Les points d’attention de l’ACPR à l’égard des assureurs en matière de gestion des risques liés aux systèmes d’information et leur sécurité
L’ACPR publie les résultats de l’enquête « Analyses et Synthèses » consacréé aux réponses des organismes d’assurance à un questionnaire portant sur la gestion des systèmes d’information (SI) et de leur sécurité (SSI). Cette enquête fait suite à celles menées en 2015 et 2017 et permet ainsi de mesurer des progrès quant à la perception des enjeux liés à la sécurité des systèmes d’information.
Ainsi, certaines pratiques semblent s’être implantées, notamment la définition et la mise en œuvre de politiques de sécurité, la réalisation de la cartographie des risques des systèmes d’information, l’établissement d’une stratégie de sécurité participant et soutenant la stratégie globale de l’entreprise, la tenue de comités dédiés, la sensibilisation au risque menée auprès des salariés.
L’auto-évaluation des participants se révèle néanmoins plus optimiste que ce que montrent les contrôles sur place réalisés par l’ACPR, principalement en matière de gestion des risques liés à l’externalisation et de conception des plans de continuité et de reprise d’activité.
Enfin, certains points appellent des améliorations :
- La gestion de la sécurité en profondeur reste à renforcer : notamment, la revue annuelle des droits d’accès (habilitations) aux applications, la revue des comptes, la mise à jour du parc informatique et la gestion des versions doivent être impérativement effectuées et systématisées ;
- Le recours à des solutions externes au système d’information est encore trop peu surveillé malgré les risques qu’elles représentent. Il en va ainsi de l’usage de solutions Cloud, parfois plus ergonomiques ou plus facilement accessibles que les solutions validées par les Directions informatiques, démultipliant les risques de fuites de données pour l’organisme. De même, la généralisation du télétravail doit s’accompagner de réflexions sur la sécurité des usages dans des environnements informatiques domestiques.