Comment la MAIF garde à l'oeil la sécurité de ses fournisseurs IT
L’assureur militant a fait de la protection des données personnelles de ses sociétaires un impératif qui exige une sécurité interne sans failles, mais aussi de se préoccuper du niveau de sécurité de chacun des prestataires IT. Une gageure quand on en compte 300…
L’initiative « Mes Data et moi » de la MAIF vise à rassurer les sociétaires quant à la sécurité et la confidentialité de leurs données personnelles. Celle-ci a amené l’assureur à mettre en place des solutions de prévention des fuites de données (DLP) afin de s’assurer qu’aucune donnée ne puisse être exfiltrée de son système d’information. Cette initiative a aussi amené l’entreprise à réfléchir à la façon dont ces données sont protégées chez ses fournisseurs.
Matthieu Thibault, coordinateur des audits SSI chez MAIF, en charge notamment de l’audit des filiales et des fournisseurs de l’assureur explique la démarche : « nous devions renforcer notre présence auprès de nos fournisseurs pour asseoir une posture de sécurité réciproque entre ce que nous nous imposons en interne et ce que l’on impose à nos fournisseurs ».
Adopter une telle démarche n’a rien de simple quand on sait que si un SSI centralisé gère la sécurité de la maison mère et de ses filiales, le groupe compte environ 800 fournisseurs, dont la moitié dans le secteur IT. « La question était de savoir comment sélectionner les fournisseurs et traiter le risque Cyber chez eux, sachant que nous devons nous conformer à un certain nombre de réglementations dont celles de l’EIOPA (Autorité européenne des assurances et des pensions professionnelles), et de l’ACPR (Autorité de contrôle prudentiel et de résolution dépendante de la Banque de France) qui nous obligent à avoir une visibilité sur cet écosystème. De là, nait cette volonté d’aller plus loin dans ce contrôle des fournisseurs ».
La volonté de MAIF est de garantir la sécurité des données sur tout le cycle de vie du contrat, depuis l’appel d’offres jusqu’à la fin du contrat et s’assurer que les données seront alors bien détruites chez le prestataire.
Un plan d’assurance sécurité élaboré en 2016
En 2016, Matthieu Thibault fait appel à des entreprises de services numériques (ESN) spécialisées en cybersécurité afin de rédiger le plan d’assurance sécurité qui sera communiqué auprès de tous les prestataires de la MAIF. Sollicité à cette occasion, Digitemis ne donne pas suite à cette demande.
Ludovic de Carcouet, fondateur de Digitemis et éditeur de Make IT Safe, explique : « nous n’avions pas répondu à la MAIF à l’époque sur le plan d’assurance sécurité, préférant une vision à plus long terme, avec la définition d’un processus de contrôle des fournisseurs et son outillage pour le rendre collaboratif ».
L’approche de Digitemis s’est traduite aujourd’hui avec la plateforme Make IT Safe qui permet de suivre toutes les phases de la relation avec un fournisseur, depuis la contractualisation du plan d’assurance sécurité puis les outils de suivi des audits de contrôle qui ont lieu 1 an, 2 ans plus tard, voire en fin de contrat. Le responsable ajoute : « nous intervenons en amont au niveau de l’appel d’offres en positionnant nos critères de sécurité dans le choix du fournisseur. Une fois contractualisé, nous nous assurons que notre plan d’assurance sécurité est bien complété par le fournisseur. Cela prend du temps au fournisseur, car ceux-ci ont de nombreux questionnaires de ce type à compléter pour leurs clients, mais il n’y a pas d’autre solution. Par la suite, nous nous assurons qu’il n’y a pas d’éventuelle déviation en cours de contrat ».
