Côté pile, la donnée transforme notre quotidien. A tel point que le big data est devenu une économie à part entière. Côté face, son développement a suscité l'explosion de la cybercriminalité. Longtemps réservé aux hackers désireux de démontrer leur savoir-faire, ce type de délinquance a désormais des visées financières. Car les informations clients récupérées par des mains internes et/ou externes à l'entreprise ont pris de la valeur, et sont devenues monétisables. Du coup, le risque interpelle jusqu'à la souveraineté nationale. De fait, aucun acteur économique n'est épargné. Et encore moins ceux qui utilisent les données comme matière première pour produire ou offrir des services. Ce qui est le cas des assureurs !

L'Amrae, association qui regroupe les risk managers, qualifie cette thématique de critique. Francis Van den Neste, président de la commission pays de l'Amarae, et corporate risk manager de Roquette Frères s'alarme : «Tout aussi importantes que les données personnelles, celles de nos entreprises sont confiées aux assureurs qui les utilisent à des fins de tarification : chiffre d'affaires, nombre de collaborateurs, etc. Si, en matière de santé et de prévoyance, ils paient en aveugle, car ils n'ont pas accès aux données personnelles des assurés détenues par l'Assurance maladie, les risk managers sont en droit de s'interroger sur la sécurité des autres informations qu'on leur confie. Parfois, ils restent sans réponse satisfaisante. C'est inquiétant dans un contexte d'espionnage industriel avéré...»

Cette crainte est d'autant plus légitime qu'à l'heure du cloud computing, modèle proposé notamment par des fournisseurs américains, il n'est pas évident de savoir avec précision où peuvent être hébergées les données d'un client, susceptibles à tout moment de tomber sous le coup, par exemple, du Patriot Act. Ce dernier confère en effet à l'administration de Washington le droit d'accéder à toute donnée hébergée par une entreprise de droit américain.

Finalité d'exploitation et risque de fraude

Pour les entreprises, qui passent généralement par l'intermédiaire du grand courtage, la transparence sur les données transmises aux assurances va donc être plus que jamais au centre des requêtes de l'Amrae. Une réaction que comprennent manifestement les acteurs de ce réseau de distribution, à en juger par l'analyse de Dominique Bercovici, directeur du département lignes financières chez Diot : «Certaines données ont peu de valeur quand d'autres sont sensibles : identité d'une personne, numéro de carte de crédit voire celui de Sécurité sociale. Ces données personnelles confiées à une entreprise doivent être protégées, comme le prévoit en France la loi "Informatique et libertés". » A l'instar des autres entreprises, les assureurs sont soumis en fait à de multiples obligations en matière de gestion des données personnelles, de l'analyse des risques à l'encaissement des primes ou à la gestion des sinistres, notamment en assurance de personnes. Nicolas Ricchiuto, manager conseil industrie financière risk advisory chez Deloitte, rappelle que la loi de 1978 «constitue l'un des textes phares que les assureurs doivent respecter dans le cadre de la conformité réglementaire. La Cnil s'assure, par exemple, que les données collectées sont bien exploitées pour les finalités déclarées». Pour son confrère Odilon Audouin, directeur conseil risk advisory, «à cette problématique, il faut ajouter celle de la fraude. En fait, la protection de la donnée personnelle au sein des entreprises d'assurance les expose à une double sanction : celle du client dont les données ont été usurpées et celle de la Cnil».

Une inflation juridique qui coûte cher

Planté voilà plus de trois décennies, ce décor juridique sert encore de référence. En complément, la loi de décembre 2013 sur la programmation militaire impose aux 200 opérateurs d'importance vitale (OIV), l'obligation de notifier au Premier ministre, dans les 24 heures, toute défaillance touchant à leur infrastructure technologique. En fait, elle élargit à ces OIV le périmètre de la loi "Informatique et libertés". Attendue, l'arrivée «d'un règlement européen devant être voté cette année et applicable début 2016. Cette législation va certainement durcir davantage ce cadre juridique tant les risques sont de plus en plus élevés», explique Stéphane Choisez, avocat associé au cabinet Ngo Cohen Amir-Aslani & associés.

