Trouver un ...




Devis
Devis Automobiles
Voiture
Devis Habitation
Habitation
Devis Sante
Santé
Devis Professionel
Professionnel
Conseils
07
Juil
2018
Typologie risques assurance / Les questionnaires : quelle approche pour mieux apprécier le sous-jacent des risques ?

Pour bien comprendre le risque, une connaissance des solutions techniques est essentielle. De plus, certains choix techniques ont une influence sur le risque propre de l’entreprise ainsi que sur les risques d’accumulations pour l’assureur. Les questionnaires tentent d’apporter un éclairage sur ces risques auss bien à l’assuré qu’à l’assureur mais il serait complexe de demander une description exhaustive de l’ensemble des mesures techniques mises en place. De ce fait, sur l’échantillon des questionnaires « sérieux » que nous avons évalués, les questions posées adressent les mesures les plus importantes.

 

Technologie et infrastructure informatique

Comprendre l’architecture, les logiques applicatives et l’infrastructure physique, semble être un facteur pertinent à prendre en compte dans l’évaluation des risques. Pourtant, seuls quelques assureurs couvrent cet aspect avec seulement quelques questions comme le nombre de dispositifs informatiques de sécurité, le nombre d’adresses IP ou de domaines.

Mesures techniques de sécurité

 Les questionnaires adressent les mesures techniques de protection contre le vol de données et les intrusions. Le souci majeur derrière l’analyse voulue par les assureurs porte davantage sur l’inventaire et la cartographie des outils utilisés pour sécuriser les réseaux et les ordinateurs. On retrouve en particulier des demandes sur :

  • les logiciels antivirus pour effectuer des analyses sur les courriels, les téléchargements et les fichiers,
  • les outils pour détecter les fichiers ou les processus malveillants,
  • les outils pour détecter les intrusions et les anomalies possibles dans les réseaux,
  • l’existence éventuelle de pare-feu.

Pour illustrer ce constat, nous présenterons quelques questions significatives :

  • Utilisez-vous des pares-feux et des mesures de prévention d’intrusion pour votre réseau et vos systèmes informatiques ?
  • Appliquez-vous un chiffrement à vos données statique et/ou dynamique ?
  • Utilisez-vous une technologie de qualité professionnelle pour chiffrer toutes les informations commerciales et les informations sensibles transmises au sein de votre organisation ou à d’autres réseaux publics ?
  • Utilisez-vous des objets connectés ?

Les accès par VPN et l’authentification à deux facteurs sont moins évoqués dans les questionnaires.

Contrôles d’accès

Le contrôle d’accès incorpore les moyens et les politiques à respecter pour sécuriser l’accès des utilisateurs, y compris l’attribution de droits pour les utilisateurs pour accéder aux ressources. Nous présenterons quelques questions significatives des questionnaires étudiés :

  • L’entreprise protège-t-elle physiquement l’accès à ses salles informatiques et / ou à ses serveurs dédiés ?
  • Quel processus est mis en place pour révoquer les droits et privilèges des utilisateurs quand ils ne font plus partie de l’organisation ?
  • Comment l’entreprise assure-t-elle la surveillance des accès non autorisés ou les téléchargements volumineux de données sensibles ?
  • Existe-t-il une solution d’arrêt à distance des ordinateurs portables des employés ?

CRI4DATA - 22 juin 2018