Nouvelles technologies, Cyber Risk

9. ACPR. Document de r&eacute;flexion (final) &laquo; Le risque informatique &raquo; &ndash; janvier 2019 Ce texte r&eacute;sume les travaux de la consultation publique de 2018 sur le risque informatique. C&rsquo;est probablement le texte le plus complet sur le sujet. Il pourrait constituer la base d&rsquo;un manuel d&rsquo;audit avant souscription d&rsquo;une police &laquo; risque informatique &raquo;, et doit donc &ecirc;tre &eacute;tudi&eacute; par les souscripteurs de fa&ccedil;on approfondie, notamment parce qu&rsquo;il montre comment &laquo; l&rsquo;ancrage &raquo; de ce risque dans le risque op&eacute;rationnel est r&eacute;alis&eacute;. 1.&thinsp; L&rsquo;ACPR propose une d&eacute;finition extensive du cyber-risque&thinsp;: &laquo; risque de perte r&eacute;sultant d&rsquo;une inad&eacute;quation ou d&rsquo;une d&eacute;faillance des processus d&rsquo;organisation, de fonctionnement ou de s&eacute;curit&eacute; du syst&egrave;me d&rsquo;information, entendu comme l&rsquo;ensemble des &eacute;quipements, syst&egrave;mes ou r&eacute;seaux, des logiciels et des donn&eacute;es, ainsi que l&rsquo;ensemble des moyens humains contribuant au traitement de l&rsquo;information de l&rsquo;institution &raquo; (entit&eacute;, entreprise). Toutes les dimensions du risque sont ainsi couvertes. La cybers&eacute;curit&eacute; est d&eacute;finie par la BCE comme &laquo; les contr&ocirc;les et normes d&rsquo;organisation ainsi que les moyens (humains, techniques, etc.) utilis&eacute;s pour prot&eacute;ger les &eacute;l&eacute;ments du syst&egrave;me d&rsquo;information et des r&eacute;seaux de communication contre toutes attaques logiques, que celles-ci soient conduites par le biais de br&egrave;ches de s&eacute;curit&eacute; physiques ou logiques. Ces contr&ocirc;les et mesures incluent la pr&eacute;vention, la d&eacute;tection et la r&eacute;ponse &agrave; toute activit&eacute; informatique malicieuse, ou &agrave; toute n&eacute;gligence qui pourrait affecter la confidentialit&eacute;, l&rsquo;int&eacute;grit&eacute; ou la disponibilit&eacute; des syst&egrave;mes et des donn&eacute;es, de m&ecirc;me que la tra&ccedil;abilit&eacute; des op&eacute;rations effectu&eacute;es sur ce syst&egrave;me et ces r&eacute;seaux &raquo;. 2. &thinsp;L&rsquo;organisation du Syst&egrave;me d&rsquo;Information (SI) et sa s&eacute;curit&eacute; sont majeures. L&rsquo;ACPR &eacute;num&egrave;re les diff&eacute;rentes &eacute;tapes&thinsp;: les d&eacute;cisions de la direction g&eacute;n&eacute;rale et de l&rsquo;AMSB&thinsp;; la d&eacute;finition d&rsquo;une strat&eacute;gie informatique&thinsp;; le pilotage budg&eacute;taire&thinsp;; la d&eacute;finition des r&ocirc;les et responsabilit&eacute;s de la fonction informatique&thinsp;; la rationalisation du syst&egrave;me d&rsquo;information&thinsp;; la ma&icirc;trise de l&rsquo;externalisation&thinsp;; le respect des lois et r&egrave;glements (conformit&eacute; RGPD/LCB-FT, etc.)&thinsp;; la gestion des risques. Pour chacune de ces &eacute;tapes, elle indique les risques ou les d&eacute;fauts qui doivent &ecirc;tre relev&eacute;s et &eacute;vit&eacute;s&thinsp;: responsabilit&eacute;s mal d&eacute;finies, mauvaise connaissance des besoins m&eacute;tiers, manque de ma&icirc;trise de l&rsquo;architecture, forte d&eacute;pendance &agrave; l&rsquo;&eacute;gard de la sous-traitance, faiblesse de la cartographie des risques, failles dans le syst&egrave;me des 3 niveaux de contr&ocirc;le interne, notamment. 