[Entretien] Cybersécurité dans le secteur des assurances : comment un WAAP garantit la continuité et la protection
Dans le paysage actuel de la cybersécurité, les compagnies d’assurance sont confrontées à des défis complexes pour protéger leurs systèmes d’information et les données sensibles de leurs clients. Cette interview explore les enjeux spécifiques auxquels est confronté le secteur de l’assurance en matière de cybersécurité, notamment la protection des applications web, la gestion des menaces et l’impératif d’assurer la continuité des services. Elle met en lumière l’importance d’adopter des solutions de sécurité robustes et adaptées, telles que les Web Application Firewalls (WAF), pour atténuer les risques et renforcer la posture de sécurité des organisations.
Au travers l’interview de Laurent Gaschaud, Responsable Sécurité du SI, et Vincent Vally, Référent Sécurité du SI de Thélem assurances, cet article aborde également les critères clés à considérer lors du choix d’une solution WAF, telle que celle d’OGO Security, en soulignant l’importance de la performance, de la fiabilité, de la facilité d’utilisation et de la qualité du support technique.
Quels sont les principaux défis en cybersécurité en tant que société d’assurances et comment abordez-vous la protection de vos sites et données ?
“Nous devons constamment nous assurer que nos systèmes d’information sont robustes face aux menaces internes et externes. Cela implique une forte surveillance des vulnérabilités, des exercices réguliers de réponse aux incidents et cyberattaques, et un renforcement continu de la protection contre les fuites de données. Un défi particulier concerne la sécurité de nos systèmes cloud, qu’il s’agisse d’IaaS comme Azure, ou d’autres formes de déploiement cloud. Il est important pour nous d’appliquer les mêmes standards de sécurité que pour nos infrastructures traditionnelles en datacenter. L’essor de l’intelligence artificielle présente également un nouvel enjeu, avec des questions complexes sur le stockage et la circulation des données.
Pour une compagnie d’assurance, la priorité est d’assurer la continuité de service. Notre métier repose sur le traitement efficace des sinistres, la vente et la gestion des contrats. La disponibilité 24h/24 et 7j/7 de nos systèmes d’information est donc essentielle pour servir nos clients.”
La sécurisation des systèmes d’information exige une approche multidimensionnelle, comprenant une surveillance rigoureuse des vulnérabilités, des exercices de réponse aux incidents et cyberattaques, et une protection renforcée contre l’exfiltration de données. La complexité s’accroît avec les déploiements cloud (IaaS, PaaS, etc.), où l’application de standards de sécurité équivalents à ceux des infrastructures on-premise est fondamentale. L’intégration de l’intelligence artificielle introduit de nouveaux vecteurs de risque liés à la gouvernance et à la localisation des données. La veille sur le Dark et le Deep Web est également essentielle pour la détection précoce de fuites potentielles. L’ensemble de ces impératifs découle de la criticité des actifs informationnels des compagnies d’assurance, cibles privilégiées des cyberattaques.
D’autant que pour ce type de secteur, la continuité de service est primordiale. L’activité, centrée sur la souscription de contrats et le traitement des sinistres, dépend de la disponibilité ininterrompue des systèmes d’information. Un fonctionnement 24/7 est donc primordial pour garantir le service client et le respect des engagements contractuels. Les conséquences opérationnelles et financières d’une interruption, qu’elle résulte d’une cyberattaque ou d’une défaillance, soulignent la nécessité d’une cybersécurité robuste.
Pourquoi avoir choisi de collaborer avec OGO Security dans le contexte de votre projet de sécurisation web ?
“Début 2023, nous étions à la recherche d’une solution pour protéger nos sites web exposés sur Internet. Nous voulions aussi avoir une sécurité supplémentaire au patching des actifs exposés sur Internet. De plus, nous rencontrions des problèmes de performance et un manque de protection adéquate contre les attaques par déni de service.
Après avoir évalué plusieurs produits, nous avons choisi OGO Security car cette solution souveraine semblait simple à déployer et adaptée à notre parc applicatif, d’autant que quand nous l’avons testé, elle a montré une vraie rapidité et efficacité d’application. Les aspects financiers et contractuels ont également joué, notamment la transparence sur les évolutions tarifaires futures, ont été déterminants. Nous privilégions les partenariats à long terme et la prévisibilité des coûts.”
La nécessité d’une solution pour sécuriser les sites web exposés sur Internet est fondamentale. Les problématiques de performance, telles que la latence, et l’insuffisance des mécanismes de protection contre les attaques par déni de service distribué (DDoS), constituent des facteurs aggravants. Un Web Application Firewall (WAF) représente dans ce cas une réponse technique adaptée à ces enjeux. Un WAF opère au niveau de la couche applicative (couche 7 du modèle OSI), analysant le trafic HTTP/HTTPS pour détecter et bloquer les requêtes malveillantes ciblant les vulnérabilités des applications web. Les attaques courantes que les WAF peuvent atténuer incluent les injections SQL, le cross-site scripting (XSS), et les attaques de la couche applicative.
L’évaluation rigoureuse des solutions de sécurité, et en particulier des WAF, est une étape indispensable avant leur adoption. La réalisation de tests, souvent désignés par l’acronyme POC (Proof of Concept), permet de valider l’adéquation de la solution aux besoins spécifiques de l’environnement applicatif. Ces tests doivent porter sur plusieurs aspects, tels que l’efficacité de la détection et du blocage des attaques, l’impact sur les performances des applications, la facilité de déploiement et de configuration, et l’intégration avec l’infrastructure existante. Dans le contexte des compagnies d’assurance, où la disponibilité et l’intégrité des services web sont des enjeux majeurs, une évaluation approfondie en conditions réelles est essentielle pour minimiser les risques liés à l’implémentation d’une nouvelle solution de sécurité.