Une inflation qui coûte cher aux entreprises. Demandez à Target, chaîne américaine de grande distribution, dont les bases ont été dépouillées de plus de 110 millions de données personnelles. Les chiffres communément avancés mentionnent un montant compris entre 30 et 50 € par client le coût de notification et de surveillance de l'utilisation des données volées. «En clair, une entreprise peut voir le coût de son sinistre dépasser son chiffre d'affaires, et son sort très vite scellé», résume Stéphane Choisez.

Une vertueuse peur du gendarme

Face à cette menace, comment réagissent les assureurs ? «Gérant une masse de données significatives, ils sont tout aussi exposés que les banques. En matière de sécurisation des données, la différence existe entre les grandes, mieux protégées, et les PME», indique Dominique d'Achon, associée chez Cybernet courtage, dont la société propose une offre clé en main de transfert de ce risque à un assureur, en l'occurrence, la solution Cyberprotect. Selon Mickaël Robart, directeur du département lignes financières du courtier Siaci Saint-Honoré, «les assureurs ont déjà intégré des modèles d'appréciation, de gestion du risque numérique et développé des solutions de traitement y compris pour la protection des données personnelles. Pour certains, une solution de transfert du risque résiduel au travers d'une assurance a pu être mise en place. Les référentiels réglementaires, la législation de plus en plus contraignante et les exigences de Solvabilité II les poussent à être conformes à l'état de l'art en matière de protection des données, a fortiori personnelles. Elles imposeront de plus en plus, également, les bonnes pratiques en la matière à leurs partenaires». Ainsi, les courtiers, comme Siaci Saint-Honoré, mettent en place des politiques de sécurité informatique «au-delà même des solutions techniques relevant des DSI ; des procédures que les employés doivent respecter : mots de passe à fort degré de sécurité, impossibilité d'accès aux réseaux sociaux ou messageries personnelles, pas d'achats en ligne, limitation d'accès à de nombreux sites».

Face à cette nouvelle donne, Pierre-Luc Réfalo, directeur du consulting cybersécurité chez Sogeti consulting, réagit : «Il ne s'agit plus d'ériger des bunkers, mais d'anticiper et de réagir rapidement aux attaques. Alors, les acteurs de l'assurance mettent en place des actions en cohérence avec des mesures de contrôle et de surveillance. Savoir et comprendre très vite les risques auxquels on est confronté, tel est l'enjeu.» Et d'ajouter : «Actuellement, les travaux de cybersécurité sont plus souvent de nature juridique et marketing : est-ce que je respecte la réglementation en place et protège bien ma réputation ? Une interrogation derrière laquelle se cache la peur du gendarme, en l'occurrence, l'ACPR.»

Les extranets, dangereuses portes ouvertes sur le monde

En phase avec cette nécessité de s'aligner sur les directives en vigueur, les porteurs de risques reconnaissent leurs effets vertueux. Chez Thélem assurances, l'une des illustrations de cette réalité est la nomination d'un correspondant informatique et libertés (CIL). Autre exemple, le groupe a lancé le programme "Tous internautes", en 2008, «pour sensibiliser le personnel aux risques que représente cette fenêtre sur le monde», rappelle François Tapin, DSI. Pour Laurent Gaschaud, responsable de la sécurité des systèmes d'information (RSSI) de Thélem assurances, «le niveau de sécurité varie en fonction de la criticité des données».

Au groupe Humanis, la sécurité des données à caractère personnel est bâtie sur la base des exigences générales et réglementaires de la profession : conventions Belorgey/Aeras, Solvabilité, exigences Agirc Arrco, Cnil, etc. «Désormais, chacun de nos projets embarque cette préoccupation, l'idée maîtresse étant de garantir la continuité des activités et d'asseoir un climat de confiance avec notre écosystème : assurés, allocataires, partenaires. En fonction de la criticité des données et après avoir cartographié nos risques majeurs, nous définissons le dispositif de maîtrise de risque adapté : le confinement ou le chiffrement, par exemple, pour les données médicales et financières», explique Eric Doyen, RSSI de l'institution de prévoyance.

