• cabinetactuelia

Vers des gestes barrières numériques ? La gestion des risques du monde d'après... par Patrick Cohen

Par Patrick Cohen – Consultant senior Actuelia - Actuaire IA

Le XXI siècle est sans nul doute un tournant de l’Histoire.

Synonyme de nouvelles technologies, l’époque actuelle marque également un bouleversement dans le vocabulaire utilisé, ne serait-ce qu’avec le terme « déconfinement » apparu ces derniers mois.  Les années 2000 viennent modifier en profondeur notre conception et la signification de certains termes. Prenons deux termes jusqu’alors intimement liés, les mots « confinement » et « isolement ». Une personne confinée étant un individu mis à l’écart, elle était jusqu’à peu, implicitement isolée. Seulement, avec l’avènement du numérique, cela n’est plus forcément le cas.

En effet, lors de la crise du Covid-19, alors que le monde fut confiné, ses habitants, eux, furent, en grande majorité, loin d’être isolés et restèrent connectés. « Confiné physiquement mais libre numériquement », c’est ainsi que peut se résumer la situation à laquelle nous avons tous assisté durant les mois qui viennent de s’écouler. Unique fenêtre vers le monde extérieure, les réseaux sociaux et internet ont été utilisés par presque tous. Nos corps sont donc restés confinés, certes, mais nos données, elles, ont bien continué à voyager. Ainsi, si les virus physiques ont pu être endigués, les virus numériques, eux, sont restés très actifs.

Le 22 mars dernier par exemple, l’AP-HP (Assistance Publique-Hôpitaux de Paris) a fait l’objet d’une attaque informatique visant à rendre ces serveurs inaccessibles. Plus récemment, le 3 juin, l’Agence du Service Civique a vu sa base de données comprenant près de 1,4 million de données web (nom, adresse mail et mot de passe) être exposées publiquement. Ces quelques exemples, parmi tant d’autres, traduisent un monde digital, lui aussi en proie à de multiples dangers. Si la crise du Covid-19 a permis l’adoption de geste barrières physiques, qu’en est-il des gestes barrières numériques ?

La crise a été un accélérateur important du passage au « tout numérique » et, par conséquent, du risque informatique. Alors que les conséquences économiques demeurent peu mesurables mais seront, de l’avis de tous, colossales, il apparaît justifié de se questionner sur l’impact qu’aurait une crise numérique. Un manque d’anticipation sur les équipements sanitaires a été reproché au moment de la crise. Ne serait-il pas alors temps d’anticiper la mise en place de protections numériques adaptées ?

Durant ces derniers mois, il est apparu clair que des gestes simples permettaient de réduire de manière significative des menaces vitales. Mais qu’en est-il des réflexes numériques ? Des gestes aussi basiques tels que de ne pas ouvrir de manière précipitée des mails, éviter de cliquer sur des liens suspicieux ou encore renouveler de manière régulière les mots de passe, devraient être banalisés en tant que bonne pratique. Toutefois, une véritable réflexion sur le risque numérique doit être menée au sein des organismes afin d’appréhender au mieux la gestion de celui-ci. Depuis 2016 et la mise en place de la directive Solvabilité 2, les organismes d’assurance sont dotés d’un système de gestion des risques. La question qui se pose alors, est de savoir comment intégrer le risque numérique à ce système ?

Dernièrement, l’ANSSI (Agence Nationale de la Sécurité et des Systèmes d’Information) et l’AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) ont publié un guide sur la maitrise du risque numérique (https://www.ssi.gouv.fr/guide/maitrise-du-risque-numerique-latout-confiance/). Ce dernier a pour objectif d’aider les dirigeants et risk managers à construire une politique de gestion du risque numérique en une quinzaine d’étapes. Les cinq premières font d’ailleurs appel à des concepts bien connus du monde de l’assurance et plus particulièrement des fonctions clés gestion des risques : « cadre de gouvernance », « seuil d’acceptation au risque », « pires scénarios de risques », etc.