3. &thinsp; Le fonctionnement du SI recouvre 4 types de t&acirc;ches&thinsp;: la gestion de l&rsquo;exploitation, la gestion de la continuit&eacute; d&rsquo;exploitation, la gestion des changements (gestion de projets, des &eacute;volutions, des corrections), la qualit&eacute; des donn&eacute;es. Les points majeurs sont la d&eacute;tection et la gestion des erreurs, anomalies, incidents et probl&egrave;mes, la bonne gestion de la continuit&eacute; et l&rsquo;identification des sc&eacute;narios d&rsquo;indisponibilit&eacute;, la protection insuffisante et la faiblesse des tests, la qualit&eacute; de la conduite des projets, la normalisation insuffisante des donn&eacute;es, et l&rsquo;insuffisance du contr&ocirc;le de qualit&eacute; des donn&eacute;es. 4. &thinsp; Quant &agrave; la s&eacute;curit&eacute;, l&rsquo;ACPR donne la liste suivante des actions de s&eacute;curisation&thinsp;: la protection physique des installations, l&rsquo;identification des actifs (logiciels, donn&eacute;es), la protection logique des actifs (notamment contre les logiciels malveillants, la gestion des droits d&rsquo;acc&egrave;s et la protection de la confidentialit&eacute; des donn&eacute;es, la sensibilisation &agrave; la s&eacute;curit&eacute;), la d&eacute;tection des attaques (analyse des traces, d&eacute;tection des comportements anormaux des utilisateurs), qualit&eacute; des dispositifs de gestion de crise (contingentement des attaques, d&eacute;faillance dans les dispositifs de reprise des op&eacute;rations). Ce document m&eacute;riterait une large publicit&eacute; aupr&egrave;s des gestionnaires SI et S&eacute;curit&eacute; SI, et des assureurs qui d&eacute;veloppent des produits de garantie des risques cyber. S&rsquo;il en &eacute;tait besoin, il illustre parfaitement l&rsquo;utilit&eacute; d&rsquo;expertise avant souscription dans un domaine o&ugrave; la description (cartographie) des risques fait encore souvent d&eacute;faut. 9. ACPR. Notice relative aux modalit&eacute;s de mise en œuvre des orientations de l&rsquo;EIOPA (BOS 20-600) relative &agrave; la s&eacute;curit&eacute; et la gouvernance des technologies de l&rsquo;information &ndash; 18 juin 2021 Nous nous contenterons de r&eacute;sumer le texte de l&rsquo;ACPR qui commente celui de l&rsquo;EIOPA de la fin de l&rsquo;ann&eacute;e 2020 et qui compte 25 &laquo; orientations &raquo; ( guidelines ). Il s&rsquo;agit de faire la liste des recommandations de l&rsquo;ACPR pour la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information des assureurs. On rappelle le principe de proportionnalit&eacute; (c&rsquo;est traditionnel). Les pr&eacute;occupations de risque cyber doivent &ecirc;tre incluses dans la gouvernance et sont de la responsabilit&eacute; de l&rsquo;AMSB. L&rsquo;AMSB assume une strat&eacute;gie &laquo; &eacute;crite &raquo; en mati&egrave;re d&rsquo;informatique&thinsp;: on esp&egrave;re que c&rsquo;&eacute;tait d&eacute;j&agrave; le cas. Les entreprises incluent les SI dans leur syst&egrave;me de gestion des risques&thinsp;: cartographie, identification et &eacute;valuation des risques, mesures de gestion de risque, &laquo; app&eacute;tit et tol&eacute;rance pour le risque &raquo;. Les risques SI doivent &ecirc;tre audit&eacute;s. Il faut r&eacute;diger une politique &eacute;crite de s&eacute;curit&eacute; de l&rsquo;informatique. L&rsquo;ACPR souhaite la cr&eacute;ation d&rsquo;un poste de responsable de la s&eacute;curit&eacute; de l&rsquo;information, ind&eacute;pendant et