En décembre dernier, Humanis a élaboré une méthode de qualification des risques assortie de dispositifs de protection adaptés. Le plus difficile à maîtriser est la donnée non structurée issue, en règle générale, des outils bureautiques et de traitement de bases de données. Elle représente entre 60 et 80 % de la volumétrie des informations traitées par le SI et fait l'objet d'une traçabilité permanente, comme c'est également le cas au sein d'AG2R La Mondiale. Autre point de surveillance accru chez Humanis, les portails extranets qui, du fait de l'évolution de l'activité du groupe vers le modèle BtoC, entraînent des risques nouveaux liés à l'exposition sur internet. Les moyens et le niveau d'authentification font donc actuellement l'objet d'une attention particulière. Avec le défi que le renforcement de la sécurité ne nuise pas à la fluidité des transactions et à l'expérience utilisateur.

Chiffrer, tracer : le secteur est en retard

Par ailleurs, chez Humanis, le chiffrement et/ou la supervision des données (structurées ou non) sont également appliqués à certaines informations sensibles, dans le transport et/ou le stockage. Une alerte peut être automatiquement émise dès que les données sont sorties du périmètre de confiance auquel elles sont assignées, quel que soit le compte à l'origine de la modification, que celui-ci soit simple ou dit "privilège" (possédant des droits étendus). La nécessité de suivre au plus près cette dernière population donne lieu à un projet à part entière avec l'acquisition d'un progiciel spécialisé sur le marché. En attendant, une charte d'administration régit les pratiques de ces comptes VIP.

Au GIE Gips (Groupement informatique de la protection sociale), lutter contre ce risque passe, entre autres, par l'intégration d'un outil du marché : DatAdvantage. Il permet notamment d'identifier qui a (ou a eu) accès à une information donnée et où se situe celle-ci dans le système. Ce qui permet de gagner du temps en cas de perte ou de déplacement de données par erreur, et de tracer si nécessaire les différents accès.

Chez AG2R La Mondiale, «une gestion rigoureuse et une revue régulière permettent de maîtriser ce risque dans certains environnements techniques», explique Jean-François Louâpre, RSSI. Au-delà, «notre choix est de protéger avant tout les données les plus sensibles que nous avons identifiées, à commencer par les informations médicales, comme nous l'impose le dispositif Belorgey. L'ouverture des systèmes d'information accentuant les risques, le corollaire est la nécessité pour les entreprises d'adopter une sécurité au plus près de la donnée et non des éléments d'infrastructure, comme avant. A cette fin, le chiffrement peut apparaître comme une panacée, mais demeure coûteux au vu des volumes de données traitées. En la matière, la profession est en retard. Nous avons choisi de chiffrer, en priorité, les données de nos appareils mobiles», ajoute-t-il (lire aussi l'interview ci-contre).

Le nuage ne met pas tout le monde d'accord

Avant même de parler de chiffrement, l'une des stratégies visant à renforcer la protection des données chez certains assureurs consiste à faire l'économie de la sous-traitance, à la différence de quelques-uns qui optent pour le cloud computing. Cette dichotomie révèle un des débats en cours depuis quelques années dans l'assurance : externaliser les données exposerait-il à plus de risques de violation ? Le groupe Humanis répond sans répondre : «Notre position est relativement attentiste, car nous disposons de notre propre cloud privé et, souvent, nous sommes notre propre hébergeur. Néanmoins, nous expérimentons de nouveaux services autour de la mobilité et des apports de services embarqués dans le cloud public - plate-forme collaborative sécurisée par exemple - en exigeant un hébergement dans des data centers en France», indique Eric Doyen.

