Sébastien Mauptit (MGEN) : « notre choix, c’est l’internalisation maximale de la cybersécurité »

Pouvez-vous nous présenter la MGEN ?

Fondée en 1946, MGEN est aujourd’hui la première mutuelle des agents du service public. Nous avons trois grandes activités. Son positionnement unique en France lui permet de gérer l’assurance maladie et la complémentaire santé et prévoyance de plus de 4,2 Millions de personnes, bénéficiaires d’un contrat individuel ou collectif. Nous co-gérons et co-finançons 1700 établissements sanitaires et sociaux (EPHAD, Soins de Suite et Réadaptation, etc.) dont 62 nous appartiennent en propre.

Nos 10 000 salariés et 3500 militants nous permettent de protéger ces 4,2 millions de personnes. Pour cela, nous disposons de 102 agences départementales, 31 espaces mutuels, 16 espaces régionaux incluant les pôles de prestations régionaux et 15 centres de services pour la gestion et le contact avec les adhérents.

Depuis 2017, MGEN est aussi membre fondateur du Groupe VYV, premier acteur mutualiste de santé et de protection sociale en France.

Comment sont organisées l’IT et La cybersécurité au sein de MGEN ?

La DSI de MGEN rassemble 514 collaborateurs et plusieurs centaines de prestataires sur trois sites. Nous disposons d’un datacenter en propre qui est répliqué au sein d’un datacenter de secours.

Les sujets liés à la cyber sécurité au sein de MGEN sont portés opérationnellement par la Direction de la Sécurité des Systèmes d’Information (DSSI) qui est rattachée à la DSI. Notre choix, c’est l’internalisation de la cybersécurité.

Pour répondre aux recommandations de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) et assurer une pleine objectivité quant aux décisions en matière de cybersécurité, la fonction de responsable de la sécurité des systèmes d’information est rattachée à une autre direction au sein de MGEN.

La politique de sécurité des SI est validée par le conseil d’administration. La sécurité des SI mobilise des sponsors aux plus hauts niveaux et est régulièrement à l’ordre du jour des différentes instances de Direction.

Les activités de la DSSI sont organisées autour de quatre pôles de compétences : la gestion des identités et des accès (IAM), la protection des données à caractère personnel, la gouvernance des risques et la conformité, le Security Operation Center (SOC) en charge de la surveillance des événements de sécurité.

Enfin, nous avons des « correspondants cybersécurité » dans les établissements de santé. Ils peuvent être par ailleurs référent informatique, responsable métier, directeur d’établissement, selon la taille de l’établissement.

La « résilience IT » est-elle un sujet IT, SSI ou des deux ?

MGEN dispose d’un Plan de Continuité d’Activité. Ce plan est décliné pour le système d’information. Les besoins de continuité sont identifiés dans chaque projet en lien avec les métiers. Un Plan de Reprise Informatique permet de garantir une résilience IT. Des exercices de gestion de crise conjoints métiers et SI permettent de valider les interactions entre les différents plans. Ces exercices « sur table » une fois par an démontrent l’importance de la cybersécurité dans les questions liées à la résilience.

Des exercices plus opérationnels, en fonction de scénarios de crise et en utilisant des plates-formes de cyber-entraînement, sont par ailleurs régulièrement menés et suivis dans diverses instances. Nous réalisons ainsi des tests de restauration de nos sauvegardes ainsi que des tests de reprise informatique.

La résilience, IT ou cyber, fait partie de notre quotidien. Chaque incident est traité de sorte à limiter les impacts sur les activités des métiers. Des outils de surveillance et d’investigation performants, une bonne communication avec les parties prenantes, une capacité à remédier sans perturber sont autant d’atouts qui nous permettent d’être cyber-résilients. Tous les incidents majeurs, dont ceux de sécurité, font l’objet d’un bilan qui vient alimenter nos différents plans d’action dans une logique d’amélioration continue.

