Encore des failles dans la cybersécurité (Spécial Solva 2)

Comme n’importe quelle entreprise, les sociétés d’assurance sont toutes aussi vulnérables aux cyberattaques. Dans ce contexte, l’ACPR appelle à une meilleure prise en compte du risque des systèmes d’informations dans le risque opérationnel de Solvabilité 2.

Comme les cordonniers, les assureurs seraient-ils les plus mal chaussés en matière de protection contre les cyberattaques ? Une enquête de l’ACPR menée fin mai sur les systèmes d’informations (SI) et la qualité des données révèle que près de 8 assureurs sur 10, tout statut juridique confondu (mutuelles, institutions de prévoyance, société d’assurance mutuelle, sociétés anonymes), ont déjà été victimes d’attaques. Avec des pertes, dont les montants flirtent avec les extrêmes, de l’ordre de 1 000 € à 5 M€. « Les risques liés aux cyberattaques font désormais partie de notre quotidien. Les échanges de données à distance sont désormais au cœur du modèle d’affaires des banquiers et des assureurs et ils constituent la cible privilégiée des hackers », prévient Bernard Delas, vice-président de l’ACPR. Cette proportion élevée d’organismes exposés a de quoi faire froid dans le dos et ce, d’autant plus, que comme l’ACPR le note : « des faibles­ses dans l’identification des risques SI demeu­rent ». Or, ces risques informatiques ou des systèmes d’informations, même s’ils ne sont pas caractérisés en soi dans la directive Solvabilité 2, découlent de la définition du risque opérationnel.

L’arti­cle 258 du règlement de 2015/35 (mesures de niveau 2 ) pose d’ailleurs des exigences en termes d’objec­tifs et de sécurité du SI. Il enjoint les entreprises d’assurance à se doter « de systèmes qui produisent des informations complè­tes, fiables, claires, cohérentes, pertinentes et à jour sur les activités de l’entreprise, les engagements qu’elle assume et les risques auxquels elle est exposée. » Voilà sur le papier. Toutefois, dans les faits, le superviseur français note que « le système d’information de nombreux organismes est éclaté et peu structuré » souvent sous l’effet de fusions ou pour des organismes inter­nationaux.

Méthodologie

Enquête réalisée par l’ACPR auprès de 306 organismes représentant environ 235 Md€ de chiffre d’affaires soit 85 % du marché français de l’assurance et de la réassurance. Dans le détail, les répondants se décomposent de la manière suivante : 130 mutuelles, 100 sociétés anonymes, 36 sociétés d’assurance mutuelle et 25 institutions de prévoyance (IP).

Les SI sont-ils totalement fiables ?

« La diversification des activités, le lancement de nouveaux produits, le passage d’une approche produit à une approche clients, les migrations de portefeuilles, les opérations de fusions-acquisitions sont à l’origine d’un “mille-feuille” qui caractérise parfois le système d’information des banquiers ou des assureurs », rappel­le Bernard Delas. Outre un problème de sécurité, cette architecture dispersée soulève la question de la fiabilité des SI, lesquels peuvent dès lors constituer « un frein à la mise en place d’une architecture de données de qualité », pourtant requise dans un environnement Solvabilité 2. En la matière, en dépit des progrès enregistrés sur les premières remises S2, les assureurs disposent encore de marges de progression (voir encadré ci-contre) pour produire une donnée de qualité, c’est-à-dire à la fois appropriée, exhaustive et exacte au sens où le prévoit la directive européenne. Rappelant qu’une « bonne supervision nécessite des informations de qualité », Bernard Delas prévient que l’ACPR fera preuve d’une « tolérance zéro par rapport aux remi­ses faites en retard ou présentant des erreurs ». Le message est passé.

Les 3 écueils sur la qualité des données

Au cours de ses contrôles sur place, l’ACPR a identifié 3 principaux écueils dans les organismes d’assurance sur le volet de la qualité des données.
  • Les données provenant de prestataires externes ne font pas toujours l’objet d’une même attention concernant leur qualité que les données internes.
  • Au niveau des systèmes de gestion, la saisie des données (contrats/sinistres) fait l’objet de peu de contrôles de qualité. Les traitements sur les données effectués sont souvent « peu maîtrisés » voire, font l’objet de « rupture de la piste d’audit ».
  • De nombreux traitements actuariels ne sont pas automatisés, que ce soit dans l’extraction des données utilisées ou dans leur manipulation.

Testez L'Argus de l'assurance en mode abonné. Gratuit et sans engagement pendant 15 jours.

Le Magazine

ÉDITION DU 13 décembre 2019

ÉDITION DU 13 décembre 2019 Je consulte

Emploi

Mission Handicap Assurance

Mission Handicap Assurance

Postuler

Natixis Assurances

Cadre technique Indemnisation Auto H/F

Postuler

+ de 10 000 postes
vous attendent

Accéder aux offres d'emploi

APPELS D'OFFRES

Marché d'assurances du CIRAD.

CIRAD

14 décembre

75 - CIRAD

Assurance responsabilité civile.

Gironde Habitat

14 décembre

33 - BORDEAUX

Proposé par   Marchés Online

Commentaires

Encore des failles dans la cybersécurité (Spécial Solva 2)

Merci de confirmer que vous n’êtes pas un robot

Votre e-mail ne sera pas publié