Assurances

SSI : l’ACPR appelle les assureurs à poursuivre leurs efforts

Publié le 12/02/2025 à 15h57
Constance Bonnier

Depuis 10 ans, l’ACPR réalise des enquêtes par questionnaire afin de permettre aux organismes d’assurance d’évaluer la sécurité de leur système d’information (SSI). Les conclusions de l’enquête lancée en 2024, à laquelle 224 organismes ont répondu, montrent une réelle amélioration des assureurs en termes de prise de conscience des enjeux liés à la sécurité de l’information, mais aussi des marges de progression, en particulier en ce qui concerne la mise en œuvre opérationnelle des processus de sécurité.

Selon l’ACPR, les organes de gouvernance des organismes se sont désormais bien saisis des problématiques SSI, notamment en termes de définition d’une stratégie. Toutefois, la fonction SSI n’est pas encore systématiquement consultée lors des décisions clés. De même, si le dispositif de gestion des risques SSI s’est renforcé dans l’ensemble, l’identification comme la gestion adéquates des actifs critiques, ou la définition de la tolérance aux risques, restent des axes à approfondir.

La généralisation du recours à l’externalisation, avec notamment l’utilisation croissante voire massive de services en nuage (cloud) à l’origine de risques spécifiques, ne fait que renforcer les enjeux de sécurité associés, et donc la nécessité de suivre et maîtriser efficacement ces prestations externalisées. En l’espèce, le bilan reste contrasté. Les progrès se poursuivent en matière de recensement des prestataires et de contractualisation avec eux. Mais des dispositifs de sécurité spécifiques au cloud ne sont pas toujours mis en œuvre et la substituabilité/réversibilité (capacité à remplacer un prestataire par un autre, si besoin) n’est pas forcément encore vérifiée.

Enfin, l’enquête aborde pour la première fois la préparation à l’entrée en vigueur du cadre réglementaire de résilience numérique DORA et montre que les organismes y travaillent. Les constats de terrain mettent toutefois en évidence des marges de progression pour pleinement intégrer ces nouvelles exigences.

Sources :
Rédaction
Plan