Estelle Tchigique-Boyer (CNP Assurances) : « DORA amène à plus impliquer les métiers dans la cyber »

Pouvez-vous nous expliquer ce qu’est aujourd’hui le groupe CNP Assurances ?

CNP Assurances est un assureur de biens et de personnes membre du grand pôle financier public et filiale à 100 % de La Banque Postale. Nos 8300 collaborateurs dans le monde nous permettent de générer 35 milliards d’euros de chiffre d’affaires et 1,7 Mds de résultat (au 31 décembre 2023). 62 % de notre activité est en France. Nous sommes présents dans 19 pays en Europe et en Amérique Latine.

Dans le cadre d’un partenariat avec La Mutuelle Générale, nous avons annoncé fin 2024 la création de CNP Assurances Protection Sociale, qui a vocation à devenir un acteur de premier plan sur le marché de l’assurance santé complémentaire et de la prévoyance.

CNP Assurances propose aussi bien des contrats individuels que des contrats collectifs, majoritairement distribués via nos partenaires.

Nous sommes également un investisseur responsable avec 400 milliards d’euros investis dans tous les secteurs de l’économie.

Comment sont organisées vos fonctions IT et SSI ?

Les systèmes d’information sont décentralisés au niveau du Groupe. En dehors de quelques filiales hébergées par le siège, chaque filiale dispose de son propre SI et de sa propre DSI. Le groupe se développe entité par entité et l’IT aussi. De plus, nous ne sommes pas, en général, actionnaires uniques de nos filiales.

De la même façon, chaque entité dispose de son CISO et de son responsable sécurité opérationnelle. Fonctionnellement, les CISO me sont rattachés. Quand je réunis la communauté des responsables SSI, cela représente une cinquantaine de personnes.

Les CISO doivent respecter la politique cybersécurité du groupe et, en retour, bénéficient des services offerts par le groupe (qu’ils ne sont pas obligés de choisir). Dans tous les cas, ils doivent adapter leur IT et leur politique SSI à leur propre réalité métier et situation (législation locale, etc.).

Avez-vous malgré tout une partie de votre architecture en commun ?

A l’exception des quelques filiales hébergées, la plupart des entités du groupe ont leur propre SI, sans mutualisation. En tant que CISO groupe, je dois donc m’adapter à de multiples situations.

Les petites filiales ont évidemment moins de budget pour leur SSI mais leur SI est aussi moins complexe. Les enjeux sont très différents selon les filiales et leurs activités (assurance vie, assurance non-vie, santé, produits particuliers à certains pays…).

Quelles sont les conséquences de la distribution indirecte en matière d’IT et de SSI ?

Bien évidemment, cela implique des mises en commun ou des connexions. Soit nos distributeurs utilisent nos applications, soit il y a une connexion (comme, par exemple, un lien inter-applicatif sous forme d’API) entre le SI du distributeur et le nôtre.

Nous n’avons en général pas de relation directe avec le client mais une obligation de sécuriser la relation avec le distributeur. Les données que nous traitons demeurent souvent très sensibles. Nous disposons de portails assurés pour traiter quelques cas mais, la plupart du temps, les interactions clients passent par le portail du distributeur bancaire.

Cependant, même si ce sont des partenaires, les distributeurs, demeurent des tiers avec un SI distinct du nôtre et sur lequel nous n’avons pas de contrôle direct. Il est donc très important de nous assurer de leur bonne maturité en matière de cybersécurité, et cela pour tous les tiers. Nous utilisons plusieurs outils du marché, afin de permettre une mutualisation des résultats : cyber-ratings et solution d’audit basée sur un questionnaire et une analyse de preuves. Nous suivons les éléments les plus significatifs et nous mettons en place un plan d’action pour corriger les éventuelles faiblesses. Cette approche s’est révélée efficace et elle est prévue dans nos contrats. L’objectif principal est de sécuriser et de pérenniser la relation avec le tiers et de faire comprendre que les équipes CISO sont des partenaires business.