Quelle est l’architecture générale du SI de MGEN ?

Les données que nous traitons sont de natures diverses : données stratégiques, données personnelles, données de santé, etc. Les mesures de sécurité sont adaptées à l’essence des données concernées. Ainsi, les données de santé sont cloisonnées. Notre architecture est constituée de différentes solutions périmétriques et équipée d’outils de surveillance active.

Nous hébergeons notre SI sur un datacenter qui nous appartient, en France. Notre architecture est redondée localement et nous disposons également d’un site de secours distant, dans une autre région. Nos établissements sont répartis un peu partout sur le territoire et accèdent à notre SI de façon sécurisée mais les données sont, pour l’essentiel, centralisées.

La mise en place d’un SOC renforce nos moyens de surveillance et d’intervention. Notre SOC est doté d’outils performants, d’une équipe interne renforcée par des services managés pour une couverture 24h sur 24 et 7 jours sur 7. Enfin, nous évoluons vers une architecture Zéro Trust pour continuer à élever notre niveau de sécurité.

En tant que mutuelle, avez-vous des contraintes particulières en matière de cybersécurité ?

Au regard de la sensibilité des données manipulées, les activités assurantielles (Livre II du Code de la Mutualité) et les activités de santé (Livre III) sont soumises à des réglementations qui encadrent les traitements de ces données.

La DSI de MGEN, qui a la forme d’un GIE informatique, héberge et gère une grande quantité de données de santé à caractère personnel (DSCP). La Ioi nous impose, au regard de nos activités livre III d’être certifiés Hébergeur de Données de Santé (HDS) car, étant un GIE, nous sommes de ce fait un fournisseur de la mutuelle. Cette certification impose notamment d’être certifié ISO 27001. Nous disposons donc d’un Système de Management de la Sécurité des SI et sommes doublement certifiés ISO 27001 (depuis 2018) et HDS (depuis 2020). Nous sommes également certifiés ISO 20000 (qualité des services informatiques, équivalent d’ITIL).

Nous répondons également aux attentes de l’ACPR, à qui nous devons reporter en cas d’incident cyber. Le respect du RGPD est également un incontournable et c‘est notamment pour cela que nous disposons, au sein de la DSSI, d’une équipe dédiée à ces sujets de protection des données. Cette équipe opérationnelle travaille en étroite relation avec les équipes du DPO (Data Protection Officer).

Plus globalement, nous évoluons dans un environnement réglementaire dense et en constante évolution. Nous opérons une veille pointue sur ce panorama réglementaire ce qui nous permet d’avoir un pas d’avance. Au-delà des réglementations citées précédemment, nous pouvons également citer le code de la santé publique, MS Santé (réglementation liée aux exigences de la sécurité de la messagerie sécurisée des professionnels de santé), les réglementations RO (Régime Obligatoire) et RC (Régime Complémentaire) encadrées par respectivement la CNAM (Caisse Nationale d’Assurance Maladie) et Solvabilité II.

Au-delà des aspects réglementaires, notre rôle mutualiste nous positionne en acteur de confiance auprès de nos adhérents et nos patients. La sécurité de leurs données est un gage de confiance que l’on doit pouvoir garantir.

En matière de cybersécurité, la sensibilisation des collaborateurs utilisateurs finaux est-elle réellement utile ?

La sensibilisation de nos collaborateurs est cruciale. Nous sommes persuadés qu’ils constituent le premier rempart contre les cybermenaces. Des collaborateurs sensibilisés sont autant de sources de détection d’événements suspects : tentatives de phishing, comportement anormal du poste de travail, vigilance dans les locaux, etc. Nous organisons nos actions au sein d’un plan tri-annuel. Chaque action de sensibilisation répond à des objectifs mesurables.

