L'Autorité de contrôle prudentiel et de résolution, superviseur français des banques et des assurances, a appelé vendredi les assureurs à améliorer leur gestion des risques cyber, après des incidents récents dans le domaine de la conservation des données sensibles.
Face à ce type de risques, l'autorité a dévoilé une notice relative à la sécurité de l'information et à la gouvernance des technologies de l'information et de la communication (TIC) à destination des entreprises d'assurance ou de réassurance.
« Cette notice souligne que le risque informatique mérite d'être pleinement pris en compte dans le dispositif général de gestion des risques et clarifie les attributions des organes de gouvernance en matière d'élaboration d'une stratégie IT, de validation d'une politique idoine et de l'allocation de ressources permettant une prise en charge efficiente de ce risque », détaille le superviseur dans un communiqué. « La crise que nous traversons montre l'importance du risque informatique et en particulier de la cybersécurité. Le secteur financier demeure le secteur le plus ciblé par les cyberattaques », s'inquiète-t-il.
Des incidents récents
Dans ce contexte, il est notamment attendu que les dirigeants effectifs soient responsables de la définition, de la validation, du déploiement et du suivi de cette stratégie au titre de leur responsabilité générale sur la bonne marche de l'entreprise et de la maîtrise des risques. Celle-ci doit, par ailleurs, être soumise à l'approbation de l'organe de surveillance qui s'assure de sa mise en œuvre.
L'autorité explique faire « preuve de vigilance vis-à-vis des risques révélés par les incidents récents dans le domaine de la conservation des données sensibles par les organismes d'assurance et de leur extorsion ciblée lors de cyberattaques. Cela reste un sujet de préoccupation et un enjeu de taille dans le domaine assurantiel qui justifie, pour l'ensemble des acteurs du marché, une prise en compte appropriée de ces risques ».