rendant compte &agrave; l&rsquo;AMSB. Serait-ce l&rsquo;&eacute;mergence d&rsquo;une 5 e fonction clef dans le cadre du pilier 2 de Solvency II&thinsp;? L&rsquo;Autorit&eacute; liste pr&eacute;cis&eacute;ment les divers points d&rsquo;application de la &laquo; s&eacute;curit&eacute; logique &raquo; (identit&eacute; et acc&egrave;s des utilisateurs notamment), et la gestion des &laquo; droits d&rsquo;acc&egrave;s &raquo; (notions de &laquo; besoin d&rsquo;en conna&icirc;tre &raquo;, d&rsquo;acc&egrave;s privil&eacute;gi&eacute; et de surveillance, notion dite de &laquo; moindre privil&egrave;ge &raquo; et de &laquo; s&eacute;paration des fonctions &raquo;). Apr&egrave;s un d&eacute;veloppement sur la &laquo; s&eacute;curit&eacute; physique &raquo; des SI, elle &eacute;num&egrave;re les actions sur les risques des op&eacute;rations elles-m&ecirc;mes&thinsp;: l&rsquo;identification des vuln&eacute;rabilit&eacute;s potentielles, la segmentation du r&eacute;seau, la pr&eacute;servation de l&rsquo;int&eacute;grit&eacute; des donn&eacute;es. La surveillance de la s&eacute;curit&eacute; s&rsquo;exerce sur les &laquo; &eacute;l&eacute;ments internes ou externes &raquo; et, naturellement, sur les sous-traitants. Cette surveillance est r&eacute;alis&eacute;e par des tests de s&eacute;curit&eacute; qui doivent &ecirc;tre r&eacute;currents. Il importe d&rsquo;assurer une formation et une sensibilisation de l&rsquo;ensemble du personnel et de l&rsquo;AMSB aux questions de s&eacute;curit&eacute; informatique. Trois points majeurs concernent la gestion des op&eacute;rations&thinsp;: l&rsquo;inventaire des actifs informatiques (&agrave; jour des &eacute;volutions de logiciels), les sauvegardes mises en place et, surtout, l&rsquo;enregistrement des op&eacute;rations critiques. La gestion des incidents doit faire l&rsquo;objet d&rsquo;une proc&eacute;dure ou processus (&eacute;crit), visant &agrave; identifier, suivre, consigner et classer les incidents, d&eacute;finir les r&ocirc;les et responsabilit&eacute;s et mettre en place une communication interne, et &eacute;ventuellement externe, sur les incidents et les r&eacute;ponses apport&eacute;es. Il est recommand&eacute; d&rsquo;organiser une direction de projet ad hoc pour les projets informatiques mis en œuvre. Quant &agrave; l&rsquo;acquisition et au d&eacute;veloppement de syst&egrave;mes, l&rsquo;ACPR indique notamment la n&eacute;cessit&eacute; de prot&eacute;ger les codes-source, de maintenir une ma&icirc;trise de la connaissance du syst&egrave;me, de documenter les d&eacute;veloppements et de surveiller les logiciels acquis et g&eacute;r&eacute;s par les utilisateurs m&eacute;tiers sans l&rsquo;aval de la direction informatique (situation assez fr&eacute;quente). Un processus de gestion des changements li&eacute;s aux SI doit &ecirc;tre &eacute;crit (conduite de projets). L&rsquo;AMSB est responsable de la continuit&eacute; des activit&eacute;s et doit contr&ocirc;ler que celle-ci est pr&eacute;vue (plan de continuit&eacute; d&rsquo;activit&eacute;). Des sc&eacute;narios peuvent &ecirc;tre d&eacute;velopp&eacute;s pour &eacute;tablir et mesurer l&rsquo;impact des perturbations sur la continuit&eacute; des activit&eacute;s. La s&eacute;curit&eacute; informatique doit donc &ecirc;tre incluse dans les plans de continuit&eacute; d&rsquo;activit&eacute;s. Les entreprises devraient d&eacute;finir des &laquo; plans de r&eacute;ponse et de r&eacute;tablissement &raquo; dont l&rsquo;ACPR d&eacute;taille la composition, la