Les sensibilisations se déclinent en plusieurs formats (dont des bandes dessinées), contenus et objectifs. A titre d’exemple chaque nouvel arrivant doit suivre un module e-learning obligatoire en cybersécurité et un second sur le volet protection des données à caractère personnel. Nous pouvons citer également les campagnes de phishings, les exercices de gestion de cybercrise, des sagas par épisodes autour de personnages représentant des collaborateurs dans des situations professionnelles, des vidéos contextualisées aux professionnels de santé, des écrans de veille et de verrouillage thématiques lors du mois Cyber, des fiches pratiques, etc.

Nos collaborateurs les plus à risques font également l’objet d’un accompagnement individualisé pour garder la maitrise de leur exposition sur internet.

Le développement du télétravail, avec la crise sanitaire Covid-19, a-t- il changé quelque chose en matière de cybersécurité ?

Aujourd’hui, le télétravail représente environ la moitié du temps de travail. La crise sanitaire Covid-19 nous a amené à mettre à l’échelle nos pratiques mais toutes les technologies étaient déjà en place auparavant.

L’essence même de notre activité est un savant mélange entre encadrement des usages pour garantir un niveau de sécurité et adhésion à ces usages par les collaborateurs. Ils accèdent à notre SI depuis Ieurs matériels professionnels de façon sécurisée peu importe où ils se trouvent. La double authentification pour accéder à notre SI et à ses ressources à distance s’est généralisée avec l’augmentation du télétravail.

Le nomadisme est maintenant un cas d’usage courant que nous mettons en avant dans nos actions de sensibilisation à la cybersécurité.

Aussi en lien avec La cybersécurité, la souveraineté est-elle un sujet pour vous ?

II a toujours été dans nos fondamentaux de nous interroger sur le choix de nos partenaires. La localisation, le niveau de sécurité, les certifications sont autant de critères pour sélectionner avec qui nous souhaitons travailler. La question de la souveraineté, de la confiance numérique, fortement encouragée par notre environnement réglementaire et par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’lnformation), est cruciale dans nos prises de décision.

Pour accompagner au mieux les métiers, nous avons mis en place une démarche visant à intégrer la sécurité et la conformité dans les projets dès leur conception. Cette démarche s’initie quand le projet est encore au stade d’idée afin que la sécurité et les choix inhérents fassent partie de l’essence même du projet. Un binôme composé d’un expert technique sécurité et d’un expert de la protection des données accompagne le projet tout au long de la démarche (choix de l’hébergement, respect réglementaire, alignement avec nos politiques de sécurité, mise en œuvre des exigences de sécurité, etc.).

Pour les projets agiles, nous mettons en place des Security Users Stories dans les trains SAFe et nous appliquons la démarche DevSecOps. Nous disposons d’outils de sécurité qui contrôlent automatiquement les failles dans les développements effectués.

Rappelons que, même si nous ne sommes pas établissement d’importance vitale au sens de la loi, nous disposons de données de santé et nous prenons en charge des adhérents de la fonction publique, y compris de ministères. Il est d’ailleurs possible que dans les appels d’offres des futures mutuelles obligatoires de la fonction publique, l’État demande des garanties de sécurité et de souveraineté des données.

Des solutions de cybersécurité à base d’intelligence artificielle et d’apprentissage machine (IA/ML) se multiplient. Peut-on vraiment faire confiance à ces algorithmes ?

Notre veille nous a, en effet, montré que le sujet de l’IA, du machine learning sont omniprésents et que beaucoup d’acteurs du marché investissent dans cette approche technologique.

Nous disposons déjà de solutions s’appuyant sur de l’IA. Nous suivons ce sujet de près, notamment les innovations sources d’opportunités, tout en mesurant les risques associés. C’est un levier pour libérer du temps pour les experts humains en automatisant dans un premier temps certaines tâches, et dans un second temps pour appuyer l’aide à la décision, voire faire de la prédiction d’événements.