Qu'en est-il du côté des hébergeurs ? Selon Léonel Garcia, RSSI d'Ecritel (société spécialisée dans l'infogérante, l'hébergement et le cloud computing), «notre profession a démontré ses capacités à proposer des environnements protégés. Pour autant, il n'existe pas de sécurité totale. Avec nos clients, nous définissons des stratégies de protection en fonction du degré de sensibilité des données. Par exemple, un médecin est dédié à l'accès de données de santé hébergées chez nous, afin de garantir leur confidentialité». Plus généralement, Ecritel a mis en place des mesures de sécurité permettant de détecter les différentes attaques ou failles orchestrées en interne comme en externe.

Amazon Web Services (AWS) est sur la même tonalité. «La sécurité est notre priorité, martèle Stephan Hadinger, senior manager solutions architecture. Nous sommes dans une logique de responsabilité partagée : à nous la protection des infrastructures sachant que le client se charge de ses données et de ses applications. Cependant, nous l'accompagnons dans sa démarche en lui donnant les meilleures pratiques, comme chiffrer ses données les plus sensibles, et nous veillons à la bonne marche de ses outils. Nous n'avons pas accès à ses données, qu'elles soient sensibles ou non.» Cette stratégie, couplée à la possibilité pour chaque client de choisir le lieu d'hébergement de son patrimoine digital, démontre si besoin était «la maturité du cloud et son aptitude à protéger le patrimoine de chacun de nos clients. A ce propos, Tom Soderstrom, directeur technique de JPL [Jet Propulsion Laboratory, constructeur pour la Nasa, d'engins spatiaux], a reconnu que les outils de son groupe y sont mieux en sécurité qu'au sein de ses data centers», soutient Stephan Hadinger. Un argument utilisé par d'autres entreprises pour entrer dans le nuage. Vodafone Italia a été séduit par les standards sécuritaires mis en place par AWS. Parmi ceux-ci, la norme PCI DSS, centrée sur la protection des échanges impliquant les cartes bancaires. «Elle permet à nos clients de faire l'économie d'un projet en la matière», se félicite Stephan Hadinger. Mais tous ne l'entendent pas de cette oreille. A commencer par Europ assistance qui mise sur une solution internet (lire encadré page précédente).

L'incontournable cartographie des risques

Du reste, si PCI DSS constitue un référentiel essentiel à prendre en compte dans la sécurisation des données de paiement, « ce standard reste avant tout une méthodologie ; le contrôle de son application est effectué par des sociétés dûment accréditées», précise Martine Briat, directrice des affaires juridiques et bancaires du Groupement des cartes bancaires. Pièce importante du puzzle des cartes de paiement, comment ce GIE s'accommode-t-il de la sécurité des données ? «Nous n'avons pas dans nos bases de fichiers comportant les noms des porteurs assortis aux numéros de cartes bancaires, qui sont et restent la propriété des banques émettrices ; celles-ci conservent les données de leurs clients porteurs en les "troncaturant" ou en les cryptant». Et d'ajouter : «Dans le domaine bancaire, nous conduisons régulièrement une cartographie des risques et prenons les mesures de prévention nécessaires pour les limiter.»

Enthousiaste quand il s'agit de parler des contrats de cyberassurance, beaucoup de porteurs de risques restent muets s'agissant de leur stratégie de protection de données personnelles. Pour autant, ils s'emploient, comme les autres secteurs, à sanctuariser leurs bases de données. Ce qui est loin d'être une sinécure tant les ruses des hakers se renouvellent constamment.

Face à face - Faut-il externaliser la gestion de ses données clients ?

Christian Bou,

responsable informatique grands systèmes au Gips

"En fonction de la criticité des données et d'une cartographie des risques majeurs, nous définissons le dispositif adapté : le confinement ou le chiffrement, par exemple, pour les données médicales et financières."

Eric Doyen

Humanis

"Il n'existe pas de sécurité totale. Avec nos clients, nous définissons des stratégies de protection en fonction du degré de sensibilité des données."

Léonel Garcia

Ecritel

"Nous n'avons pas de fichiers comportant les noms des porteurs assortis aux numéros de cartes bancaires, qui sont et restent la propriété des banques émettrices ; celles-ci conservent les données de leurs clients porteurs en les "troncaturant" ou en les cryptant.".

Martine Briat

Groupement des cartes bancaires