Le superviseur s’inquiète de la mauvaise gestion du risque cyber de l’assurance

Le sujet ne cesse de prendre de l’ampleur et d’inquiéter. L’Autorité de contrôle prudentiel et de résolution (ACPR) a publié vendredi une notice sur la cybersécurité des organismes d’assurances. Le document vise à s’assurer que les entreprises du secteur respectent les orientations de l’autorité européenne des assurances (Eiopa). « Ces orientations précisent notamment les diligences à effectuer par les organismes d’assurance et de réassurance afin de tenir compte de l’importance de la gestion du risque des nouvelles technologies de l’information et de sa prise en compte par la gouvernance », précise la note.

En particulier, « cette notice souligne que le risque informatique mérite d’être pleinement pris en compte dans le dispositif général de gestion des risques et clarifie les attributions des organes de gouvernance en matière d’élaboration d’une stratégie IT, de validation d’une politique idoine et de l’allocation de ressources permettant une prise en charge efficiente de ce risque. »

Multiplication des incidents

Cette notice arrive dans un contexte particulier. La mise en place du télétravail avec la pandémie, amené à se généraliser, a coïncidé avec une multiplication des attaques cyber dont le secteur de l’assurance n’a pas été exempt, le secteur financier étant le plus ciblé par les attaques.

En ce qui concerne le secteur de l’assurance, MMA et MNH ont récemment subi des attaques par exemple. Surtout, la fuite de données chez Axa, révélée en mai par L’Agefi, a démontré les risques liés aux nouvelles technologies et à leurgestion par des prestataires tiers.

« L’ACPR fait preuve de vigilance vis-à-vis des risques révélés par les incidents récents dans le domaine de la conservation des données sensibles par les organismes d’assurance et de leur extorsion ciblée lors de cyberattaques », veut rassurer le superviseur