Nous sommes persuadés que l’humain restera encore indispensable à la prise de décision pour d’une part éviter les faux positifs (dont la quantité ne cesse de baisser au fil des générations) mais aussi plus généralement pour couvrir les possibles défaillances des algorithmes des IA à la main des éditeurs. Si demain le délai entre une intrusion et ses premiers dégâts continue de se réduire, l’IA prendra un rôle décisionnel encore plus important.

Les garanties en termes de sécurité, le cadre contractuel, « l’auditabilité » du fournisseur sur ces services liés à l’IA, les certifications reconnues seront de plus en plus cruciales pour engager des partenariats de confiance.

Dès la mise en place du SOC, nous avions d’ailleurs inclus cette réflexion sur l’IA/ML avec deux objectifs : la réduction du temps humain sur les tâches à faible valeur ajoutée et la réduction du délai de réaction en cas d’incident. Le premier niveau de réaction face à un incident est soit automatisé, soit externalisé. Nous souhaitons que la compétence interne SSI soit focalisée sur les niveaux suivants.

Les ESN font souvent varier leurs intervenants alors que ceux-ci disposent de comptes privilégiés. Comment gérez vous leurs accès en tenant compte des risques à la fois en cybersécurité et vis-à-vis de la réglementation ?

Nous sommes extrêmement vigilants quant à la mise à disposition des ressources de notre SI à des tiers. Pour les internes comme pour les externes, le processus de création et de gestion des identités numériques est défini et maîtrisé (basé sur le modèle RBAC : Role Based Access Control). Tous les utilisateurs de notre SI, internes ou externes, sont clairement identifiés. Le principe du moindre privilège est systématiquement appliqué, les droits sont provisionnés automatiquement au regard de profils métiers, des revues des accès sont régulièrement opérées et la gestion des mobilités et des départs est maîtrisée par la désactivation automatique des comptes.

Nous avons une solution de télémaintenance pour permettre l’accès des tiers en cas d’incident ou besoin d’expertise ponctuel. Ces accès sont également maîtrisés : utilisation du double facteur d’authentification, jeton à usage unique et identification au travers d’un appel, accès via un bastion d’administration avec un compte dédié où tout est tracé, filmé, horodaté.

Y-a-t-il des risques cybersécurité associés, pour MGEN, à « l’entreprise étendue » avec les hôpitaux, les cliniques, les médecins, la sécurité sociale, etc. ?

Notre gestion de la cybersécurité s’appuie sur une approche par les risques avec une logique d’amélioration continue. Nous pilotons notre activité grâce à l’analyse de risque que nous avons construite et que nous révisons tous les ans, en nous appuyant sur la méthodologie EBIOS Risk Manager. Cette analyse de risque prend en compte l’ensemble de notre écosystème, nos différents sites, nos partenaires, nos métiers. Nous avons notamment construit notre cartographie des menaces qui nous sont propres et que nous mettons à jour à chaque évolution de notre écosystème.

Ce travail « sur table » est amendé avec les incidents avérés, détectés au fil de l’eau, et alimenté par nos actions d’amélioration identifiées Iors d’audits ou par la veille. L’actualité est également source de révision de notre cartographie. La réforme de la Protection Sociale Complémentaire, par exemple, fait naître pour nous de nouveaux risques que nous avons intégrés dans notre démarche.

Les exercices de gestion de crise que nous réalisons prennent également en compte cet écosystème étendu ; un événement à un endroit peut avoir des impacts à l’autre bout de la chaîne.

Les sujets cyber sont partagés de façon trimestrielle avec l’ensemble des acteurs du Groupe MGEN dont nos correspondants en établissements de santé. Les établissements de santé disposent d’un écosystème complexe : les environnements liés aux objets connectés médicaux nécessitent d’être cloisonnés, isolés, les accès se font avec des droits particuliers et nous opérons une surveillance accrue.

Enfin, une partie de nos établissements ont intégré le programme d’Etat HOP’EN (Hôpital numérique ouvert sur son environnement, aujourd’hui dénommé « Ségur Numérique »), associé à des subventions. Ce programme a permis d’accélérer le virage numérique pris par nos établissements, notamment sur la cybersécurité.

