L’Autorité de contrôle prudentiel et de résolution (ACPR) a récemment publié les conclusions de son enquête 2024 sur la sécurité des systèmes d’information (SSI) des organismes d’assurance.
Si les résultats témoignent d’une meilleure sensibilisation des gouvernances aux enjeux de cybersécurité, des lacunes subsistent quant à la mise en œuvre opérationnelle des dispositifs de protection et de gestion des risques.
Une gouvernance plus impliquée mais encore perfectible
Depuis 2015, l’ACPR mène des enquêtes pour évaluer la maturité des assureurs en matière de cybersécurité. L’édition 2024, qui a recueilli les réponses de 224 organismes, met en lumière une progression significative en termes de définition de stratégies SSI par les instances dirigeantes. Cependant, la fonction SSI n’est pas encore systématiquement impliquée dans les décisions stratégiques, ce qui limite l’efficacité des mesures adoptées.
L’identification et la gestion des actifs critiques constituent également un axe d’amélioration. Malgré des progrès, la définition de la tolérance aux risques reste hétérogène parmi les organismes d’assurance. Une approche plus rigoureuse et standardisée s’impose pour garantir une sécurité renforcée et une résilience accrue face aux cybermenaces.
Externalisation et cloud : un bilan contrasté
L’essor des solutions d’externalisation, notamment via l’utilisation de services en nuage (cloud), complexifie la gestion des risques SSI. Si les assureurs ont progressé dans le recensement et la contractualisation avec leurs prestataires, l’ACPR souligne que des dispositifs de sécurité spécifiques au cloud sont encore trop souvent absents.
L’autorité met en avant la nécessité d’une meilleure maîtrise des risques liés à la substituabilité et à la réversibilité des fournisseurs cloud. Assurer une transition fluide entre prestataires en cas de défaillance ou de rupture de contrat demeure un défi majeur pour la continuité des activités.
DORA : un cadre réglementaire en cours d’adoption
Pour la première fois, l’enquête de l’ACPR aborde la préparation des organismes d’assurance à l’entrée en vigueur du cadre réglementaire de résilience numérique DORA (Digital Operational Resilience Act). Cette réglementation vise à renforcer la cybersécurité et la résilience des infrastructures financières face aux cyberattaques et aux défaillances technologiques.
Si les assureurs ont commencé à intégrer ces nouvelles exigences, des efforts restent nécessaires pour assurer une conformité totale. L’ACPR surveillera attentivement le déploiement de DORA et adaptera ses outils de supervision en conséquence.
Une supervision renforcée pour accompagner la transition
Face aux défis persistants en matière de cybersécurité, l’ACPR appelle les organismes d’assurance à poursuivre leurs efforts pour améliorer la robustesse de leurs systèmes d’information. L’autorité prévoit d’intensifier son suivi et de renforcer ses actions de contrôle pour garantir une meilleure protection des données et des infrastructures critiques.
L’anticipation des risques et l’adoption proactive des nouvelles réglementations seront essentielles pour assurer la sécurité des systèmes et renforcer la confiance dans le secteur assurantiel.
