L'Autorité de contrôle prudentiel et de résolution (ACPR), superviseur français de la finance, a salué jeudi les progrès réalisés par les compagnies d'assurance en matière de sécurité informatique, tout en relevant encore plusieurs points à améliorer.

L'autorité, qui vient d'achever une nouvelle enquête dans ce domaine après de précédentes éditions en 2015 et 2017, a mesuré « des progrès quant à la perception des enjeux liés à la sécurité des systèmes d'information. Ainsi, certaines pratiques semblent s'être implantées », a-t-elle fait savoir dans un communiqué. Parmi ces pratiques figurent « notamment la définition et la mise en œuvre de politiques de sécurité, la réalisation de la cartographie des risques des systèmes d'information, l'établissement d'une stratégie de sécurité participant et soutenant la stratégie globale de l'entreprise, la tenue de comités dédiés, la sensibilisation au risque menée auprès des salariés », détaille-t-elle.

Cela étant, l'auto-évaluation des participants se révèle néanmoins plus optimiste que ce que montrent les contrôles sur place réalisés par l'ACPR, principalement en matière de gestion des risques liés à l'externalisation et de conception des plans de continuité et de reprise d'activité, est-il relevé. Face à cette situation, le superviseur cible plusieurs secteurs nécessitant une amélioration des dispositifs.

En premier lieu, la gestion de la sécurité « en profondeur » reste à renforcer, notamment la revue annuelle des droits d'accès aux applications, la mise à jour du parc informatique ou encore la gestion des versions « qui doivent être impérativement effectuées et systématisées », demande l'ACPR. En outre, l'autorité estime que « le recours à des solutions externes au système d'information est encore trop peu surveillé malgré les risques qu'elles représentent ».

Néobanques : les offres les moins chères pour maîtriser votre budget

Le télétravail à sécuriser

Il en va ainsi de l'usage des solutions liées au nuage informatique (cloud), « parfois plus ergonomiques ou plus facilement accessibles » que celles validées par les directions informatiques, mais qui démultiplient les risques de fuites de données pour l'organisme, souligne le superviseur. De même, « la généralisation du télétravail doit s'accompagner de réflexions sur la sécurité des usages dans des environnements informatiques domestiques », ajoute-t-il.

Le questionnaire en ligne utilisé pour cette enquête, ouvert du 16 septembre au 8 novembre, a permis de recueillir les réponses de 193 organismes représentant 84% du chiffre d'affaires du marché de l'assurance et de la réassurance en France, précise l'ACPR dans son rapport.