Sécurisation des données dans un contexte d’externalisation des systèmes d’information : Se mettre en conformité avec Solvabilité II
Solly Azar, courtier grossiste, a fait le choix d’externaliser son système d’informations (SI). Entretien avec Guillaume SAVARIAU, son DSI, pour comprendre comment garantir la sécurité des données dans un contexte d’externalisation.
Insurance Speaker : Pouvez-vous, en quelques mots, nous présenter Solly Azar ?
Guillaume Savariau :Solly Azar est filiale à 100% de Verspieren qui est le deuxième courtier à capitaux privés en France. Solly Azar c’est 480 personnes pour 60 millions de chiffre d’affaires.
Nous avons deux métiers principaux:
- Courtier grossiste, environ 60% du chiffre d’affaires
- Courtier services, environ 40% du chiffre d’affaires.
Le métier de courtier grossiste consiste à concevoir des produits, à s’adosser à des porteurs de risques et à les vendre grâce à un réseau non captif de 8 000 courtiers à travers toute la France. Nous assurons la souscription et la gestion des contrats et ce, dans tous les domaines traditionnels de l’IARD : auto, moto, MHR etc., de l’assurance de personnes et de l’immobilier.
Le métier de courtier services consiste à concevoir des produits en s’adossant également à des porteurs de risques (type Allianz, Équité ou autre). Nous travaillons donc en marque blanche avec des gros partenaires et nous pouvons assurer soit la souscription et la gestion, soit uniquement la souscription, tout dépend des cas de figure.
IS: Aujourd’hui vous avez fait le choix d’externaliser votre SI, pourquoi ce choix ?
GS : Le constat était le suivant : nous avions un système qui répondait parfaitement aux besoins de Solly Azar (nous avions acheté un logiciel (V9) que nous avions retravaillé pour qu’il corresponde en tous points à nos besoins) mais qui était vieillissant. Il s’était construit par strates et a évolué au rythme de la croissance de Solly Azar. Le système a atteint plus de 400 serveurs à une époque.
En 2011, la Direction Générale a pris la décision d’externaliser le système d’informations. C’est à cette période que j’ai rejoint la société. Ma première décision en tant que DSI a été de sursoir à l’appel d’offre. En effet, pour qu’une externalisation réussisse, il faut que le SI soit maitrisé en interne. L’infogérant ne connait pas le système, donc il ne peut pas en avoir une parfaite maîtrise. Donc, durant 9 mois je me suis attaché à consolider les systèmes à travers deux actions principales :
1) La consolidation de serveurs, pour passer de 400 à 200 parmi lesquels 120 ont été virtualisés.
2) La vérification des données entrantes et sortantes. Au sein des interfaces nous avions perdu la maîtrise des interfaces entrantes et sortantes. J’ai donc proposé de reconcentrer l’ensemble dans une plate-forme d’intégration de flux. Cela nous a permis d’apporter une meilleure maîtrise, supervision et administration de nos systèmes.
Une fois ces actions réalisées nous avons relancé l’appel d’offre. A l’issue de la phase d’appel d’offres, notre choix s’est porté sur la société Sigma parce qu’elle nous ressemblait à la fois en taille, en chiffre d’affaires et dans sa culture. Elle réunissait toutes les références et les caractéristiques d’un info-gérant potentiel pour Solly Azar.
IS :Les données que vous avez fait le choix d’externaliser sont des données sensibles, quelles sont les précautions que vous avez prises avant de confier l’externalisation de votre SI ?
GS :Avant l’externalisation, nous avons sauvegardé 3 fois toutes les données, quelles qu’elles soient et nous les avons stockées dans des endroits différents. De cette manière nous avons sécurisé le déménagement. À tout moment, les serveurs pouvaient être relancés, nous étions donc assurés de ne pas perdre de données.
