Inéluctablement le Cloud semble se déployer dans toutes les entreprises. Mais qu’en est-il du secteur de l’assurance ? De multiples questions se posent pour notre industrie. Nous avons décidé d’interroger Christophe Levier, Directeur Business Unit Cloud & Security de Micropole, qui a récemment convié un panel de DSI/RSI du secteur de l’assurance afin d’évoquer le sujet de « LA RÉVOLUTION CLOUD & LES DÉFIS DE LA CYBERSÉCURITÉ ».
Christophe, la transition cloud est-elle inéluctable ? Y a-t-il des freins à l’adoption du cloud ?
La migration massive des grands comptes vers le Cloud Public semble témoigner en faveur d’une évolution inéluctable. Certains experts et analystes comparent l’adoption du Cloud à celle d’internet dès la fin des années 1990. Les prévisions de croissance annuelle du marché du Cloud mondial sont proches de 20% pour les trois prochaines années. Le marché représente aujourd’hui 182 Milliards de $, considéré comme le plus important secteur IT du 21ème siècle. Le secteur de l’assurance a déjà adopté largement le Cloud à travers des applications SaaS ou Office 365. Les services ou applications critiques sont plutôt au stade de l’expérimentation, voire de l’étude.
Le frein le plus important reste les enjeux de la sécurité et de la conformité. En dehors du GDPR, les acteurs de l’assurance, qu’ils soient régis par les codes de l’assurance, de la mutualité ou de la sécurité sociale, sont soumis à Solvabilité 2 et à ses exigences de maîtrise stricte des risques. Mais également à des exigences de type HDS (Hébergement de données de santé) délivrée par l’ASIP Santé. Dans ce contexte, l’adoption du Cloud est plus complexe et son processus forcément plus long que dans d’autres secteurs.
La gouvernance, la stratégie, l’organisation et les infrastructures de sécurité doivent-elles être remises en question pour une transition Cloud ?
En effet, les modèles de sécurité que nous avons développés au cours des 20 dernières années doivent être remis en cause. Assez généralement, le Cloud a investi différentes fonctions de l’entreprise à travers des applications RH, CRM ou Finance, en mode SaaS. Le RSSI doit reprendre le contrôle et la visibilité sur les déploiements Cloud. Il doit être impliqué dans tous les processus Cloud : développement, déploiement d’applications ou de services, gestion des accès …
Les infrastructures traditionnelles et défensives ne sont plus adaptées aux environnements Cloud. Il existe de nouvelles technologies qui émergent depuis un peu plus de 5 ans : Cloud Access Security Broker (CASB), Security Information and Event Management Cloud (SIEM), Logiciels de chiffrement avancés multi-facteur Cloud, Advanced Persistent Threat 0 Day Protection …
Pouvez-nous dire si le secteur de l’assurance est actif en matière de déploiement de solutions cloud ? La révolution cloud est-elle en marche dans nos entreprises ?
En France, le secteur de l’assurance est davantage en phase d’étude, de validation des différentes technologies et offres Cloud qu’une phase de migration large et intense. Des grands acteurs comme AXA ou Allianz, de dimension internationale, sont déjà dans un mode Cloud mature. Aux Etats-Unis, l’adoption Cloud pour ce secteur est nettement plus rapide. Le contexte règlementaire et la nationalité des Cloud-providers favorisent cette avance.
De fait de nouveaux risques semblent émerger. Le secteur de l’assurance a-t-il pris conscience des risques cyber associés ? Quels sont les risques majeurs ? Les risques sur les données ?
Le recours aux solutions Cloud expose clairement toutes les activités informatiques à des attaques, ciblées ou non ciblées. Le secteur de l’assurance dispose d’une excellente connaissance des risques liés à la Cybersécurité puisque certaines compagnies, et pas forcément les plus grandes, développent des produits de Cyber Assurance sur la base des analyses de leurs propres risques internes et indices. Par ailleurs, le travail entrepris par la FFA en la matière est tout-à-fait intéressant. Ce qui est paradoxal pour les assureurs c’est que la Cybersécurité est une zone de risque et en même temps une extraordinaire opportunité de développement Business. Le secteur de l’assurance arrive au 5ème rang (Analyse Mondiale) en terme de coûts associés à la Cybersécurité, avec un budget annuel moyen par société de 16 Millions de $. Les risques majeurs sont les pertes ou vols de données dont les conséquences peuvent représenter des pertes financières et amendes extrêmement élevées avec le RGPD. A cela s’ajoute une dégradation de la notoriété, de l’image de l’entreprise difficilement quantifiable. Les risques sont également liés à des erreurs de configurations et de paramétrages qui entrainent une exposition publique des données. Les autres risques sont liés à une absence de stratégie de sécurité dans le Cloud ou une gestion insuffisante des identités, de l’identification et des accès. Le risque est lié au manque d’outils permettant une visibilité et un contrôle des opérations Cloud, des accès et de la gestion des données.
