[DROIT DES ASSURANCES / CYBER RISQUE] La maîtrise des risques SSI et cyber, un enjeu majeur de la compliance des assureurs

[DROIT DES ASSURANCES / CYBER RISQUE] La maîtrise des risques SSI et cyber, un enjeu majeur de la compliance des assureurs

Analyse des résultats de l’autoévaluation de la gestion des risques liés aux systèmes d’information et de leur cyber sécurité des assureurs publiée par l’Autorité de Contrôle Prudentiel et de Résolution (ACPR ).

Si vous n’avez que 30 secondes

 

Les résultats de l’autoévaluation réalisée par l’ACPR en 2022 sur un panel de 239 organismes d’assurance et représentant 88 % du chiffre d’affaires réalisé en 2021 par les sociétés d’assurance et de réassurance agréées en France, montrent, sans réelle surprise, que ces acteurs, quelle que soit leur taille et leur structure, ont pris la mesure du cyber risque en interne qui est devenu un enjeu majeur de la compliance.

Cependant, si ces acteurs de l’assurance se sont dotés d’un dispositif de sécurité des systèmes d’information (SSI), l’analyse de cette enquête révèle que le niveau de maturité de ce dispositif reste insuffisant, notamment pour les moyennes et petites structures.

En effet, les assureurs disposent généralement d’une organisation (Responsable SSI) et d‘une formalisation de la SSI (PSSI), d’un plan de continuité d’activité (PCA), de processus opérationnels de sécurité (une gestion des vulnérabilités, des incidents, revue des habilitations, tests ….), mais leur dispositif doit être amélioré et renforcé, car il ne permet pas toujours de piloter les risques de manière efficace, notamment en matière de contrôle interne et de maîtrise des risques liés à l’externalisation des activités (cloud etc.) et en matière de continuité d’activité qui nécessite la mise en place de tests pertinents pour vérifier la robustesse du dispositif.

Ces efforts permettront aux assureurs de préparer la mise en œuvre dès 2025 du Règlement « Digital Operational Resilience Act » ou DORA » sur la résilience opérationnelle numérique des institutions financières et de leurs prestataires en technologies de l’information et de la communication (TIC).

 

L’intérêt de l’ACPR pour les risques informatiques et cyber

 

Depuis 2015, les organismes d’assurance répondent aux enquêtes menées par l’ACPR sur le sujet des risques liés à la sécurité informatique et aux cyber risques. Le Superviseur vient de publier les résultats de cette enquête menée en 2022 qui fait suite aux déclarations de 239 organismes d’assurances et représentant 88 % du chiffre d’affaires réalisé en 2021 par les sociétés d’assurance et de réassurance agréées en France (1).

Les carences détectées à la suite des déclarations des assureurs ont été également observées par l’ACPR lors de contrôles réalisés. Les résultats de cette enquête permettent en conséquence d’avoir une bonne vision du niveau des organismes d’assurances dans ce domaine.

Cette démarche vient en complément des priorités de supervision définies chaque année par l’ACPR, reprenant notamment pour l’année 2023, le suivi des risques informatiques et cyber, ainsi que la stratégie des systèmes d’information (2). La thématique de la sécurité informatique était déjà présente les années précédentes dans les priorités de l’ACPR.

 

Un enjeu de compliance majeur pour les assureurs

 

La prise de conscience par les assureurs de l’obligation de maîtriser les risques de sécurité des systèmes d’information (SSI) et du risque cyber ne fait pas de doute et les résultats publiés par l’ACPR le démontrent. Il s’agit d’un enjeu majeur des thématiques de compliance des organismes d’assurance.

Logiquement, l’enquête permet de relever que les fonctions de Direction semblent s’impliquer dans la définition et le pilotage de la stratégie SSI. De ce fait, la gouvernance de la SSI est bien établie en termes d’organisation et de formalisation.

Ainsi, 95% des entités disposent d’un RSSI, et prévoient d’augmenter leur effectif spécialisé en SI de 59%. Il convient toutefois de mettre en parallèle le fait que 10 % des petites structures n’ont toujours pas de RSSI.

L’enquête relève également que l’indépendance de la fonction RSSI vis-à-vis des dirigeants et des opérationnels n’est pas toujours assurée.

La politique de SSI (PSSI), qui représente l’engagement de la Direction de l’organisme en matière de SSI, est présente dans 95 % des dispositifs, mais elle n’est toutefois pas toujours déclinée en interne en procédures opérationnelles sur ces thèmes de SSI. L’intérêt de la mise en place de procédures opérationnelles réside dans la formalisation de la mise en application en interne des grands principes de sécurité définis par la Direction et l’appropriation de ces sujets par les opérationnels.

