Cédric Chevrel (Matmut) : « la réglementation amène notre secteur à une maturité en cybersécurité »

Pouvez-vous nous présenter la Matmut ?

La Matmut est une mutuelle d’assurances généraliste avec 4,5 millions de sociétaires et gérant plus de 8,3 millions de contrats. Notre siège social se situe à Rouen mais nous sommes présents dans toute la France métropolitaine, Corse incluse, avec un réseau de 480 agences et 6 grandes plates-formes régionales.

Nous couvrons tout le champ des assurances : l’assurance dommage (IARD, 2,3 millions de contrats en multi-risque habitation et 2,9 en automobile), l’assurance santé (1,2 million de bénéficiaires) et également des offres en « finances et patrimoine », c’est à dire l’assurance-vie, l’épargne, etc. (284 000 clients). Nos clients sont bien sûr des particuliers mais aussi des professionnels (TPE, indépendants…) et nous gérons des contrats collectifs en santé.

En tout, nous avons environ 500 sites et 6500 salariés dans notre UES (Unité Economique et Sociale) composée de la SGAM et des différentes mutuelles adhérentes ou filiales (Matmut, MG, AMF, Mutlog…) pour réaliser un peu moins de 2,5 milliards d’euros de chiffre d’affaires.

Vous êtes RSSI groupe. Quel est votre périmètre exact et votre rattachement ?

Je suis en effet RSSI de la SGAM Matmut et je suis donc responsable de l’ensemble de la cybersécurité de toutes les entités du groupe. Je suis rattaché directement à David Quantin en sa qualité de DGA, pas en sa qualité de CIO.

Toutes les équipes sont parfaitement averties en matière de cybersécurité. Si un arbitrage était, un jour, à rendre entre performance IT et SSI, cela se ferait sans doute directement en comité exécutif.

Comment votre cybersécurité est-elle architecturée ?

Au départ, j’étais responsable à la fois de l’ingénierie et de la cybersécurité avant de me focaliser sur la seule cybersécurité. Mais, du coup, à chaque évolution, la cybersécurité est prise en compte dès le départ du projet. Une fois les règles de cybersécurité fixées, des audits permettent de régulièrement vérifier qu’elles sont bien appliquées.

Comme dans la plupart des entreprises de notre secteur, nous distinguons plusieurs lignes de défense. Tout d’abord, il y a les équipes opérationnelles. Ensuite, nous avons le contrôle de conformité tant réglementaire qu’à la politique SSI. En tant que RSSI Groupe, j’œuvre pour assurer la cohérence globale de cet ensemble, tout en travaillant à la sécurisation des systèmes d’information au sein de notre SGAM. Enfin, l’audit interne assure un contrôle a posteriori. A ces différents niveaux s’ajoutent des sociétés extérieures mandatées pour réaliser des contrôles. On peut ainsi parfois avoir le sentiment d’être audité en permanence.

Quelles sont vos spécificités en matière de cybersécurité, notamment en lien avec votre secteur particulier ?

La réglementation particulièrement abondante amène notre secteur à une maturité élevée en cybersécurité. Les entreprises comme la nôtre consacrent de ce fait beaucoup de moyens et nous subissons de nombreux contrôles, par plusieurs organismes réalisant chacun au moins un contrôle par an. Par exemple, nous sommes contrôlés par l’Autorité de contrôle prudentiel et de résolution (ACPR) qui est intégrée à la Banque de France. Bien évidemment, nous sommes soumis à DORA. Enfin, nous ne manipulons pratiquement que de la donnée personnelle sensible (santé des personnes…).

Avec toute cette réglementation et les reportings associés, un RSSI comme vous a-t-il encore le temps de s’occuper réellement de cybersécurité ?

Il vaut mieux ! Je n’ai jamais vu un pirate être arrêté par un fichier Excel de suivi. Donc il faut certes réaliser la partie réglementaire mais en optimisant son temps et savoir en quoi consiste réellement son métier.

Il ne faut pas confondre le Risk Manager et le RSSI : ce n’est pas le même métier.

Cela dit, comment gérez-vous la faille située entre le clavier et l’écran ?

L’expérience nous apprend que la première préoccupation d’un utilisateur n’est jamais la cybersécurité et toujours son métier. Un e-learning de deux heures ne sera donc jamais suffisant. La formation et la sensibilisation doivent être constantes : la cybersécurité doit être, pour les utilisateurs, un réflexe et non une source de réflexion.

La cybersécurité doit être, pour les utilisateurs, un réflexe et non une source de réflexion.

Par exemple, nous réalisons plusieurs fois par mois des tests de faux-phishing avec de la sensibilisation ciblée. En deux ans, le taux de personnes piégées est passé de 26 % à, selon les types de messages, 1 à 3 %. L’essentiel de la chute de ce taux a eu lieu les six premiers mois.

Comme j’ignore ce qui se passerait si nous baissions la garde, à quel vitesse remonterait le taux de piégés, je n’ai aucune envie de relâcher nos efforts.

Etant située en province, la Matmut rencontre-t-elle des soucis de recrutement en cybersécurité ?

Nous ne sommes pas trop à plaindre. Nous avons des implantations à Paris et à Rouen. La Matmut est une entreprise de techniciens et est le premier employeur privé de Normandie. L’assurance propose des projets intéressants avec des moyens. Nous sommes donc une entreprise séduisante et nous n’avons jamais eu trop de difficulté. Les collaborateurs se plaisent bien chez nous, les conditions de travail sont bonnes. Notre turn-over est à 0 % !

Quels vont être vos défis en 2025 ?

Bien entendu, notre premier défi va être la mise en conformité DORA. Nous devons notamment rédiger les procédures formalisées pour faciliter les contrôles et le reporting.

Un autre défi est lié à la composante géopolitique. Notre écosystème est nettement moins sûr qu’auparavant. Même si nous sommes franco-français et pas directement concernés par les différents conflits en cours, nos fournisseurs et nos partenaires peuvent parfois être impliqués.

Sur le plan technologique, les cybercriminels utilisent de plus en plus l’IA. Nous devons donc apprendre nous aussi à mieux l’utiliser, fiabiliser toujours plus nos analyses, notamment pour travailler plus vite. Nous devons maîtriser la technologie et son coût tout en respectant l’IA Act.

J’ai aussi commencé à sensibiliser le ComEx au danger des deep-fakes comme dans le cas de Hong-Kong. Il n’y a qu’une seule possibilité de parade : disposer de procédures formelles claires. Il n’existe aucun outil capable aujourd’hui de repérer une deep-fake en temps réel. Pour contrer, il est indispensable d’imposer une validation humaine. Il faut que refuser de répondre « oui chef, bien chef » soit aussi un réflexe. Aujourd’hui, le deep-fake est probablement le plus grand danger pour des sociétés comme la nôtre.