Est-ce que la guerre des talents et l’inflation des salaires induite sont également des problèmes pour MGEN ?

Nous avons fait le choix d’internaliser les expertises liées à la cybersécurité. Pour certains besoins très ponctuels et là où c’est le plus pertinent, nous nous appuyons cependant sur des expertises externes en très petit nombre.

Malgré un marché de l’emploi très tendu dans ces secteurs d’expertise, nous arrivons toutefois à attirer des talents. Nous nous appuyons beaucoup sur nos propres relations, nous encourageons la mobilité interne et nous favorisons l’alternance comme leviers de recrutement. Nous avons plusieurs alternants de différentes écoles. L’attractivité et l’intérêt de nos projets en cybersécurité, notre positionnement salarial, le bien-être au travail, notre engagement en faveur de la parité au sein de nos équipes, notre dimension éthique, sont autant d’atouts qui nous permettent de réussir nos recrutements.

Lorsqu’un jeune a le choix entre une ESN (où il va intervenir sur un point précis et ponctuellement en étant noyé dans la masse de milliers de jeunes comme lui) et une grande entreprise comme la nôtre où il va pouvoir suivre des projets ambitieux de bout en bout avec une responsabilité sur un sujet, que va-t-il choisir selon vous ?

Nous attachons aussi beaucoup d’importance à la formation pour accompagner nos collaborateurs sur de nouveaux sujets. Nous les incitons à suivre des formations certifiantes afin de faire reconnaître Ieurs compétences et leur expertise.

Quels sont vos prochains défis ?

Après la réforme de la protection sociale complémentaire, chaque ministère va choisir un opérateur pour la couverture santé de ses agents (comme dans le secteur privé), après avoir lancé un appel d’offre (les premiers appels d’offre dès cette année). Pour s’adapter à cette réforme, nos métiers et nos processus se transforment ainsi que notre SI. 60 % de notre SI est en cours de transformation pour passer d’une gestion essentiellement individuelle à une gestion essentiellement collective. Notre défi est de continuer à garantir le meilleur niveau de sécurité pour nos adhérents tout au long de cette transformation.

Dans un contexte international de plus en plus tendu, nous renforçons notre vigilance quant aux risques géopolitiques en les intégrant dans nos dispositifs de surveillance.

Nous développons nos capacités de prévention, de détection et de réponse. Nous sommes déjà dotés d’outils de sécurité performants et nous souhaitons accroître les interactions entre ces outils, afin d’élever notre niveau de sécurité. L’utilisation d’automatisation et de concepts de machine learning ou d’intelligence artificielle augmente l’efficacité des attaques informatiques, elles sont plus rapides et plus fréquentes. En regard, l’automatisation améliore les capacités proactives et de détection des équipes SOC MGEN.

Parmi nos défis, nous devons également adresser la sécurité dans un contexte agile en continuant d’épauler les équipes projets avec toujours la même exigence de qualité. Nous accompagnons les acteurs impliqués sur la transition vers le cloud et l’usage croissant des API afin d’intégrer la sécurité tout au Iong de ces transformations.

Retenir nos compétences en matière de cybersécurité est un défi à relever. Continuer de se former, proposer un environnement de travail attrayant, être à l’écoute des ambitions seront des clefs pour y parvenir. Former les talents est certes nécessaire mais, ensuite, il faut les conserver.

Enfin, au-delà de maintenir nos certifications et notre alignement avec les exigences en vigueur nous anticipons les évolutions réglementaires à venir. Nous pensons par exemple à NISv2 mais plus particulièrement à DORA (Digital Operational Resilience Act), texte Européen sur la résilience opérationnelle numérique du secteur financier. Ce texte sera applicable à horizon 2025 mais nous anticipons dès maintenant les alignements nécessaires pour être conforme.

Sur le même sujet

- Comment la MGEN s’est transformée grâce au Covid