L’ACPR a publiée 22 Octobre un « Analyses et Synthèses » consacré aux réponses des organismes d’assurance à un questionnaire portant sur la gestion des systèmes d’information (SI) et de leur sécurité (SSI).
Cette enquête fait suite à celles menées en 2015 et 2017 et permet ainsi de mesurer des progrès quant à la perception des enjeux liés à la sécurité des systèmes d’information. Ainsi, certaines pratiques semblent s’être implantées comme :
- la définition et la mise en œuvre de politiques de sécurité
- la réalisation de la cartographie des risques des systèmes d’information
- la mise en place d’une stratégie de sécurité participant et soutenant la stratégie globale de l’entreprise
- la tenue de comités dédiés
- ainsi que la sensibilisation au risque menée auprès des salariés
L’auto-évaluation des participants se révèle néanmoins plus optimiste que ce que montrent les contrôles sur place réalisés par l’ACPR, principalement en matière de gestion des risques liés à l’externalisation et de conception des plans de continuité et de reprise d’activité.
Enfin, certains points appellent des améliorations :
- La gestion de la sécurité en profondeur reste à renforcer avec notamment, la revue annuelle des droits d’accès (habilitations) aux applications, la revue des comptes, la mise à jour du parc informatique et la gestion des versions doivent être impérativement effectuées et systématisées
- Le recours à des solutions externes au système d’information est encore trop peu surveillé (malgré les risques qu’elles représentent). Avec également l’utilisation de solutions Cloud qui sont mieux appréciées par les Directions informatiques mais qui augmente considérablement les risques de fuites de données. De même pour le télétravail qui devient plus fréquent, qui doit s’accompagner de réflexions sur la sécurité des usages dans des environnements informatiques domestiques.