Les critères de sélection d’une solution WAF ne se limitent pas aux seules fonctionnalités techniques. Les aspects financiers et contractuels revêtent également une importance significative. La transparence des fournisseurs quant à leurs politiques tarifaires, notamment les évolutions futures, est un facteur déterminant dans les décisions d’investissement à long terme. La capacité à établir des partenariats durables, fondés sur la confiance et la prévisibilité des coûts, est un élément à considérer dans le choix d’un fournisseur de solutions de sécurité.
Pouvez-vous nous présenter les avantages et résultats observés suite à l’utilisation de la solution OGO ?
“Nous avons constaté une amélioration de la performance de nos sites web, avec des temps de réponse réduits de 10% à 30%, nous permettant d’offrir une expérience utilisateur optimale, ce qui est primordial dans le secteur de l’assurance où la rapidité d’accès aux services est un facteur clé de satisfaction client.
Au-delà de la performance, la solution OGO se distingue par sa fiabilité et la qualité de l’accompagnement. Les demandes d’évolution sont prises en compte, la feuille de route est claire, et les équipes sont très réactives.
De plus, la solution génère des alertes précises en cas d’activité suspecte, ce qui permet à nos équipes de sécurité de réagir rapidement. Nous avons une grande confiance dans la solution, ce qui nous permet de nous concentrer sur d’autres aspects de la sécurité de notre système d’information.”
L’implémentation d’un WAF se traduit fréquemment par une amélioration notable de la performance des sites web, avec des réductions significatives des temps de réponse (jusqu’à 30% dans certains cas). Cette optimisation contribue directement à une expérience utilisateur bonifiée, un facteur déterminant dans le secteur des assurances où la rapidité d’accès aux services en ligne influe fortement sur la satisfaction client. Les WAFs peuvent atteindre ces gains de performance en mettant en cache le contenu statique, en compressant les données et en optimisant le flux de trafic entre les utilisateurs et les serveurs d’applications.
Outre les bénéfices en termes de performance, une solution WAF mature offre une fiabilité élevée et s’accompagne d’un support technique réactif et compétent. La prise en compte des demandes d’évolution, une feuille de route produit claire et une grande réactivité des équipes de support sont des indicateurs de la qualité du service fourni. Ces éléments sont essentiels pour garantir une utilisation optimale de la solution et une adaptation continue aux besoins de l’entreprise.
Un WAF performant est également capable de générer des alertes précises et exploitables en cas de détection d’activités suspectes, ce qui facilite une réponse rapide et efficace des équipes de sécurité. Cette capacité de détection et d’alerte renforce la confiance dans la solution et libère les ressources internes pour se concentrer sur d’autres aspects de la sécurité du système d’information. En ce sens, une solution WAF devient un composant stable et performant du dispositif de sécurité, contribuant à une posture de sécurité renforcée.
Quels éléments de la solution OGO et de l’accompagnement des équipes vous semblent les plus bénéfiques ?
“Par rapport à d’autres WAF, l’interface de celle d’OGO est intuitive et facile à utiliser. La solution est stable, performante, et sans interruption de service. Par ailleurs, la gestion des certificats SSL par OGO Security assure la continuité de service pour nos clients, même en cas de problèmes internes.
Un autre point fort est la réactivité du support technique. Nos demandes d’évolution sont prises en compte et la communication est fluide. La rapidité de traitement des vulnérabilités est essentielle. Par exemple, lors de la découverte d’une nouvelle vulnérabilité Apache, les équipes d’OGO Security ont rapidement déployé un virtual patch. Cette réactivité est un atout majeur pour eux et pour nous.
La transparence d’OGO Security sur leur stratégie et leur pérennité est également très importante pour nous. Dans un marché où les rachats sont fréquents, il est important de travailler avec un partenaire fiable sur le long terme.”
L’ergonomie et la facilité d’utilisation d’une solution WAF sont des éléments déterminants pour son adoption et son efficacité opérationnelle. Une interface intuitive réduit la complexité de la gestion de la sécurité applicative, diminuant ainsi la courbe d’apprentissage et facilitant les tâches d’administration. La stabilité et la performance de la solution sont également essentielles pour garantir une protection continue sans interruption de service. En effet, la gestion intégrée des certificats SSL par le fournisseur de la solution WAF simplifie les opérations et renforce la continuité de service pour les applications web, même en cas d’incidents internes.
De même, la qualité du support technique et du service client est un facteur clé dans le choix d’une solution WAF. La réactivité du support, la prise en compte des demandes d’évolution et une communication fluide sont des indicateurs d’un partenariat solide et d’un engagement envers la satisfaction client. La rapidité de réponse aux vulnérabilités de sécurité est particulièrement importante dans le contexte actuel de cybermenaces dynamiques. Ainsi, la capacité du fournisseur à déployer rapidement des correctifs virtuels (virtual patching) pour atténuer les nouvelles vulnérabilités est un atout majeur pour maintenir un niveau de sécurité élevé.
Enfin, d’autres éléments tels que la transparence et la pérennité du fournisseur de la solution WAF sont des éléments de confiance pour les clients. Dans un marché où les fusions-acquisitions sont fréquentes, la stabilité et la vision à long terme du fournisseur sont des facteurs importants dans la décision d’établir un partenariat durable. La capacité du fournisseur à communiquer clairement sur sa stratégie, sa santé financière et ses perspectives d’évolution renforce la confiance du client et sa sérénité quant à la continuité du service et au développement futur de la solution.
Si vous deviez résumer votre expérience avec OGO Security, que diriez-vous ?
“Confiance, efficacité, simplicité”