 

Des lacunes en matière de contrôle interne

 

Les résultats de l’autoévaluation montrent que les risques relatifs à la SSI sont bien identifiés et indiqués dans la cartographie des risques opérationnels par les organismes, cependant ils ne sont pas encore automatiquement associés à des contrôles opérationnels (contrôles de niveau 1), notamment au sein des structures de petites et de moyennes tailles. Ainsi, 19% des petites structures et 15 % des moyennes structures déclarent ne pas définir de contrôles opérationnels SSI.

Cependant, lorsque les contrôles de 1er niveau sont définis, ils sont quasi systématiquement mis en œuvre.

Par ailleurs, le contrôle permanent de 2ème niveau ne semble pas suffisamment pertinent puisqu’il ne réalise pas régulièrement de revue de conception et d’efficacité des contrôles de 1er niveau, dans près d’un quart des cas.

En matière de fréquence des missions d’audit portant sur la sécurité des SI, les organismes réalisent des audits à une fréquence inférieure à une fois tous les 2 ans dans seulement 28% des cas, et 72% tous les 2 ans, peu importe la taille de l’organisme d’assurance. Ce résultat n’a pas évolué depuis 2019, alors que l’environnement a changé du fait de l’accroissement du risque de cyber attaque, du recours au télétravail, à la sous-traitance et au cloud etc…

 

La mise en œuvre de mesures de maîtrise du risque SSI

 

Les mesures de maîtrise des risques comportent plusieurs volets : l’analyse des risques lors de tout nouveau projet, la sensibilisation des parties prenantes, la souscription d’une couverture d’assurance couvant le risque cyber ainsi que des mesures opérationnelles telles que la gestion des profils d’habilitation et des accès, la réalisation de tests, la gestion des vulnérabilités et des incidents.

L’enquête révèle que, lors de la mise en place des projets informatiques, l’analyse du risque de non-sécurité s’est bien développée, mais elle n’est pas systématique dans 19 % des organismes, dont des entités de grandes tailles.

Des opérations de sensibilisation sont globalement bien réalisées en interne via :

  • La mise en place d’une charte d’utilisation du SI (dans 95% des cas), d’une clause de responsabilité dans le contrat de travail relatif au cyber risque ;
  • Une session de sensibilisation obligatoire sur le risque SSI lors du parcours d’intégration des nouveaux collaborateurs (dans 93% des cas contre 68% en 2019) ;
  • Des campagnes de sensibilisation, notamment via des tests d’hameçonnage (phishing).

Cependant, ces opérations de sensibilisation ne sont pas encore mises en œuvre auprès des prestataires et des assurés.

Par ailleurs, 85 % des organismes ont indiqué avoir souscrit une assurance en cas de sinistre d’origine cyber.

Concernant les mesures opérationnelles de gestion du risque SSI, les organismes ont réalisé de nets progrès dans la gestion opérationnelle de la sécurité depuis 2019 via la mise à jour régulière des inventaires des actifs SI (89 % en 2022 contre 80 % en 2019). Cette connaissance du parc informatique est un préalable indispensable à la gestion des correctifs dans le cadre du « patch management ».

En matière de gestion des vulnérabilités, les dispositifs d’identification et d’analyse proactive des cybermenaces (« threat intelligence ») doivent être généralisés puisque l’ACPR a constaté qu’un quart des organismes ne réalise pas encore d’analyse de type « threat intelligence ».

Concernant la gestion des droits d’accès, l’enquête montre que, si la revue annuelle des habilitations est une pratique qui semble avoir significativement progressé, elle n’est pas toujours effectuée avec la rigueur nécessaire, et ne porte pas toujours sur l’intégralité des périmètres. Ainsi 27 % des organismes de petite taille ne réalisent toujours pas de revue annuelle des habilitations et 22 % ont des difficultés à assurer une application restrictive des accès limités à la stricte nécessité de l’utilisateur.

D’après nos constats, cette lacune semble être liée à la nécessaire polyvalence des collaborateurs dans les organismes de petite taille, et/ou à leur manque de moyens humains et financiers en matière de profil IT/SSI et de contrôle interne.

L’ACPR relève également que la gestion du Shadow IT (3), est très insuffisante, puisque ce risque n’est pris pas en compte pour près des deux tiers des assureurs.

L’existence d’un dispositif de gestion des incidents de sécurité est généralisée, avec dans 85% des cas, l’intégration des incidents de sécurité majeurs dans le registre des incidents opérationnels. Ils sont ainsi pris en compte à part entière dans la gestion des risques opérationnels, ce qui constitue une source d’information essentielle pour préparer le cadre de gestion de crises provoquées par des incidents de sécurité majeurs.

