L’ACPR alerte les assureurs du marché en matière de gestion des risques liés à leurs systèmes d’information et leur sécurité. Le gendarme pointe des manquements, notamment dans la surveillance des solutions externes (Cloud).
Dans un communiqué, l’ACPR demande aux assureurs de la place de muscler davantage la sécurité de leurs systèmes d’information. Le gendarme, qui publie une note de synthèse sur le sujet, s’appuie sur une enquête menée ces dernières semaines auprès des organismes d’assurance sur la gestion des systèmes d’information (SI) et de leur sécurité (SSI).
« L’auto-évaluation des participants se révèle néanmoins plus optimiste que ce que montrent les contrôles sur place réalisés par l’ACPR, principalement en matière de gestion des risques liés à l’externalisation et de conception des plans de continuité et de reprise d’activité », indique l’Autorité.
Malgré la mise en place de bonnes pratiques, notamment dans la définition et la mise en œuvre de politiques de sécurité, la réalisation de la cartographie des risques SI ou encore la sensibilisation au risque menée auprès des salariés, l’ACPR met en avant deux points d’amélioration.
Le gendarme souhaite d’abord un renforcement de la gestion de la sécurité en profondeur, « notamment, la revue annuelle des droits d’accès (habilitations) aux applications, la revue des comptes, la mise à jour du parc informatique et la gestion des versions doivent être impérativement effectuées et systématisées ». En parallèle, l’ACPR enjoint surtout les assureurs à une meilleure surveillance des solutions externes au système d’information « encore trop peu surveillé malgré les risques qu’elles représentent ». L’autorité indique par exemple que l’usage de solutions cloud peut démultiplier les risques de fuites de données et appelle à une réflexion sur la sécurité des usages dans des environnements informatiques domestiques, notamment avec la hausse du télétravail.