Ensuite, j’attendais de l’infogérance que l’on sécurise les données de manière à ce qu’en cas de perte de ma production, nous soyons capables de reconstruire une production ailleurs sans aucune perte de données dans un temps raisonnable (Plan de Reprise d’Activités). J’étais conscient de la complexité de notre système en termes d’infrastructure c’est la raison pour laquelle je n’ai pas exigé un redémarrage à l’identique dans la seconde suivante. Un redémarrage dans les 24h suivantes était suffisant.
La principale difficulté était de reprendre à l’identique sans aucune perte de données. Pour cela, une fois les SI consolidés, nous avons réparti les systèmes de production dans deux bâtiments différents avec deux baies différentes. Chaque donnée d’une baie est répliquée sur l’autre baie. Ensuite, concernant les sauvegardes, chaque baie a son propre système de sauvegarde et chaque sauvegarde est répliquée sur l’autre système de sauvegarde.
Le premier test de PRA « grandeur nature » s’est déroulé avec succès. Les applications hébergées dans le bâtiment « supposé sinistré » ont été reconstruites dans le bâtiment distant sans aucune perte de données en 6h.
IS : Garantir la qualité des données et la sécurisation des données sera une obligation règlementaire au 1er janvier 2016, comment dans ce contexte d’externalisation, pouvez démonter au régulateur que vos données sont de qualité et sécurisées ?
GS : Sur l’aspect applicatif, nous nous appuyons sur le logiciel V9 et sur tous les contrôles de cohérence qui peuvent être exercés par le logiciel lui-même sur la qualité de la donnée. Une donnée pour être fiable doit être à jour, disponible, non corrompue, pertinente et sécurisée.
En plus du logiciel, nous avons mis en place des requêtes qui permettent de faire des contrôles de forme et des contrôles de fond. Sur le montant des primes par exemple : on additionne le montant des primes et on vérifie que ça correspond à l’ensemble des primes souscrites. On s’assure donc qu’il n’y a pas eu de déperdition ou de données corrompues qui feraient que quelque chose a été perdu au fil de l’eau pour quelque raison que ce soit.
Nous avons donc des contrôles de données internes au progiciel, et nous avons mis en place des contrôles de forme mensuels qui permettent de s’assurer que les données sont bien sécurisées, fiables et pertinentes.
IS : Concernant la sécurité des données à proprement parler, comment démontrez-vous que les données externalisées chez Sigma ne sont pas accessibles ?
GS : Nous pratiquons des tests d’intrusion. Il existe un système d’habilitation inhérent au logiciel V9 : ainsi les gestionnaires de sinistres n’ont accès qu’aux sinistres, ils ont des seuils en deçà desquels ils ont toute latitude de gérer et de prendre des décisions et ensuite nous avons instauré des paliers. Quand un palier est franchi il faut aller voir un superviseur. Il était important pour nous de disposer d’un système d’habilitation et d’accès à la donnée optimum au sein de Solly Azar. Nous procédons à ces tests d’intrusion sans prévenir notre info-gérant pour ne pas en compromettre les résultats. Le dernier test a été réalisé en fin d’année dernière et les résultats sont très satisfaisants.
Ensuite, nous nous tenons informés par l’intermédiaire d’une veille technologique interne mais également par l’intermédiaire de nos partenaires qui font également de la veille technologique. Nous communiquons sur ces éléments pour nous assurer que nous avons fait le nécessaire. Par ailleurs, SIGMA a un devoir de conseil et est généralement la première à nous avertir de risques potentiels.
IS : Vous avez fait l’objet d’un contrôle de la part de l’ACPR, êtes-vous confiant quant aux conclusions du rapport ?
GS : Sur la partie informatique, je suis très confiant. Et pour Solvabilité II aussi, pour le pilier III Solly Azar avait commencé à travailler tôt sur le sujet. À partir du moment où l’on commence à identifier les risques opérationnels, je suis complétement partie prenante. Il se trouve que nous avons externalisé notre SI, ce qui répond à la plupart des exigences de l’ACPR sur la partie informatique. C’est d’ailleurs l’un des réels avantages de l’externalisation du SI.