En matière de tests de sécurité, si la quasi-totalité des organismes indique réaliser régulièrement des tests de sécurité de type tests d’intrusion, l’enquête montre cependant que ces tests ne sont pas toujours pertinents, car ils ne sont pas réalisés en fonction de l’évaluation des risques SSI.

 

La démarche de continuité d’activité est globalement adoptée par les organismes d’assurance

 

La plupart des organismes ont réalisé un inventaire des processus métiers jugés critiques dans 97% des cas, des analyses d’impact métiers (BIA) dans 77% et ont mis en place un plan de continuité d’activité (PCA).

En parallèle, étonnamment, 35 % des organismes n’ont pas mis en place de stratégie contre la fuite des données. Cela concerne principalement les moyennes et petites structures.

L’ACPR note également une carence dans l’analyse préalable des besoins métiers dans 26 % des cas, ainsi que dans la réalisation de tests réguliers et opérationnels pour vérifier l’efficacité du plan de continuité d’activité dans 27% des cas. L’ACPR estime ainsi que cette démarche de continuité d’activité pour les organismes concernés est ainsi incomplète et donc inefficace.

 

Des progrès à faire en matière d’externalisation

 

L’ACPR profite de la publication des résultats de cette enquête pour rappeler que les assureurs restent responsables de la réalisation et de la gestion des activités externalisées auprès des prestataires externes, en lien avec son communiqué de presse publié pendant l’été 2021 sur cette thématique (4).

De ce fait, l’assureur se doit de conserver la maîtrise de l’activité ainsi externalisée, ce qui se traduit par une contractualisation avec le prestataire sur les points suivants :

  • La localisation des données, réalisée désormais pour 94 % des organismes ;
  • L’obligation de réaliser des audits et des tests en matière de PCA auprès des prestataires ;
  • La capacité pour les prestataires de réaliser des audits de sécurité. Sur ce point, près d’un quart des organismes de petite taille ne le prévoit pas.

De plus, l’enquête révèle que, si les assureurs procèdent bien à l’inventaire des prestataires, leur connaissance de ces derniers reste insuffisante, du fait de lacune dans la collecte des informations.

L’ACPR relève ainsi que les assureurs n’ont pas mis en place de moyens pertinents et pointe les carences de nombreux organismes dans le pilotage des prestataires critiques, puisque le superviseur estime au vu des résultats de l’enquête que leur dispositif est insuffisamment formalisé notamment en ce qui concerne les exigences et les indicateurs de sécurité. Ainsi, près d’un tiers des organismes ne procède pas à l’analyse de la réversibilité, alors qu’il s’agit d’une prérogative essentielle en matière de maîtrise des risques de sous-traitance.

Enfin, l’externalisation des services de type cloud n’est pas totalement intégrée dans les processus internes. Selon les résultats de cette étude, 9% des assureurs n’ont pas inclus ce type de prestation dans leur dispositif de gestion des incidents, et 12% n’ont pas intégré le risque lié à la solution cloud dans leur dispositif de maîtrise des risques.

 

Bien mais peut mieux faire

 

En conclusion, si les acteurs de l’assurance se sont dotés d’un dispositif de SSI, cependant l’analyse de l’enquête de l’ACPR révèle que le niveau de maturité de ce dispositif reste insuffisant. Des progrès doivent être réalisés notamment dans les domaines du contrôle interne, de l’analyse et de la maîtrise des risques liées à l’externalisation des activités et de la continuité d’activité, afin de piloter les risques de manière efficace et de préparer la mise en œuvre dès 2025 du Règlement « Digital Operational Resilience Act » ou DORA » (5) sur la résilience opérationnelle numérique des institutions financières et de leurs prestataires en technologies de l’information et de la communication (TIC).

Le cabinet LexCase est présent à vos côtés pour accompagner les acteurs sur secteur assurantiel dans les défis qu’ils doivent relever en matière de compliance.

 

Me Stéphanie Horesnyi-Perrel

Avocat Of-Counsel

 

(1) Communiqué de presse de l’ACPR du 23 février 2023.

Et

Synthèse de l’enquête déclarative de 2022 sur la gestion de la sécurité des systèmes d’information des organismes d’assurance sur le site https://acpr.banque-france.fr

(2) Communiqué de presse de l’ACPR du 15 février 2023.

 (3) Le Shadow IT recouvre les outils informatiques sous toutes leurs formes (appareils personnels, logiciels, applications, services web, programmes, …) qui sont développés, achetés ou utilisés par des utilisateurs appartenant à l’organisme d’assurance, sans que la direction des systèmes d’information en soit informée et donc sans supervision ni sécurisation de sa part.

 (4) Communiqué de presse de l’ACPR du 22 juillet 2021.

 (5) Règlement « Digital Operational Resilience Act » ou DORA » adopté par le Parlement européen le 10 novembre 2022 entrera en vigueur 17 janvier 2025.