L’assureur militant a fait de la protection des données personnelles de ses sociétaires un impératif qui exige une sécurité interne sans failles, mais aussi de se préoccuper du niveau de sécurité de chacun des prestataires IT. Une gageure quand on en compte 300…
L’initiative « Mes Data et moi » de la MAIF vise à rassurer les adhérents sur la sécurité et la confidentialité de leurs données personnelles. Cela a conduit l’assureur à déployer des solutions de prévention des fuites de données (DLP) pour s’assurer que les données ne peuvent pas être filtrées hors du système d’information. Cette initiative a également amené l’entreprise à réfléchir à la manière dont les fournisseurs protègent ces données.
Matthieu Thibault, coordinateur des audits SSI à la MAIF, qui est principalement responsable de l’audit des filiales et des fournisseurs de l’assureur, explique la démarche : « Nous avons dû renforcer notre présence auprès de nos fournisseurs pour créer une position de sécurité mutuelle entre ce que nous nous imposons et ce que nous imposons. à ses fournisseurs ».
Adopter une telle démarche n’est pas aisé quand on sait que si la sécurité de la maison mère et de ses filiales est gérée par un SSI centralisé, le groupe compte environ 800 fournisseurs dont la moitié dans le secteur informatique. « La question était de savoir comment choisir les fournisseurs et traiter avec eux les risques cyber, sachant que nous devons respecter un certain nombre de réglementations, dont l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) et l’ACPR (prudence et résolution. Une autorité dépendante de la Banque de France) qui nous obligent à avoir une visibilité sur cet écosystème. C’est de là qu’est née la volonté d’aller plus loin dans la maîtrise de ce fournisseur.
La volonté de la MAIF est d’assurer la sécurité des données pendant toute la durée de validité du contrat, depuis l’annonce de l’appel d’offres jusqu’à la fin du contrat, et d’assurer la destruction ultérieure des données par le prestataire.
Un plan d’assurance sécurité élaboré en 2016
En 2016, Matthieu Thibault a invité les Entreprises de Services du Numérique (ESN) spécialisées dans la cybersécurité à élaborer un plan d’assurance sécurité qui sera communiqué à l’ensemble des prestataires de la MAIF. A cette occasion, le Digitem sollicité ne répond pas à cette demande.
Ludovic de Carcouet, fondateur de Digitemis et éditeur de Make IT Safe, explique : « Nous n’avions pas répondu à la MAIF à l’époque par un plan d’assurance sécurité, préférant une vision à plus long terme définie comme un processus de vérification des fournisseurs et assurant les moyens pour cette collaboration’. »
Fruit de la démarche de digitalisation, la plateforme Make IT Safe est aujourd’hui complétée, qui permet de suivre toutes les phases de la relation avec le fournisseur, de la conclusion du contrat de plan d’assurance sécurité aux outils de suivi des audits de contrôle qui ont lieu 1 an plus tard, 2 ans plus tard ou même à la fin du contrat. Le dirigeant ajoute : « Nous intervenons en amont au niveau des RFP en positionnant nos critères de sécurité sur la sélection des fournisseurs. Après la signature du contrat, nous nous assurons que le fournisseur respecte notre plan d’assurance sécurité. Cela prend du temps pour le fournisseur car il dispose de nombreux questionnaires de ce type à remplir. remplissez pour les clients, mais il n’y a pas d’autre solution.Ensuite, nous surveillons, afin qu’il n’y ait pas d’écarts possibles au cours du contrat.
Matthieu Thibault a donc décidé d’utiliser cette approche dans une seconde phase pour gérer les Plans d’Assurance Sécurité (PAS) délivrés aux prestataires informatiques de la MAIF. Une fois les 300 fournisseurs informatiques identifiés, l’équipe a travaillé sur de nouveaux contrats, les équipes projets l’ont alors informé de tous les services à risque : « nous travaillons à la fois avec les filiales corporate et RSSI qui connaissent leurs prestataires clés et notre délégué à la protection des données qui ajoute son fournisseurs à la liste ».
Pour un manager, l’un des facteurs de succès d’une telle démarche est d’intégrer les achats afin que le PAS soit directement lié au contrat et évite ainsi tout Shadow IT. Par rapport au processus, l’équipe informatique peut garder la maîtrise de la cartographie du système d’information. S’il est relativement facile de pousser SAP sur tous les nouveaux fournisseurs, cela a été une question de négociation avec tous les prestataires déjà sous contrat.
3 niveaux d’analyse du niveau de sécurité d’un fournisseur
L’audit sur site de 300 fournisseurs n’est clairement pas économiquement faisable. La MAIF et Make IT Safe ont défini une hiérarchie des risques avec 3 niveaux d’analyse des mesures de sécurité des fournisseurs. Le premier niveau est le mode « automatique ». Chaque fournisseur remplit son questionnaire sur le site collaboratif, rassemblant ainsi des centaines de SAP pour la MAIF. « Plus précisément, nous privilégions l’expertise dans nos analyses. La déclaration a ses avantages, notamment qu’elle se retournera contre son fournisseur si elle ne correspond pas à ses prétentions, mais on sait très bien que les questionnaires n’ont qu’une valeur déclarative. C’est pourquoi nous voulons aller plus loin et aller vers le fournisseur.
Make IT Secure permet à la MAIF de bénéficier de l’analyse d’un questionnaire réalisé par un auditeur PASSI qualifié, qui le remplit d’un avis d’une dizaine de lignes sur les forces et les faiblesses du fournisseur. Enfin, les fournisseurs considérés comme critiques car fortement impliqués dans le fonctionnement des entreprises bénéficient d’un audit sur site. Ils sont audités tous les deux ans. Ludovic de Carcouet commente la démarche : « Il faut bien positionner le curseur entre des questions automatisées, comparables et plus ouvertes qui conduisent à l’expertise. L’expansion de centaines ou de milliers de fournisseurs pose la question des coûts et des ressources. C’est intéressant pour fournisseurs critiques qu’ils peuvent décrire plus en détail les outils appliqués.
Le « taux d’engagement » d’un fournisseur, c’est-à-dire la qualité de sa réponse, varie évidemment fortement selon que le client est une PME ou un grand compte pour lequel il passe du temps à répondre à son questionnaire et livre beaucoup de marchandises. La phase d’approvisionnement est idéale pour obtenir le maximum d’informations auprès des fournisseurs. Pour Matthieu Thibault, la date de renouvellement du contrat peut être un bon levier pour obtenir des informations manquantes, mais il avoue qu’il est rare d’escalader pour obtenir des réponses des fournisseurs de la MAIF.
Actuellement, la MAIF dispose d’un PAS pour tous ses fournisseurs. Un fournisseur peut toujours répondre « Non applicable » à des questions qu’il ne considère pas pertinentes pour son activité. « Nous envisageons de profiler les SAP en fonction du type de fournisseur, mais ce n’est pas encore le cas. D’autre part, nous préparons soigneusement le travail de nos auditeurs avec l’enquêteur d’entreprise et le prestataire, afin qu’ils sachent où entreprendre leurs démarches. Au lieu de mener des audits punitifs, l’administrateur souhaite privilégier les relations positives avec les fournisseurs pour faire évoluer l’ensemble de l’écosystème MAIF vers une meilleure protection des données des bénéficiaires.
Commentaires recueillis pour l’édition 2022 des Assises de la Sécurité.