L’Ircem sécurise ses données et automatise ses contrôles

le 08/12/2011 L'AGEFI Hebdo

Pour se conformer à Solvabilité II, l’institut de prévoyance s’est équipé de nouvelles solutions logicielles pour une meilleure utilisation de ses systèmes.

En production depuis le début de l’année 2011, le logiciel Quasar nous permet de traiter de façon standardisée et automatisée des données issues de nombreuses sources hétérogènes, comme les appels de cotisation en provenance de l’Urssaf ou encore les déclarations employeurs », explique Jean-Charles Grollemund, directeur général de l’Ircem (Institution de retraite complémentaire des employés de particuliers), un groupe de prévoyance et de prévention pour les acteurs des services à la personne. L’Ircem a donc fait le choix, fin 2010, de mettre en place la solution de l’éditeur français Actuaris. Celle-ci lui permet notamment, dans le cadre de son projet de mise en place d’une solution Pilier 2 de Solvabilité II pour limiter les risques opérationnels liés à l’informatique, d’effectuer de façon totalement traçable la clôture des comptes, selon l’Orsa (Own Risk and Solvency Assessment - système de gouvernance des risques et d’évaluation des besoins en fonds propres en fonction du profil de risque déterminé).

Quasar permet la consolidation de données contenues dans des fichiers auparavant traités sous excel ou d’autres formats de fichiers, évite les ressaisies multiples souvent sources d’erreur et conserve une trace de toutes les modifications affectant les données, voire les interdit. Le pilier 2 de la directive Solvabilité II prévoit en effet un renforcement des principes de gouvernance ainsi que du contrôle interne et de la gestion des risques. « Le grand gagnant de ce nouveau cadre réglementaire est la donnée, expose Jocelyn Grignon, du groupe Tuillet, spécialisé dans l’audit et la sécurité des systèmes d’information des acteurs de l’assurance. Elle doit être fiable et les résultats issus des systèmes décisionnels générant les états et rapports réglementaires doivent refléter parfaitement l’activité des systèmes de production. » Les dirigeants de l’Ircem avaient déjà engagé une réflexion au sujet d’un meilleur contrôle des données alimentant les différents systèmes informatiques de gestion et de production, « mais la directive Solvabilité II a été un élément déclencheur pour la mise en place d’une solution intégrée telle Quasar », précise Jean-Charles Grollemund. En outre, Quasar évite aux actuaires de l’Ircem d’avoir à recourir à des compétences complémentaires pour développer des macro-programmations en vue de pouvoir effectuer leurs opérations, leur offrant ainsi plus d’autonomie.

Détection de fraude

En parallèle, l’Ircem a déployé un autre outil informatique pour renforcer le contrôle interne sur les données et améliorer la détection de fraude. Ce qui entre également dans le cadre du pilier 2, la fraude étant considérée comme un risque opérationnel. Pour mieux le maîtriser, le logiciel ACL, de l’éditeur canadien éponyme, a également été déployé fin 2010. Il permet la détection d’incohérences et d’anomalies concernant les 5 millions de comptes clients de l’Ircem. Cet outil a permis de relever quelques cas de fraude, notamment à l’Urssaf, en rapprochant des déclarations d’embauches au sein de différents pôles. « Ces fraudes sont marginales, souligne Jean-Charles Grollemund, mais ACL nous permet d’être exhaustifs dans le traitement et l’analyse de tous nos comptes clients. » Apparemment, l’Ircem n’est pas le seul acteur à mettre en place un système de détection des fraudes. Et au-delà de la fraude, c’est tout le contrôle interne sur les données qui se joue. « Depuis dix-huit mois, tous les acteurs du monde de l’assurance viennent nous voir en nous demandant des solutions de surveillance automatisée de leurs systèmes d’information, ce que permet ACL notamment, rapporte Jocelyn Grignon. Et il y a une véritable accélération sur les six derniers mois pour le déploiement de ce type de solution. » ACL ou son concurrent Idea de l’éditeur Caseware permettent de centraliser les différentes procédures de contrôle interne (à destination du fisc, des commissaires aux comptes, de l’audit interne, de l’Autorité de contrôle prudentiel…), de les automatiser et de s’assurer en continu que les différentes règles de gestion établies sont bien respectées. « ACL, par exemple, en version serveur, s’intègre au système d’information et analyse les flux de données sans perturber les systèmes de production », indique Jocelyn Grignon.

Cartographie des risques

Mais pour l’Ircem, ce recours aux solutions informatiques de contrôle des données s’inscrit dans la continuité d’un plan global de sécurisation des systèmes d’information mis en place dès 2005. En 2007, par exemple, profitant de la refonte de son système d’information lié à la prévoyance, l’infrastructure était entièrement virtualisée. « Nous sommes physiquement à Roubaix, nous pouvons redémarrer sur notre ‘datacenter’ de Montpellier en une semaine pour les opérations de gestion courante (contrats de prévoyance, retraite…) », assure Jean-Charles Grollemund. L’Ircem, qui a adopté une analyse des risques informatiques basée sur la norme ISO 27001, teste ainsi annuellement son plan de continuité d’activité depuis l’exercice 2010. Autre mesure de contrôle des risques informatiques, le recours, depuis l’an dernier, à des prestataires externes, Advens et Network Engineering and Security, pour des tests d’intrusion sur ses réseaux informatiques. « Nous comptons 5 millions de clients, et internet est en fort développement dans notre activité », justifie Jean-Charles Grollemund. Enfin, dès 2009, le recours à un logiciel de serious game (formation basée sur un aspect ludique), Sensiquizz de l’éditeur français Conscio Technologie, a permis de sensibiliser le personnel à la sécurité informatique. « La participation est très forte, 80 % des collaborateurs, soit 400 personnes, détaille Jean-Charles Grollemund. Concernant les objectifs à atteindre pour la conformité à Solvabilité II, nous estimons être à 65 %. » Le conseil d’administration de l’Ircem, en fin d’année, va d’ailleurs avaliser la cartographie des risques opérationnels. « Nous restons dans une logique ISO 27001 pour laquelle nous sommes déjà certifiés », poursuit Jean-Charles Grollemund. Pas sûr que tous les acteurs du monde de l’assurance soient aussi avancés dans la protection de leurs outils informatiques qui peuvent représenter jusqu’à 30 % des coûts de fonctionnement.

A lire aussi