Le parallèle ne s’arrête pas là car le guide propose un dispositif de gouvernance basé sur trois lignes de maîtrise dont l’architecture peut rappeler le dispositif de contrôle interne des organismes d’assurance :

  • 1ère ligne de maîtrise : Le management opérationnel,

  • 2ème ligne de maîtrise : Les spécialistes des risques (SI, Conformité, Juridique, …)

  • 3ème ligne de maîtrise : L’audit interne.

De plus, il est préconisé la mise en place d’une cartographie des risques afin de recenser les risques numériques or, la cartographie est un élément déjà mis en place par de nombreux acteurs assurantiels.

Enfin l’élaboration de scenarii sur risques numériques mentionné dans le document semble clairement trouver sa place dans les travaux ORSA menés, a minima, annuellement par les organismes.

Ainsi, les principaux outils semblent déjà exister au sein des organismes d’assurance, toute la question sera de les adapter afin de tenir compte des sujets liés au numérique. L’heure doit être à la réflexion pour les conseils d’administration afin d’anticiper au mieux les problématiques de demain. Les fonctions clés tiennent également un rôle central dans la démarche qui doit être menée et, les échanges entre la gestion des risques et la vérification de la conformité seront primordiaux.


Si la crise du Covid-19 a été particulièrement virulente, aussi bien dans ses impacts que dans sa gestion, elle doit permettre d’anticiper au mieux les défis futurs, qu’ils soient physiques, ou numériques.

Sources :

https://www.lepoint.fr/high-tech-internet/le-teletravail-est-une-aubaine-pour-les-pirates-informatiques-27-03-2020-2368980_47.php#

https://lexpansion.lexpress.fr/high-tech/en-pleine-crise-du-coronavirus-les-hopitaux-de-paris-victimes-d-une-cyberattaque_2121692.html

https://www.lemondeinformatique.fr/actualites/lire-1-4-million-de-donnees-de-volontaires-du-service-civique-exposees-sur-le-web-79289.html?utm_source=ActiveCampaign&utm_medium=email&utm_campaign=NL+LMI+Quoti+04062020&ep_ee=0831b520752d25068329173d1a1722cdde0eca08

https://cybercercle.com/paroledexpert-dune-pandemie-lautre-une-tribune-de-christian-daviot-ancien-conseiller-strategie-du-directeur-general-de-lanssi/

https://www.lopinion.fr/edition/international/prochain-virus-sera-cyber-tribune-d-alain-bauer-216291

Actuelia - 51 rue Rennequin - 75017 -01 88 33 11 06 

Nous réalisons nos missions d’Actuariat Conseil sur toute la France : Alsace (Colmar, Mulhouse, Strasbourg) - Aquitaine (Agen, Biarritz, Bordeaux, Pau, Périgueux) - Auvergne (Clermont Ferrand) - Basse Normandie (Caen) - Bourgogne (Auxerre, Dijon, Sens) - Bretagne (Brest, Rennes) - Centre (Blois, Bourges, Chartres, Châteauroux, Orléans, Tours) ) - Champagne-Ardenne (Chalons En Champagne, Reims, Troyes) - Corse (Ajaccio, Bastia) - Franche-Comté (Belfort) – Haute-Normandie (Le Havre, Rouen) - Ile de France – Languedoc Roussillon (Montpellier, Narbonne, Nîmes, Perpignan) - Limousin (Brive, Limoges) - Lorraine (Bar Le Duc, Epinal, Metz, Nancy) – Midi-Pyrénées (Cahors, Castres, Montauban, Pamiers, Rodez, Toulouse ) - Nord-Pas-de-Calais (Lille, Roubaix) - Pays de la Loire (Le Mans, Nantes) - Picardie (Amines, Compiègne, Soissons) - Poitou-Charentes (Angoulême, La Rochelle, Niort, Poitiers) - Provence-Alpes-Côte d’Azur (Aix en Provence, Avignon, Marseille, Nice) - Rhône-Alpes (Annecy, Bourg En Bresse, Chambéry, Grenoble, Bron, Lyon, Saint Etienne, Valence) - mais aussi en Belgique (Bruxelles, Anvers ) - En Suisse (Genève, Lausanne, Bern ) -A Monaco et au Luxembourg - Maroc - Tunisie (Tunis)