documentation et la mise &agrave; jour. Ces plans (PCA et plans de r&eacute;tablissement) doivent &ecirc;tre r&eacute;guli&egrave;rement test&eacute;s et mis &agrave; jour (c&rsquo;est trop rarement le cas). La mise en place d&rsquo;une communication de crise est indispensable (surtout en cas de vol de donn&eacute;es et de risque de sanctions au titre du RGPD). Enfin, l&rsquo;ACPR rappelle les pr&eacute;cautions &agrave; prendre en cas de sous-traitance, notamment des fonctions critiques ou importantes, comme la s&eacute;curit&eacute; des services localis&eacute;s dans le &laquo; cloud &raquo;, et la vigilance &agrave; porter sur la r&eacute;daction des contrats de prestations de service. En d&eacute;finitive, ces recommandations ne sont pas n&eacute;cessairement novatrices, mais elles sont mieux &eacute;crites qu&rsquo;implicites. Il n&rsquo;est d&rsquo;ailleurs pas certain qu&rsquo;elles soient toutes appliqu&eacute;es. L&rsquo;essentiel est la cr&eacute;ation d&rsquo;une nouvelle fonction semi-ind&eacute;pendante de responsable de la s&eacute;curit&eacute; informatique et l&rsquo;incitation &agrave; une forte implication de l&rsquo;AMSB dans la responsabilit&eacute; de cette nouvelle fonction. 9. ACPR. Analyses et synth&egrave;ses n&deg; 117.2020 &ndash; Synth&egrave;se de l&rsquo;enqu&ecirc;te d&eacute;clarative de 2019 sur la gestion de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information des assureurs Il s&rsquo;agit ici de l&rsquo;appr&eacute;ciation de la gestion par les assureurs de leur propre risque informatique, apr&egrave;s une premi&egrave;re enqu&ecirc;te en 2015. Ce bilan est en demi-teinte. Des progr&egrave;s ont &eacute;t&eacute; effectu&eacute;s en mati&egrave;re de gouvernance du risque de cartographie, de d&eacute;finition d&rsquo;une strat&eacute;gie de s&eacute;curit&eacute; informatique et de &laquo; politique &eacute;crite &raquo;. Les plans de continuit&eacute; d&rsquo;activit&eacute; existent, les tests de sc&eacute;nario de crise sont effectu&eacute;s, mais il y manque des sc&eacute;narios de cyberattaque. L&rsquo;analyse de la sous-traitance semble assur&eacute;e, mais les solutions externes ( Shadow IT, End User Computing ) sont mal contr&ocirc;l&eacute;es. Enfin, le contr&ocirc;le de la s&eacute;curit&eacute; informatique (SSI) semble peu ou mal coordonn&eacute; avec la politique g&eacute;n&eacute;rale de contr&ocirc;le interne (les 3 niveaux de contr&ocirc;le de l&rsquo;ERM et de Solvency II). Il reste beaucoup &agrave; faire sur l&rsquo;inventaire des &laquo; versions &raquo; des logiciels, la revue syst&eacute;matique des habilitations, et l&rsquo;int&eacute;gration de la s&eacute;curit&eacute; informatique dans le contr&ocirc;le des sous-traitants. Les budgets restes modestes&thinsp;: la s&eacute;curit&eacute; SI repr&eacute;sente 5 &agrave; 7 % du total du budget des syst&egrave;mes d&rsquo;information. 9. Cyber Expert Group (CEG) &ndash; Proposition d&rsquo;une classification commune des incidents informatiques &ndash; 6 avril 2021 Ce document remarquable a &eacute;t&eacute; r&eacute;dig&eacute; par le CEG repr&eacute;sentant les experts cyber des autorit&eacute;s de contr&ocirc;le du Canada, de l&rsquo;Union europ&eacute;enne, de France, d&rsquo;Allemagne, d&rsquo;Italie, du Japon, du Royaume-Uni et des &Eacute;tats-Unis, sur la base d&rsquo;une commande du G7 Finances de Chantilly en juillet 2019. Les experts constatent la n&eacute;cessit&eacute; d&rsquo;un reporting des &laquo; incidents &raquo; cyber aux autorit&eacute;s de contr&ocirc;le. Or, les obligations actuelles sont insuffisantes, la diversit&eacute; des r&eacute;glementations, dans chaque pays, rend l&rsquo;information peu utilisable (nomenclatures diff&eacute;rentes des incidents). Les obligations de compte rendu portent sur les attaques r&eacute;ussies et non sur l&rsquo;ensemble des incidents. Les obligations ne permettent pas d&rsquo;obtenir une visibilit&eacute; sur la s&eacute;v&eacute;rit&eacute; des incidents. Une classification uniformis&eacute;e de ces incidents est donc n&eacute;cessaire. &bull;&thinsp;Les principes propos&eacute;s pour cette &laquo; taxonomie &raquo; sont les suivants&thinsp;: &ndash; elle doit couvrir tous les accidents de s&eacute;curit&eacute; et de fonctionnement, y compris les passes et erreurs. On exclut donc un pr&eacute;-classement diff&eacute;renciant &laquo; pannes &raquo; et &laquo; piratage &raquo;&thinsp;; &ndash; on distingue les &laquo; &eacute;v&eacute;nements &raquo; (changement dans le fonctionnement des syst&egrave;mes) et les &laquo; incidents &raquo; (qui compromettent, sans autorisation, la confidentialit&eacute;, l&rsquo;int&eacute;grit&eacute;, la disponibilit&eacute; de l&rsquo;information ou du syst&egrave;me informatique)&thinsp;; &ndash; on d&eacute;veloppe une &laquo; approche multidimensionnelle &raquo; ou une &laquo; approche multiple &raquo;, en distinguant &laquo; l&rsquo;incident &raquo;, son &laquo; impact &raquo;, son ampleur, sa gravit&eacute;. Le CEG s&rsquo;appuie sur des taxonomies existantes pour en faire la synth&egrave;se et ne pas cr&eacute;er un outil trop sp&eacute;cifique. &bull;&thinsp;Le CEG propose une matrice multidimensionnelle fond&eacute;e sur 4 piliers. Pilier 1. Description de l&rsquo;incident (de s&eacute;curit&eacute; ou de fonctionnement) en renon&ccedil;ant &agrave; la distinction &laquo; malveillant &raquo; ou &laquo; non malveillant &raquo;&thinsp;: &ndash; les incidents &laquo; malveillants &raquo; sont d&eacute;crits selon les 12 tactiques identifi&eacute;es par l&rsquo;organisation am&eacute;ricaine MITRE. Le CEG propose une simplification de ces techniques d&rsquo;attaque en 8 chapitres&thinsp;: les attaques &agrave; partir du web, le phishing (vol de donn&eacute;es &agrave; partir du compte du client), l&rsquo;interruption de service, manipulations physiques (destruction, vol et pertes), vol d&rsquo;informations (exfiltration de donn&eacute;es), vol d&rsquo;identit&eacute;, ran&ccedil;ongiciels, vol de donn&eacute;es li&eacute;es aux cryptomonnaies ( cryptojacking )&thinsp;; &ndash; les incidents non malveillants sont class&eacute;s en &laquo; accidentels &raquo; (erreur d&rsquo;utilisation), &laquo; structurels &raquo; (incidents machines, contr&ocirc;les au software), ou &laquo; environnementaux &raquo; (incendie, inondations, panne d&rsquo;&eacute;lectricit&eacute;, etc.) Pilier 2. Les impacts de ces incidents sont class&eacute;s en trois types&thinsp;: &ndash; techniques&thinsp;: atteinte &agrave; la confidentialit&eacute;, l&rsquo;int&eacute;grit&eacute; et la disponibilit&eacute; des donn&eacute;es&thinsp;; &ndash; professionnels&thinsp;: les impacts sur le business peuvent &ecirc;tre financiers, de r&eacute;putation, juridique et conformit&eacute;, contractuel, ou atteindre aux objectifs de l&rsquo;entreprise&thinsp;; &ndash; op&eacute;rationnels&thinsp;: on croise l&rsquo;existence de l&rsquo;impact, le caract&egrave;re critique ou non du service, l&rsquo;ampleur de