Mettre en place un cadre de prévention et de gestion du risque cyber au sein d’une société d’assurance

Une nouvelle réglementation portant sur le risque cyber-sécurité a pris effet dans l’État de New York, USA, ce 1er mars.

 

Elle s’adresse à l’industrie des services financiers régulée dans cet Etat. Cependant, elle devrait intéresser tous les assureurs tant pour :

  • la définition de leur propre politique de cyber-sécurité,
  • leur communication auprès de leurs clients ou leur régulateur sur leur exposition à ce risque,
  • et adresser leur exposition à ce risque dans leur ORSA.

 

Comme l’indique le communiqué de presse émis en septembre dernier par le Department of Financial Services, « cette réglementation exige de la part des banques des entreprises d’assurance et d’autres institutions de service financier (…) qu’elles établissent et assurent le maintien d’un programme de sécurité informatique conçu pour protéger les consommateurs et assurer la sécurité et la sante financière de l’industrie des services financiers (…). »

 

La réglementation porte sur la cyber-sécurité des sociétés de l’industrie financière et non sur les caractéristiques des couvertures cyber-sécurité que ces sociétés pourraient commercialiser.

Elle s’appuie sur les principaux éléments suivants :

  • l’établissement d’un programme de cyber-sécurité,
  • l’adoption d’une police de cyber-sécurité,
  • et la nomination d’un « chief information security officer ».

Plus pratiquement, elle intègre :

  • des composantes informatiques (audit trail, destruction de certaines données devenues inutiles entre autres choses),
  • des processus (plan de continuité, plan de gestion de crise par exemple)
  • ou encore des actions de propagation d’une culture de cyber-sécurité.

Et comme pour la directive Solvabilité 2, elle s’étend aux fournisseurs de services externalisés.

 

Elle ne s’applique bien évidemment pas aux sociétés d’assurance régulées par la norme Solvabilité II. Elle ne contient pas non plus de recette miracle ou d’éléments réellement innovants par rapport à un système de gouvernance des risques appliqué au risque cyber-sécurité. Mais en l’absence d’autres principes, elle a un double mérite : exister et servir de base à une check list. Enfin, elle complète les recommandations de l’ANSSI en matière de risque cyber-sécurité.

 

Afin d’aider les sociétés d’assurance à gérer le risque cyber-sécurité, MPG Partners a mis en place une check-list pour mettre en place et maintenir périodiquement un cadre de prévention et de gestion du risque cyber-sécurité.

Pour accéder à la liste des recommandations émises par la DFS de l’Etat de NY, USA : https://www.governor.ny.gov/sites/governor.ny.gov/files/atoms/files/DFSCybersecurityRegulations.pdf