L'assurance outre-Manche n'assure pas la sécurité de ses systèmes

Malgré les nombreux avertissements répercutés l'an dernier par la presse en général, la sécurité ne semble toujours pas préoccuper à sa juste valeur les professionnels de l'assurance outre-Manche. D'après la société de services britannique CMG Admiral, qui a effectué un sondage auprès d'un panel représentatif de directeurs des systèmes d'information travaillant dans ce segment, près de 50 % d'entre eux ne parieraient pas une livre sur la fiabilité de leurs systèmes de sécurité. Et pourtant, la Grande-Bretagne s'est montrée jusque-là la mieux placée en Europe concernant l'implémentation de nouvelles technologies en général, devant la France. De plus, le secteur de la banque-assurance - même si cela concerne d'abord en particulier les banques - est considéré traditionnellement comme étant celui se préoccupant le plus de la sécurisation de ses données critiques. Ainsi, pour 67 % des responsables interrogés, au moins les deux-tiers de leurs systèmes d'informations renferment des informations sensibles. L'enquête publiée par CMG dresse ainsi le tableau d'une situation plutôt sombre, qui ne laisse a priori rien présager de bon de notre côté de la Manche.

Les assureurs peu préoccupés par la sécurité du SI
Dans le même temps, il paraît justifié de se demander à quel niveau les professionnels interrogés s'estiment capables d'accorder leur confiance aux systèmes en place. De fait, les 10 à 20 % de leur budget attribués par 20 % des directeurs informatiques de sociétés d'assurance en Grande-Bretagne ne les satisfont pas en apparence. En France, le premier volet de l'étude d'Arthur Andersen publié en juillet 2000 (voir article) dévoilait que 70 % des entreprises, tous secteurs confondus, dépensaient moins de 5 % de leur budget à la sécurité. Et pourtant, une progression notable avait été remarquée.
En revanche, si l'on considère les résultats des deux études comparables même à plus de six mois d'écart, les assureurs britanniques ne paraîssent pas se préoccuper tant que cela de la sécurité de leurs SI. En effet, leur notation de la première priorité pour l'année 2001 met en avant l'amélioration de l'efficacité des systèmes e-commerce pour 52 % des répondants, l'accroîssement du pôle de gestion de la relation client pour 11 %, et la sécurité des systèmes pour seulement 5 %. En France, 25 % des DSI et RSSI interrogés tous secteurs confondus jugeaient tout de même en juillet 2000 la sécurité comme l'une de leurs principales priorités budgétaires.

L'hétérogénéité du parc est le principal frein
Ainsi, lorsqu'il leur est demandé pour quelles raisons ils rechignent à mettre en place des systèmes plus sécurisés, les DSI anglais du monde de l'assurance avancent à 50 % la multiplicité des terminaux et des plates-formes devant être prises en compte au sein de parcs très hétérogènes. En parallèle, 33 % y voient des raisons de coûts trop élevés. Enfin, aucun ne paraît considérer que l'implémentation des outils de sécurité est très complexe. De fait, il apparaît que le frein n'est pas technique au premier abord, sauf en matière de difficultés à sécuriser de façon standard des systèmes souvent propriétaires accollés les uns aux autres. D'où la notion de coût qui en découle inévitablement.
Enfin, 62 % des répondants croient que la plus importante menace pour leurs systèmes vient de l'extérieur. En cela, leur opinion s'oppose à la plupart des études sérieuses publiées jusqu'à ce jour. En effet, s'il paraît évident qu'il faut protéger son système des aggressions du dehors - où se trouvent notamment les concurrents - la majorité des risques se trouvent à l'intérieur même de l'entreprise, où peuvent entre autres traîner les mots de passe des utilisateurs. En interne, les actions à mener sont aussi, le plus souvent, moins complexes pour pénétrer un système. Cette année 2001, il conviendra donc de ne pas relâcher ses efforts en matière de sensibilisation.
[François Morel, JDNet]