Dans la suite de l’enquête bisannuelle sur les risques IT des assurances, l’ACPR a pointé les risques du cloud et des non-révisions de droits d’accès. Ses remarques devraient inspirer les DSI et RSSI de tous les secteurs, notamment ceux des secteurs n’ayant pas de tels audits réguliers.
Comme toutes les entreprises des secteurs réglementés, les assurances sont contrôlées par une autorité administrative indépendante, en l’occurrence l’ACPR (Autorité de Contrôle Prudentiel et de Résolution), qui contrôle également les banques. L’ACPR est adossée à la Banque de France. L’autorité administrative indépendante a récemment publié d’une part un rapport de situation d’autre part une note de recommandations sur la gestion des risques IT dans le secteur des assurances. Encore une fois, les professionnels du risque ne sont pas forcément les plus exemplaires. L’été dernier, la Banque Centrale Européenne (BCE) avait elle aussi publié un rapport assassin sur l’IT des banques européennes. Si banques et assurances constituent des secteurs sensibles et contrôlés, les leçons infligées mériteraient d’être méditées par toutes les entreprises qui ont la (mal)chance de n’être pas soumises à de tels audits.
Si des bonnes pratiques semblent s’être à peu près bien implantées dans les entreprises du secteur, notamment avec la réalisation d’une cartographie des risques, l’ACPR dénonce un grand optimisme dans l’auto-évaluation des assurances. En particulier, l’autorité s’inquiète pour les PCA/PRA dont l’effectivité et la pertinence métier sont loin d’être garanties. Les attaques par ransomware ne sont généralement pas intégrées. Le shadow IT (qui inclut les fichiers Excel traitant des process métier complexes) et la gestion des versions et des patchs sont des points faibles habituels.
Deux recommandations ont été émises par l’ACPR. La première concerne la revue régulière des points dont le contrôle récurrent est normalement indispensable. Il s’agit notamment de l’effectivité du patching/versionning applicatif et surtout de la pertinence à l’instant t des droits d’accès à tel ou tel applicatif ou telle ou telle donnée. La seconde concerne les données situées ou accédées en dehors du périmètre physique des serveurs propres des entreprises. Deux cas sont pointés : le cloud et les ordinateurs des télétravailleurs. Dans les deux cas, la sûreté n’est pas suffisamment contrôlée, du moins pas avec la rigueur nécessaire.