Scor mise sur le contrôle des accès pour gérer ses risques IT et réglementaires
Le réassureur a déployé la solution ControlMinder de CA Technologies pour sécuriser et tracer les accès à son système d’information. Un projet qui vise à répondre à l’évolution de l’environnement de risque et de réglementation à laquelle Scor doit faire face.
C’est entre le printemps et la fin de l’année 2012 que Scor a déployé la solution ControlMinder de CA Technologies. Une solution de gestion des accès qui doit répondre aux impératifs spécifiques d’activités où les données sensibles sont centrales et où la réglementation s’avère particulièrement contraignante. En octobre dernier, à l’occasion des Assises de la Sécurité, qui se déroulaient à Monaco, Henri Guiheux, RSSI du groupe Scor, expliquait que le réassureur était amené à manipuler « énormément d’informations de ses clients potentiellement sensibles », soulignant un « contexte complexe », notamment pour « un groupe de taille modeste ». La mise en place d’un programme de « protection des données sensibles des clients, de nos données financières et de notre savoir-faire » devait permettre d’assurer « clients, régulateurs et actionnaires de la sécurité des processus et des données ainsi que de la traçabilité ». Et de souligner qu’en tant que réassureur, Scor peut être perçu par ses clients comme un « sous-traitant » sur lequel ils doivent propager leurs propres contraintes de sécurité et réglementaires. Avec une « exigence exacerbée » de la part des clients du monde anglo-saxon. Le tout dans un contexte de « transformation numérique de l’entreprise », une transformation qui induit des risques - avec « l’augmentation de la fréquence des cyberattaques » - justifiant « la mise en place de contrôles ».
Contrôler et tracer les activités sensibles Henri Guiheux expliquait ainsi être confronté à une population variée entre utilisateurs, administrateurs et prestataires externes. ControlMinder a été retenu parce qu’il « s’intégrait bien dans notre référentiel de contrôles » avec, notamment, deux objectifs : « assurer des mécanismes sécurisés pour les accès administrateurs » et « assurer la confidentialité et la traçabilité ». Et l’outil permet de centraliser la gestion de l’ensemble, il supporte aussi « la distribution des politiques au niveau des serveurs, suivant les rôles » des utilisateurs. Il autorise aussi des dérogations, « suivant un processus de validation », pour les accès en urgence hors de la zone de compétence nominale d’un utilisateur. Surtout, toutes les activités des administrateurs sont enregistrées - « en vidéo compressée, en noir et blanc ». C’est le volet traçabilité. La prévention est assurée par les politiques, « ControlMinder interdit certaines actions pour lesquelles on peut remonter des alertes ».
Une approche pragmatique centrée sur les risques Mais pas question de partir la fleur au fusil et de dépenser sans compter. Henri Guiheux explique avoir mis en place une organisation permettant notamment d’éviter l’écueil du « combat d’experts ». La démarche est donc partie du sommet de la hiérarchie, en 2011, tout en impliquant les métiers : « nous avons défini les risques et vu avec chaque division métier les points susceptibles de poser problème pour ensuite élaborer un plan d’action et définir les priorités. » C’est la mise en place d’une structure en
hubs qui a permis notamment de récolter les informations, « par exemple sur les contraintes réglementaires dans différents pays », en intégrant tant les spécificités régionales que métiers. L’une des priorités était d’identifier les applications qui touchent aux données sensibles : « il est important de partir des processus de base pour aller à la pêche de tous les éléments », soulignait à l’automne dernier Henri Guiheux. Pour lui, cette approche partie de la tête « permet de mettre en place de la sécurité qui répond à des besoins, en ligne avec la stratégie du groupe ». Et donc d’éviter la dispersion et les inefficacités.