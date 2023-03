Il y a du mieux. Le secrétariat général de l’Autorité de contrôle prudentiel et de résolution (ACPR) a lancé en 2022 une quatrième enquête, après 2015, 2017 et 2019, portant sur la qualité des données et sur la sécurité des systèmes d’information (SI) auprès des assureurs en France. «Les résultats de l’enquête (…) témoignent d’une prise de conscience des enjeux liés à la cybersécurité», conclut le superviseur financier. Le questionnaire en ligne, ouvert du 18 mai au 30 juin, a recueilli 239 réponses de la part d’organismes totalisant 88% du chiffre d’affaires réalisé en 2021 par les sociétés d’assurance et de réassurance agrées en France.

Les assureurs, qui sont des cibles appréciées des pirates informatiques, ancrent désormais dans les processus internes la sensibilisation au risque cyber. Surtout, 95% ont défini une stratégie en matière de sécurité informatique alignée sur les ambitions stratégiques de l’entreprise et validée par les fonctions de direction.

Mais du travail reste à faire. «Certains de ces constats apparaissent optimistes au regard des situations observées lors des contrôles sur place réalisées par l’ACPR», indique le superviseur, qui précise : «Des progrès doivent encore être accomplis afin d’accroître leur résilience face au risque cyber et anticiper certains travaux dans la perspective de l’entrée en application en janvier 2025 du règlement DORA».

Outre le besoin de plus d’indépendance de la fonction de sécurité de l’information vis-à-vis des fonctions opérationnelles, le superviseur souligne qu’il faut soumettre «régulièrement le plan de continuité d’activité à des tets (…) et réaliser des exercices de simulation de gestion de crise cyber». Enfin, l’ACPR alerte sur l’utilisation de solutions externes, et plus particulièrement du cloud, qui nécessite des analyses de risques systémiques.

7% du budget informatique

Face à ces risques, les moyens financiers alloués à la sécurité des systèmes d’information ne vacillent pas. «En matière de budget de sécurité des SI, la situation est restée stable entre 2019 et 2022 : le budget moyen s’établit à près de 7 % du budget informatique total (5 % en 2017) et la valeur médiane à presque 6 %. Au regard des moyens financiers disponibles dans chaque groupe d’organismes, l’effort budgétaire réalisé par les organismes de petite et moyenne taille (7,5%) est supérieur à celui des structures importantes et majeures (5,8 %)», détaille l’ACPR.