Mutuelle du Mans Assurance (MMA) en juillet 2020, Mutuelle Nationale des Hôpitaux en février 2021, Axa en mai 2021, AssurOne en juillet 2021, April, Verlingue, Génération et Coverlife en novembre 2021, la Caisse Centrale de Réassurance en juillet 2022, Emoa Mutuelle du Var en août 2022… La liste des cyberattaques envers les assureurs et les mutuelles ne cesse de s’alourdir.
Avec la gestion quotidienne de nos données personnelles et médicales, la sécurité informatique est plus que jamais un enjeu majeur dans le fonctionnement de ces industries. Mais à quel niveau de conformité informatique doivent se soumettre ces secteurs ? Et quels en sont les enjeux ? Décryptage avec notre expert en conformité SI.
Mutuelle, banque, assurance : un secteur d’activité hautement réglementé
Avant de se plonger dans la conformité informatique et d’en comprendre les enjeux, il est intéressant de prendre la mesure des normes et réglementations qui régissent le secteur de la finance, des assurances et des mutuelles.
Suite aux diverses crises financières du XXème siècle, de nombreuses contraintes et règles ont été mises en place puis renforcées au cours de l’Histoire. Ce mix de dispositifs légaux et de règles éthiques a pour but d’assurer la protection des citoyens contre des risques excessifs liés à leurs placements et investissements dans des sociétés de fonds.
Dès 1974, suite à la faillite de la banque allemande Herstatt, les banques centrales et des superviseurs bancaires du G10 se réunissent pour introduire la notion de contrôle bancaire et des règles de prudence. Ainsi, en 1988, le premier accord de Bâle est publié suite aux travaux de ce comité. C’est un acte fondateur dans la régulation bancaire pour assurer la sécurité globale des marchés financiers.
Par la suite, les scandales suite à de mauvais placements boursiers et l’absence de contrôle interne ainsi que la crise financière de 2008 conduiront à deux révisions majeures. Les accords de Bâle permettent alors d’assurer la solidité financière des banques, des assurances ou bien encore des mutuelles.
Pour s’aligner sur la réglementation bancaire, la Directive Solvabilité 1 (ou Solvency) a été adoptée en 2009 par le Parlement européen et le Conseil de l’UE. Cette réforme réglementaire prudentielle spécifique au secteur de l’assurance traite de la capacité des organismes à faire face à leurs engagements vis-à-vis de leurs adhérents. Sont alors soumises à cette nouvelle directive :
- les entreprises d’assurance régies par le Code des assurances ;
- les mutuelles régies par le Code de la mutualité ;
- les institutions de prévoyance régies par le Code de la sécurité sociale.
Suite à la crise de 2008 et à l’instar des accords de Bâle 2, Solvabilité 2 est adoptée et vise à renforcer les règles européennes selon 3 piliers :
- renforcer la protection des assurés ;
- inciter les entreprises à améliorer leur gestion des risques ;
- assurer une application harmonisée et transparente de la réglementation dans l’Union Européenne.
L’objectif est clair : s’assurer que les organismes peuvent faire face à leurs obligations, quelle que soit la situation. Entrée en vigueur en 2016, Solvency 2 renforce donc les contrôles et l’obligation de justification de la solvabilité. Ainsi les équipes internes doivent en permanence surveiller la bonne gestion de leur entreprise, calculer et maîtriser les risques.
La conformité informatique : le pilier de la stabilité du SI
Au sein d’une mutuelle, d’une assurance ou d’un établissement bancaire, la conformité métier revêt une importance capitale.
Baptiste David, Responsable PreSales and Delivery chez Tenacy, résume : « En caricaturant, tous les secteurs qui ont la capacité à gérer de l’argent sont réglementés par les accords de Bâle. Donc historiquement, ce secteur s’est rendu compte que pour assurer la stabilité des organisations telles qu’une mutuelle, une assurance ou une banque, cela passait aussi par la stabilité de son système d’information. »
Le système d’information doit alors répondre aux exigences, normes, lois, politiques internes, ou tout autre document de référence. C’est ce que nous appelons la conformité informatique. Déjà fortement contraintes d’un point de vue métier, les mutuelles, assurances et banques se sont dotées d’équipes conformité. Ces dernières gèrent les règles et normes métier ainsi que la conformité informatique et de cybersécurité.
