L'avis de... Rhoda Migaud, consultante spécialisée systèmes d’information dans le domaine de l’assurance au cabinet de conseil Herdia

« Les outils contrôlent non seulement la qualité mais aussi les flux de données »

le 08/12/2011 L'AGEFI Hebdo

Quels sont les impacts de Solvabilité II concernant les projets de sécurisation du système d’information ?

Les plans de continuité d’activité font l’objet de contrôles supplémentaires et sont suivis plus en détail, mais ce sont des projets qui auraient été menés indépendamment de Solvabilité II. En revanche, toute la chaîne de traitement de l’information est fortement impactée avec quatre types d’actions réalisées. Tout d’abord un renforcement des contrôles concernant les résultats attendus. Puis la mise en place de bouclages, c’est-à-dire la vérification des flux de données à la fois en alimentation d’applications et en restitution. Troisième point : l’implémentation ou l’enrichissement des entrepôts de données existants permettant de consolider les données provenant de différents systèmes source et de s’assurer de leur cohérence. Enfin, la traçabilité des données utilisées ; ce qui n’avait pas été forcément effectué pour les normes IFRS et qui exige qu’une donnée se trouve en un seul endroit du système d’information.

Ces différents types de projets sont-ils importants ?

Les mises en place d’entrepôts de données sont des projets conséquents, s’étalant sur deux ans ou plus. Pour les projets de contrôle des données, il existait bien évidemment des outils de ce type qu’il a fallu affiner, pour pouvoir contrôler non seulement la qualité des données injectées dans les différentes applications de production ou de modélisation, mais aussi les flux de données, à savoir qu’une donnée est bien partie de l’application A et qu’elle a bien été reçue par l’application B. Les systèmes d’information de nos clients étant bien souvent propriétaires, ce sont des développements spécifiques qu’il a fallu réaliser.

Ces projets sont-ils coûteux ?

Les responsables de la sécurité sont sollicités au démarrage de chaque projet pour permettre un chiffrage précis car, en fonction du niveau de sécurisation désiré, les coûts peuvent varier énormément, notamment si l’on considère une disponibilité 24/24 des données et leur cryptage. Une variabilité des coûts qui peut aller de pair avec le degré assez élevé d’interprétation de la directive. Par exemple, certains considèrent la localisation unique des données de façon stricte alors que d’autres pensent qu’elle peut exister en deux emplacements du système d’information, mais avec un contrôle entre les deux.

A lire aussi