Cybersécurité : des lacunes chez les assureurs

« L’exercice de collecte d’informations sur les prestataires réalisé courant 2022 auprès d’une sélection d’organismes a notamment révélé un niveau de détail insuffisant pour identifier les prestataires et une appréhension limitée de leur criticité » relève l’APCR dans sa synthèse de « la  sécurité des systèmes d’information des assureurs en France en 2022 ».

Les prestations critiques sans surveillance

En effet, l’étude montre que 2 établissements sur 10 ne réalisent pas de pilotage documenté des prestations critiques !

Pire, « 26 % des organismes (dont 15 % d’organismes de taille majeure et 23 % d’organismes de taille importante) ne définissent pas d’exigences ni d’indicateurs de sécurité avec leurs prestataires critiques » analyse l’APCR.

Enfin, un tiers des entités (dont 40 % d’importantes et majeures) n’effectuent pas d’analyse de réversibilité.

Le shadow IT n’est pas contrôlé

Autres défaillances relevées par le régulateur : le Shadow IT qui recouvre les appareils personnels, logiciels… acheté ou utilisés sans que la direction informatique n’ait l’information.

Le rapport pointe que le référencement des outils non déclaré n’a pas progressé l'étude de 2019.

« Les risques relatifs aux applications non gérées par la DSI sont toujours aussi peu pris en compte (37 % des répondants seulement) dans la gestion des risques opérationnels » mentionne l'ACPR. Les assureurs doivent donc mettre en place rapidement des mesures pour anticiper les obligations du Règlement Dora.

Ce dernier prévoit un renforcement des procédures et réactions ainsi que la mise en place de registre de prestataires critiques par exemple.

Patrice Remeur pour Prorisk cyber