C’est donc dans un deuxième temps que Matthieu Thibault a décidé de s’appuyer sur cette approche pour gérer les Plans d’Assurance Sécurité (PAS) communiqués aux prestataires IT de MAIF. Une fois identifiés les 300 fournisseurs IT, l’équipe a travaillé sur les nouveaux contrats afin que les équipes projets lui signalent toute les prestations à risque : « nous travaillons avec les métiers ainsi qu’avec les RSSI filiales qui connaissent leurs prestataires importants et notre DPO qui ajoute ses propres fournisseurs à la liste ».
Pour le responsable, d’un des facteurs de succès d’une telle démarche est d’impliquer les achats afin que le PAS soit directement associé au contrat et éviter ainsi tout Shadow IT. Associée à la démarche, l’équipe IT peut garder le contrôle sur la cartographie du système d’information. S’il est relativement facile d’imposer le PAS à tous les nouveaux fournisseurs, ce fut un enjeu de négociation auprès de tous les prestataires qui avaient déjà un contrat.
3 niveaux d’analyse du niveau de sécurité d’un fournisseur
Auditer in situ 300 fournisseurs n’est bien évidemment pas faisable économiquement. MAIF et Make IT Safe ont défini une hiérarchie du risque, avec 3 niveaux d’analyse des mesures de sécurité du fournisseur. Le premier niveau est le mode « automatique ». Chaque fournisseur vient compléter son questionnaire sur le site collaboratif qui centralise ainsi les centaines de PAS pour MAIF. « Concrètement, nous préférons plutôt axer nos analyses sur l’expertise. Le déclaratif présente des avantages, notamment celui de se retourner contre son fournisseur s’il n’est pas en conformité avec ce qu’il a avancé, mais on sait très bien que les questionnaires n’ont qu’une valeur déclarative. C’est la raison pour laquelle nous souhaitons aller plus loin et aller chez le fournisseur ».
Make IT Safe permet à la MAIF de bénéficier de l’analyse du questionnaire par un auditeur qualifié PASSI qui va le compléter d’un avis d’une dizaine de 10 lignes sur les points forts et points faibles du fournisseur. Enfin, les fournisseurs considérés d’importance critique car très impliqués dans le fonctionnement des métiers bénéficient d’un audit in-situ. Ceux-ci sont audités tous les deux ans. Ludovic de Carcouet commente la démarche : « il faut bien positionner le curseur entre ce qui est automatisé, comparable, et les questions plus ouvertes qui donnent matière à analyse par l’expert. Passer à l’échelle sur des centaines ou des milliers de fournisseurs pose la question du coût et des ressources à mettre en face. Pour les fournisseurs critiques, il est intéressant qu’ils puissent détailler plus précisément les moyens mis en œuvre ».
Le « taux d’engagement » d’un fournisseur, c’est-à-dire la qualité de sa réponse varie bien évidemment beaucoup selon que le client est une PME ou un grand compte pour lequel il va passer du temps à répondre à son questionnaire et livrer beaucoup d’éléments. La phase d’appel d’offre est idéale pour recueillir le plus d’information auprès des fournisseurs. Pour Matthieu Thibault, la date de renouvellement du contrat peut être un bon levier pour obtenir des informations manquantes, mais il reconnaît qu’il est assez rare que l’on doive se livrer à une escalade pour obtenir les réponses des fournisseurs de MAIF.
Pour l’heure, MAIF dispose d’un PAS unique pour l’ensemble de ses fournisseurs. Un fournisseur peut toujours répondre « Non applicable » aux questions qu’il ne juge pas adaptées à son métier. « Nous réfléchissons à avoir des PAS profilés en fonction du type de fournisseur, mais ce n’est pas encore le cas. Par contre, nous préparons soigneusement le travail de nos auditeurs avec l’interlocuteur métiers et le porteur de la prestation pour qu’ils sachent où ils mettent les pieds ». Plutôt que de mener des audits sanctions, le responsable veut privilégier des relations positives avec les fournisseurs afin de faire progresser tout l’écosystème MAIF vers une meilleure protection des données des allocataires.
Propos recueillis à l’occasion de l’édition 2022 des Assises de la Sécurité.