Se connecter S’abonner

Les assureurs restent à la merci d’attaques informatiques

Le gendarme du secteur des assurances a mené l’enquête auprès des organismes. Certains ont mis en place des politiques de sécurité.

messi
Crédit: iStock.

Les assureurs sont-ils les champions de la sécurité informatique ? Il y a encore quelques progrès à faire, même si des améliorations ont été remarquées ces dernières années. L’Autorité de contrôle prudentiel et de résolution (ACPR), le gendarme du secteur, a publié le 22 octobre les résultats de sa nouvelle enquête sur ce thème. Selon les réponses obtenues par l’ACPR de la part des assureurs, à qui un questionnaire avait été envoyé, il apparaît qu’ils ont pris conscience du risque que posent les attaques informatiques. Ainsi, comparé aux deux autres enquêtes sur le sujet qui dataient de 2015 et 2017, l’autorité note que des politiques de sécurité ont été mises en oeuvre chez les assureurs, qu’ils ont établi une stratégie, et que des outils, comme une cartographie des risques des systèmes d’information, ont été déployés. 

« L’auto-évaluation des participants se révèle néanmoins plus optimiste que ce que montrent les contrôles sur place réalisés par l’ACPR », fait remarquer l’autorité. Des points restent à améliorer. Ainsi l’ACPR constate que les assureurs ne revoient pas assez souvent les droits d’accès aux applications. « Quand la procédure de revue existe, on constate une absence de discipline dans la régularité du cycle de mise en œuvre. De plus, la revue des comptes est mal, voire pas effectuée », indique le rapport. Des collaborateurs gardent donc la main sur des applications dont ils ne devraient plus avoir l’accès. 

Risques de fuites de données

L’Autorité pointe aussi les failles, lorsque des services extérieurs à l’entreprise sont utilisés. « Il en va ainsi de l’usage de solutions Cloud, parfois plus ergonomiques ou plus facilement accessibles que les solutions validées par les Directions informatiques, démultipliant les risques de fuites de données pour l’organisme. »

Récemment, en juillet 2020, c’est le groupe d’assureurs Covéa (MAAF, MMA, GMF) qui a été touché par une cyberattaque et tout particulièrement MMA. Le site Internet de ce dernier a ainsi été paralysé pendant une dizaine de jours. Les systèmes informatiques avaient en effet été mis à l’arrêt « à titre conservatoire » face à cette « tentative d’acte malveillant », déclarait aux Echos l’assureur. Covéa n’a pas souhaité expliquer précisément ce qu’il s’est passé mais a assuré qu’aucune donnée n’avait été dérobée.