Dans un environnement beaucoup plus ouvert et porté vers l’extérieur, le sujet de la sécurité des systèmes d’information est devenu un enjeu majeur pour l’assurance.
L’apisation et la mise en place de middle office en architecture ouverte à son pendant. Certes, elles facilitent la mise en place de partenariats entre acteurs du monde de l’assurance. Il suffit en effet de mettre à disposition une api pour brancher son système d’information à celui d’un partenaire. Mais toutes ces ouvertures et ces liaisons avec des systèmes d’information extérieurs amplifient dans le même temps le risque d’insécurité lié à l’échange de données.
« La sécurité de nos systèmes d’information est devenu l’un des points cruciaux. C’est notre préoccupation numéro 1 », souligne Daniel Dupuy, directeur des systèmes d’information d’Aviva France. Et pour cause, les cyber-attaques sont devenues monnaies courantes. « Nous sommes régulièrement confrontés à des attaques, confesse le DSI d’une compagnie. Et bien souvent, les moyens à disposition des personnes susceptibles de nous nuire sont supérieurs aux nôtres. Il y a une forme de retard permanent intrinsèque à la criminalité en général et la cyber-criminalité en particulier ». En d’autres termes, difficile de savoir quand, où et comment un système peut se faire attaquer.
Sensibiliser tous les acteurs de la chaîne
Côté réglementation, les obligations restent relativement limitées. « La réglementation sur les questions de sécurité est plus orientée sur la protection des données et l’obligation de déclarer d’éventuelles attaques. En somme, nous avons simplement un engagement de tout faire pour les sécuriser », précise François Guillemot, directeur des systèmes d’information de Mutex.
Reste que cette épée de Damoclès de la cyber-attaque incite les direction des systèmes d’information à prendre les devants. La première étape consiste à identifier les sources potentielles de risques.
« Nous présentons les zones à risques au board », explique Daniel Dupuy. Une fois la carte des risques formalisée, il faut mettre des solutions en face. Elles sont nombreuses. Elles vont du chiffrement des données à la duplication des sauvegardes en passant par le fragmentation des serveurs destinées à recevoir des données.
Mais les systèmes d’information ne sont pas les seuls points vulnérables. Il faut également prendre en compte l’humain. « Nous sensibilisons et formons tous les acteurs de la chaîne », poursuit le DSI d’Aviva France. Les fraudes peuvent aussi bien venir des équipes internes, que ce soit de manière intentionnelle ou non.
