L’Autorité de contrôle prudentiel et de résolution (ACPR) réalise depuis 2015 des enquêtes par questionnaire dans lesquelles les organismes d’assurance autoévaluent la gestion de leurs systèmes d’information (SI) et de leur cybersécurité. Les résultats de l’enquête menée en 2022, à laquelle 239 organismes ont répondu, témoignent d’une prise de conscience des enjeux liés à la cybersécurité.
Néanmoins, des progrès doivent encore être accomplis afin d’accroître leur résilience face au risque cyber et anticiper certains travaux dans la perspective de l’entrée en application en janvier 2025 du règlement DORA.
Les carences que révèle cette auto-évaluation sont également observées lors des contrôles sur place réalisés par l’Autorité. Notamment, les organismes doivent poursuivre leurs efforts afin de :
- systématiser l’analyse des risques et des enjeux de sécurité des SI liés à l’utilisation de solutions externes et plus particulièrement des services en nuage (cloud) dont le niveau réel de sécurisation n’est pas mesuré et le dispositif de réversibilité n’est pas toujours prévu. Le pilotage de la sous-traitance doit également être renforcé ;
- soumettre régulièrement le plan de continuité d’activité à des tests éprouvant sa robustesse et de réaliser des exercices de simulation de gestion de crise cyber ;
- adapter le système de contrôle interne afin que les trois lignes de défense prennent le risque cyber pleinement en charge. À cet égard, la fonction de sécurité de l’information doit jouir de l’indépendance suffisante vis-à-vis des fonctions opérationnelles en matière de technologies de l’information et de la communication et doit disposer des informations ad hoc pour mesurer, surveiller et piloter le risque cyber et rendre compte de l’état de la sécurité de l’information de l’entreprise aux instances dirigeantes.