d’activité demeure globalement adoptée par les organismes d’assurance mais des points de maitrise restent clairement à approfondir pour rendre pertinents les dispositifs adoptés à cette fin : restauration des sauvegardes, preuve de réalisation et plus encore, réalisation d’une étude d’impact métier (BIA) et tests en conditions réelles.

La démarche de continuité d’activité demeure globalement adoptée par les organismes d’assurance mais des points de maitrise restent clairement à approfondir pour rendre pertinents les dispositifs adoptés à cette fin : restauration des sauvegardes, preuve de réalisation et plus encore, réalisation d’une étude d’impact métier (BIA) et tests en conditions réelles.

Dans un contexte de généralisation du recours à l’externalisation, avec notamment l’utilisation massive de services en nuage (cloud) à l’origine de nouveaux risques, le déploiement de l’intégralité des processus de suivi et de maitrise conserve toute sa pertinence. En l’espèce, le bilan reste contrasté avec des progrès qui se poursuivent en matière de contractualisation ou de recensement des prestataires, mais la persistance de points d’attention pour des sujets plus structurants, comme la maitrise de la substituabilité/réversibilité ou la définition de dispositifs de sécurité spécifiques au cloud.

La maitrise du shadow IT, c’est-à-dire l'utilisation de systèmes, d'appareils, de logiciels, d'applications et de services informatiques qui n'ont pas reçu l'approbation explicite de la fonction SSI, dont l’incidence augmente avec l’usage du cloud, reste un sujet sur lequel la maturité des organismes, notamment les plus petits, doit encore progresser, même s’il faut reconnaitre une prise de conscience depuis la dernière enquête.

Enfin, la préparation à l’entrée en vigueur du cadre réglementaire DORA a été évoquée, pour la première fois, dans cette enquête avec des réponses qui ont pu paraitre volontaristes, voire optimistes au regard des premiers constats de terrain. Cela étant, ce nouveau cadre de résilience numérique suppose une implication renforcée de la gouvernance et de la comitologie, une structuration fine du cadre de gestion des risques, un net renforcement de la gestion du risque de tiers (lié aux prestataires), l’organisation de la qualification et de la déclaration des incidents, et l’instauration de tests de résilience. Le déploiement de ces changements majeurs sera suivi attentivement ; par les services de contrôle et occasionnera une refonte du contenu des prochaines enquêtes à venir.

L’attribution d’un score aux réponses individuelles permet de mesurer la maturité moyenne du marché sur les différentes thématiques abordées dans l’enquête et de constater des écarts entre les différentes populations.