Gilles Garnier (Aéma) : « RSSI et DPO doivent être des communicants pour réussir »

Pouvez-vous nous présenter le groupe Aéma ?

Le groupe Aéma s’est constitué en 2021 par rapprochement d’une assurance et d’une mutuelle, Aesio et Macif. Aéma est une SGAM (société de groupe d’assurance mutuelle) dont les propriétaires sont les adhérents ou les sociétaires des sociétés membres.

La Macif a une activité surtout d’assurance IARD pour les particuliers et elle sert six millions de sociétaires.

Aesio, qui est elle-même le rapprochement de trois mutuelles, est spécialisée dans l’assurance santé avec des contrats individuels ou collectifs.

Fin 2021, la société britannique Aviva s’est séparée de ses activités hors Royaume-Uni. Aéma a racheté Aviva France et l’a renommé selon l’ancienne marque de l’entreprise, avant son rachat par Aviva, Abeille Assurances. Cette société propose de l’assurance IARD, un peu d’assurance santé et beaucoup d’assurance-vie. Elle utilise un réseau de courtiers, ce qui est différent des autres entités du groupe.

La quatrième marque du groupe est Ofi Invest, spécialisé dans la gestion d’actifs (asset management). Cette société est issue du rachat et de la fusion de plusieurs entités sur cette activité. En tant que cinquième acteur de son domaine en France, il a 200 milliards d’euros sous gestion.

Les quatre marques (Aesio, Macif, Abeille Assurances et Ofi Invest) disposent d’un certain nombre de filiales. L’ensemble du groupe comporte 22 000 collaborateurs mais la SGAM Aéma n’a que 200 collaborateurs.

Le Code des Assurances implique une solidarité financière entre participants à la SGAM et des principes de soutien croisé à la résilience.

Comment est organisée l’IT ?

Chaque marque a son propre SI et ses propres équipes dans une DSI dédiée. Chacune a son DSI, son RSSI et son DPO. Si on excepte quelques services rendus par une marque à une autre, il n’y a aucune mutualisation. Au sein d’une marque, par contre, il peut y avoir des refontes et des mutualisations entre filiales.

Il n’y a aucune relation hiérarchique ou rattachement fonctionnel entre les DSI/RSSI de marques et les fonctions similaires au sein du groupe. Le groupe définit les règles et contrôle leur application mais la mise en œuvre des règles est sous la responsabilité de chaque DSI/RSSI dans chacune des marques. Par exemple, il peut exister une obligation de MFA mais chaque marque choisit le produit qui va permettre de la mettre en place.

Au niveau groupe, nous animons également les communautés de DPO, de RSSI, etc. avec des partages de bonnes pratiques. Le RSSI groupe ne peut pas imposer ou exiger. Il doit convaincre et fédérer.

Quelles sont les grands principes d’architecture du SI groupe d’Aéma ?

Le groupe dispose d’un SI hébergé par celui de la MACIF et composé essentiellement de fonctions autour des RH et de la bureautique.

Nous avons quelques projets transverses comme la mise en place d’un annuaire et d’une gestion des identités communs. Ce sera le socle d’un SSO groupe pour l’ensemble des outils partagés (comme des SaaS notamment).

La mise en conformité DORA est également menée en commun. Nous avons débuté fin 2023. Chaque marque a son propre projet de mise en conformité en tenant compte de ses particularités métiers. Mais, réglementairement, il ne peut y avoir qu’un seul registre par groupe. Chaque marque consolide un seul registre avec toutes ses filiales et, au niveau groupe, nous consolidons un registre global. Il y a cependant une petite particularité : Ofi Invest relève de l’AMF comme autorité de contrôle tandis que les autres marques relèvent de l’ACPR. Ces deux autorités de contrôle rapportent aux ESA (European Supervisory Authorities).

Vous cumulez deux postes qui sont habituellement bien distincts : directeur cybersécurité et DPO. Pourquoi ?