Comme toute entreprise, les établissements et organisations du secteur banque, mutuelle et assurance sont engagés dans une démarche de certification de leurs systèmes d’information. La norme ISO 27001, notamment, aborde la sécurité sous l’angle de la gestion de risques et dans le cadre d’une démarche d’amélioration continue. Son bon respect implique la mise en œuvre d’un système de management de la sécurité de l’information (SMSI) afin de collecter, traiter et stocker des données clients sécurisées.
De même, comme toute entreprise exerçant en Europe, l’organisation doit suivre les obligations du Règlement Général sur la Protection des données (RGPD). Il s’agit ici de normes et réglementations communes à l’ensemble des organisations. Elles servent de base à la mise en conformité informatique mais sont loin d’être suffisantes pour le secteur des mutuelles, assurances et banques.
Conformité informatique liée aux statuts OSE et OIV
Les mutuelles peuvent être désignées opérateurs de services essentiels dans le secteur de la santé et opérateurs d’intérêt vital. Cela implique donc pour les organismes concernés le respect de la directive Network and Information Security (NIS), directive européenne de 2016 sur la cybersécurité, révisée en 2022, et de la Loi de Programmation Militaire (LPM), texte législatif français voté pour le programme 2019-2025.
Elles ont pour objectif le renforcement des capacités de cybersécurité des entreprises essentielles dont l’interruption aurait de graves conséquences sur le fonctionnement de la société et de l’État.
Comme le rappelle Baptiste David, « la loi de programmation militaire et les directives NIS 1 et NIS 2 visent toutes les deux à assurer la sécurité de la nation. Un pays comme la France a besoin que son système bancaire, que ses assurances et que ses mutuelles fonctionnent correctement. De ce fait, l’État et l’Europe ont imposé des standards de sécurité à ces entreprises essentielles, qui sont indispensables à la stabilité d’un pays. »
La conformité dans le secteur des banques, mutuelles et assurances : spécificités
Les mutuelles et assurances santé, qui hébergent des données personnelles de santé, doivent être certifiées HDS, c’est-à-dire Hébergeur de Données de Santé. Éditée par l’ANS (Agence du Numérique en Santé), cette certification permet de démontrer l’engagement de l’organisme en matière de protection des données de santé à caractère personnel.
Baptiste David précise : « C‘est un référentiel français à vocation internationale pour les entreprises qui souhaitent stocker les données de santé des Français. Par exemple, Microsoft est certifié HDS et peut ainsi héberger les données à caractère personnel de santé. Et la particularité de HDS, c’est que pour l’être, il faut aussi être certifié ISO 27001. »
La conformité informatique dans le secteur de la finance
Un organisme qui traite des données de titulaires de cartes de paiement doit se conformer à la norme internationale de sécurité des données PCI DSS (Payment Card Industry Data Security Standard). Il s’agit d’une série de mesures visant à réduire la fraude et le vol sur Internet.
Adopté en cette fin novembre 2022 par le Conseil Européen, le Digital Operational Resilience Act (DORA) est le tout nouveau règlement sur la résilience opérationnelle des systèmes d’information du secteur financier. Ce texte législatif doit permettre aux banques et autres entreprises fournissant des services financiers d’être « résilients en cas de perturbation opérationnelle grave », précise le communiqué de presse du conseil de l’UE. Ce grand règlement européen sera décliné dans le droit français début 2023.
En conclusion
Les secteurs des mutuelles, des assurances et des banques sont soumis à de très nombreuses règles, normes, lois, obligations légales et politiques de sécurité. La prise de conscience du risque cyber est plus élevée dans ce secteur qu’ailleurs. La gestion des conformités métier y a ancré cette culture du risk management depuis des décennies.
En parallèle, les conformités évoquées vont s’appliquer sur des systèmes d’information qui sont par définition en perpétuelle mutation. La digitalisation des usages (application en ligne, dématérialisation des remboursements, carte d’assurance numérique, consultation médicale en visioconférence ou par chat…) démultiplie le nombre de projets et l’enjeu du RSSI est de suivre la conformité dans les évolutions quotidiennes de votre système d’information.
Baptiste David conclut sur la nécessaire vision exhaustive des projets à sécuriser et le concept de security by design : « Tous les jours, les équipes de Digital Factories ou de développement créent de nouveaux éléments. La sécurité dans les projets, pour les équipes sécurité, c’est prendre tous les projets qui se passent dans l’entreprise, du changement de couleur du mur qui n’a pas beaucoup d’impact à la création d’une nouvelle application mobile. Et de préciser les éléments de conformité à faire appliquer par les équipes conceptrices. »
Mais pour cela, le RSSI doit avoir une vision partagée sur les projets de son organisation… Et c’est sans doute là que se trouve le véritable enjeu !