La sécurité relative aux risques cyber est-elle dans l’ADN des entreprises du secteur de l’assurance ? et de ses collaborateurs ?
La sécurité a toujours été très fortement ancrée dans la gouvernance, l’organisation et les processus des assureurs compte tenu des enjeux. Le Business du secteur reposant sur une analyse des risques, les collaborateurs sont tous sensibilisés aux risques de la Cybersécurité.
Vu le nombre de cyberattaques, faut-il se préparer au hacking ? S’entrainer à la gestion de crise cyber ?
Au niveau mondial, plus de 30 millions d’attaques sont enregistrées quotidiennement ! Pour se préparer, il faut déployer une architecture défensive complète et la maintenir au dernier niveau de version. Il est difficile de se prémunir contre le hacking mais le fait de réaliser régulièrement des tests d’intrusion ou pentests permettent de challenger l’architecture et les équipes. L’objectif est de renforcer ses défenses et de réduire ses risques. Il est également nécessaire de solliciter des sociétés de Cybersécurité différentes afin de diversifier les méthodologies et types d’attaques. Les processus de gestion des incidents doivent être prédéfinis avec le recours à des experts et éventuellement un représentant du fournisseur de services Cloud. La gestion de crise ne peut être improvisée. Il faut construire une équipe, définir le rôle de chacun, avec des capacités de prises de décisions extrêmement rapides. RSSI, DPO, DSI, COO ou CEO doivent être impliqués. La gestion de crise doit s’enrichir de chaque incident Cyber. Il est possible de faire appel à des sociétés spécialisées qui vont aider les entreprises et organisations à optimiser leur gestion de crise à travers des simulations et workshops.
Pour synthétiser, en tant qu’expert de ces sujets, quels sont les meilleurs conseils que vous pourriez adresser aux acteurs du secteur de l’assurance ?
Le Cloud est un des piliers de la transformation digitale et il en sera probablement le booster. Le Cloud propose des avantages extraordinaires : agilité, scalabilité, paiement à l’usage, timing de déploiement ultra rapide … Compte tenu des enjeux de la sécurité pour les acteurs de l’assurance, une évolution vers le Cloud doit être pilotée avec beaucoup de précautions et en intégrant à chaque étape du projet l’équipe SSI. Il faut aussi prendre le temps de former les équipes informatiques aux nouvelles technologies, recruter des experts capables d’accompagner la migration et les changements ou faire appel à des spécialistes disposant d’expérience dans le domaine. La pénurie de ressources qualifiées sur le marché de l’emploi complexifie et ralentit considérablement ces processus. Il est aussi indispensable de réaliser des POC (proof of concept) ou pilotes avant de se lancer dans des migrations de grande envergure.
Je recommande d’adresser des périmètres non stratégiques du SI lors des premiers projets initiatiques vers le Cloud. Il sera nécessaire de remettre en cause aussi les liens réseau Wan traditionnels de l’entreprise. La migration vers le Cloud nécessite une bande passante performante et sécurisée. Les Cloud-providers proposent des solutions propriétaires comme Direct Connect (AWS), ExpressRoute (Microsoft Azure) ou il est possible d’opter pour des technologies d’interconnexion multi-Cloud de type Intercloud ou des technologies de type SD Wan (Software Defined Wan). Enfin, le modèle de sécurité périmétrique de l’entreprise évolue vers un nouveau modèle nommé Zero Trust qui consiste à réaliser un strict contrôle des accès et utilisateurs aux données et applications via des solutions d’authentification très sécurisées et intelligentes.
Merci Christophe.
Contacter Christophe ? cliquez ici.
Jean-Luc Gambey
Compte Twitter
Compte LinkedIn