Je peux retourner la question : pourquoi les séparer ? Ces deux fonctions ont, en fait, plus d’intérêts communs que de distinctions. Dans une structure classique, il peut y avoir éventuellement un conflit d’intérêt quand l’un contrôle l’autre et il y a aussi le problème de la charge de travail. Mais, au niveau d’Aéma, il y a peu d’opérationnel en cybersécurité comme sur le contrôle de conformité RGPD.

En termes de profil, on peut dire habituellement que la cybersécurité doit être confiée à un technicien et le poste de DPO à un juriste. Personnellement, j’ai un profil technique mais j’ai aussi suivi le mastère « management et protection des données » de l’ISEP. Par ailleurs, j’ai des juristes dans mes équipes et un RSSI opérationnel.

Un tel rapprochement s’opère aussi souvent dans de petites structures où deux temps pleins ne se justifient pas. Si mon exception ne peut pas devenir la règle, elle est pertinente dans certains cas, notamment chez nous.

Chez Aéma, il n’y a pas d’informatique industrielle. 99 % de ce qui est à sécuriser concerne aussi le DPO.

Surtout, il y a un point commun entre ces deux fonctions : RSSI et DPO doivent être des communicants pour réussir leurs missions. En particulier dans un groupe comme le nôtre où il s’agit d’animer des communautés de responsables rattachés à différentes entités.

Quelles sont vos approches en matière de cybersécurité ?

Nous avons un pôle commun sécurité : la direction sûreté sécurité cybersécurité et data protection. La fraude a été rajoutée à ce pôle.

Notre logique générale est de gérer les risques par marque et au global au niveau groupe.

Nous n’avons pas de vraie spécificité face aux grands enjeux du marché si ce n’est, peut-être, un certain focus sur les données personnelles, notamment de santé.

Justement, quelle est votre approche en matière de protection des données personnelles ?

L’approche est très réglementée et nous sommes évidemment contraint de respecter les règles.

Par exemple, l’utilisation du NIR (NDLR : numéro d’inscription au répertoire (NIR) au répertoire national d’identification des personnes physiques (RNIPP) ou « numéro de sécurité sociale ») est très limitée. Le NIR ne peut pas être une clé d’identification même si elle est utilisée dans les télétransmissions.

Certaines fuites récentes chez des confrères sont issues de données confiées à des sous-traitants. Un des enjeux majeurs pour les DPO comme pour les RSSI devant appliquer les réglementations NIS2/DORA, c’est le contrôle des fournisseurs critiques à qui l’on confie des données.

La fraude est-elle un sujet pour le CISO ?

La fraude n’est pas, à la base, dans le périmètre du CISO. Mais, en cas de fraude ou de suspicion, la partie technique de l’enquête relève, du moins chez nous, du RSSI car c’est lui qui a la main sur les systèmes.

Pour prendre un exemple : une tentative de fraude basée sur l’usurpation d’un nom de domaine sera détectée par le RSSI car c’est lui qui a les outils de veille mais, ensuite, il alertera les services juridique et conformité concernés. D’autres fraudes concernent l’activité propre métier et leur traitement est différent : elles sont directement traitées par les services concernés des marques.

Auparavant, la fraude n’était pas rattachée à notre direction mais à la conformité. Mais la gestion des urgences comme celle des moyens techniques n’étaient pas idéales.

Pour terminer, quels sont vos défis aujourd’hui ?

Nous n’avons pas encore terminé le chantier de la mise en conformité DORA. Chez nous, le sujet a été très lourd.

Nous avons à améliorer notre résilience en lien avec des tiers. Faire le nécessaire pour garantir la résilience chez soi, c’est bien. Mais si un fournisseur est défaillant, il peut y avoir des répercussions et des risques pour nous. En plus, si des fournisseurs sont communs entre marques, la ségrégation ne permet pas une résilience de certaines marques en cas d’incident sur une. A l’inverse, on peut gagner en efficacité en mutualisant les démarches d’audit sur les fournisseurs communs.

Enfin, évidemment, l’IA constitue une série de défis. Elle peut l’être en tant qu’outil global à déployer mais aussi en tant qu’outil au service de l’assurance. Et la question de la sécurité face à l’IA ou, au contraire, utilisant l’IA ne peut pas être négligée.