Cette approche s’est révélée efficace et elle est prévue dans nos contrats. Elle est également bien perçue en général, même si nous rencontrons parfois des tiers qui ne souhaitent pas rendre des comptes et être évalués.

Une conclusion intéressante : nous constatons qu’en moyenne, la gestion de leurs propres tiers par nos tiers pêche, ce qui remet en cause la chaîne de sous-traitance.

Où en êtes-vous de la conformité DORA et NIS2 ?

Nous étions déjà soumis à NIS1 et nous sommes donc soumis à DORA ainsi qu’aux quelques compléments nécessaires pour NIS2. Les grands projets réglementaires sont très fréquents dans le secteur de la bancassurance. La conformité DORA/NIS2 ne présente pas de difficulté particulière dans notre cas. C’est presque la vie courante.

La réglementation s’applique, qu’on le veuille ou non. Autant la prendre du bon côté. C’est un excellent moyen d’accélérer certains projets qui, sinon, auraient peut-être été repoussés. Surtout, DORA amène à davantage impliquer les métiers dans la cybersécurité et, ça, c’est un point très positif car la cybersécurité doit être l’affaire de tous et pas uniquement des équipes cyber.

Classiquement, nous avons eu une approche par cercles concentriques. Les déclarations formelles d’incidents ont changé de forme mais DORA ne constitue pas une révolution. Le pilier « résilience » est probablement celui où il y a le plus d’actions à mener, notamment sur les tests de bout en bout.

Tout ce que nous mettons en oeuvre pour la conformité doit être utile à notre sécurité.

En juin 2024, vous avez rejoint le conseil d’administration du CESIN. Pour quelles raisons et qu’est-ce que cela vous apporte ?

Je participais déjà beaucoup aux activités et je contribuais souvent aux travaux. Au bout d’un certain temps, on a toujours envie d’aller plus loin. Et, bien sûr, je me suis aussi posé la question de la valeur ajoutée que je pourrais apporter.

J’ai un profil un peu particulier puisque, à la base, je suis ingénieure en finances. J’ai fait deux virages dans ma carrière : l’informatique d’abord, la sécurité ensuite. Contrairement à certains, j’ai l’habitude de parler à mon ComEx depuis plus de 10 ans. Je sais lui faire prendre conscience des risques et lui apprendre à les accepter lorsqu’on ne peut ou qu’on ne veut pas les réduire : les risques sont illimités alors que les budgets sont limités. Tout ne peut pas être couvert en totalité. C’est ce que j’appelle l’acceptation éclairée du risque.

J’ai aussi l’habitude de gérer l’international et la réglementation dans divers pays. Il faut savoir s’inspirer des autres activités réglementées pour ne pas se perdre dans la conformité mais faire ce qui est utile. Et puis, avec le fonds d’investissement du groupe, je travaille avec des start-ups proposant des solutions cyber. Même si je n’ai pas un profil technique, je soulève des questions aux spécialistes auxquelles ils n’avaient pas forcément pensé, y compris pour leur faire adopter un autre point de vue.

J’apporte donc un regard neuf et, en retour, je reçois aussi les regards des RSSI les plus expérimentés que l’on trouve au CESIN. Il n’est pas toujours très facile aux RSSI de nouvelle génération d’entrer dans la communauté de la cybersécurité alors que c’est absolument nécessaire pour tout le monde, car les attentes et les besoins évoluent.

Enfin, quels sont vos défis pour 2025 ?

Le premier est classique : convaincre les décideurs du groupe que l’on ne peut pas s’arrêter là où nous en sommes.

Ensuite, il me faut veiller à ce que toutes les filiales atteignent bien le niveau que nous exigeons d’elles. Certaines sont bien au-delà mais nous devons focaliser nos efforts sur celles qui ont une moindre maturité et influer afin de trouver le juste équilibre entre priorités business, rentabilité financière et mesures de sécurité

Enfin, je souhaite accroître le catalogue de services offerts à nos filiales, car cela accélère l’adoption des mesures de sécurité et l’amélioration du niveau de maturité.