l&rsquo;impact, et l&rsquo;existence d&rsquo;une interruption de service (critique ou non). Pilier 3. L&rsquo;amplitude de l&rsquo;incident. La nomenclature pr&eacute;voit 7 niveaux d&rsquo;atteinte des syst&egrave;mes d&rsquo;information, de l&rsquo;interface web (niveau 1) &agrave; l&rsquo;atteinte &agrave; des syst&egrave;mes critiques de s&eacute;curit&eacute; (niveau 7). Les &eacute;l&eacute;ments du Syst&egrave;me d&rsquo;information atteint sont class&eacute;s en 5 rubriques&thinsp;: bases de donn&eacute;es, syst&egrave;me d&rsquo;information, r&eacute;seau, les &laquo; fournitures &raquo; et les outils (portables). La liste des informations affect&eacute;es par l&rsquo;incident&thinsp;: inconnu, informations personnelles, informations commerciales ou industrielles, informations critiques/non critiques, acc&egrave;s aux codes d&rsquo;authentification. La liste des services affect&eacute;s&thinsp;: comptes courants, produits d&rsquo;&eacute;pargne, assurance, etc. La liste des entit&eacute;s affect&eacute;es&thinsp;: banque, assurance, gestion de titres, conseillers financiers&hellip; mais aussi Agences de notation et sous-traitants (multiples). Pilier 4. La gravit&eacute;. La nomenclature propose trois crit&egrave;res sur la gravit&eacute; de l&rsquo;incident&thinsp;: le caract&egrave;re significatif (nombre de clients affect&eacute;s par exemple), la dur&eacute;e de l&rsquo;incident (r&eacute;elle ou pr&eacute;vue), la communication interne ou publique de l&rsquo;incident. La matrice globale de reporting des incidents est repr&eacute;sent&eacute;e page suivante. Au total, ce document, s&rsquo;il est adopt&eacute;, devrait permettre une description tr&egrave;s pr&eacute;cise de l&rsquo;historique des &laquo; sinistres &raquo; (ou des incidents) constat&eacute;s, de toutes formes. C&rsquo;est la base d&rsquo;une d&eacute;marche efficace de tarification. L&rsquo;accueil r&eacute;serv&eacute; &agrave; cette d&eacute;marche n&rsquo;est pas connu des auteurs de cette chronique, mais on peut consid&eacute;rer que c&rsquo;est un pas significatif vers la bonne gestion du risque cyber. 9. Commission europ&eacute;enne &ndash; Proposition de cr&eacute;ation d&rsquo;une unit&eacute; conjointe de cybers&eacute;curit&eacute; (2021/0166). 23 juin 2021 La Communication de la Commission et du Haut repr&eacute;sentant pour les Affaires &eacute;trang&egrave;res et la politique de s&eacute;curit&eacute; ne pr&eacute;sente pas d&rsquo;int&eacute;r&ecirc;t. Elle r&eacute;affirme l&rsquo;importance de la s&eacute;curit&eacute; informatique pour l&rsquo;Europe et la n&eacute;cessit&eacute; de construire une capacit&eacute; op&eacute;rationnelle pour pr&eacute;venir, d&eacute;tecter et r&eacute;pliquer aux attaques, tout en avan&ccedil;ant vers un cyberespace global et ouvert. La Commission propose surtout de cr&eacute;er une unit&eacute; conjointe pour pr&eacute;venir les incidents de cybers&eacute;curit&eacute;, entre le 30 juin 2022 et juin 2023. Il est malheureusement probable que cette bureaucratie construite entre la Commission et le &laquo; minist&egrave;re des Affaires &eacute;trang&egrave;res &raquo; de l&rsquo;Union ne fasse pas vraiment progresser le sujet du cyber-risque et cultive la r&eacute;daction de Rapports sur la strat&eacute;gie de cybers&eacute;curit&eacute; de l&rsquo;Union. &Agrave; noter aussi la cr&eacute;ation d&rsquo;une Agence de l&rsquo;Union europ&eacute;enne pour la cybers&eacute;curit&eacute; qui devrait assurer le secr&eacute;tariat g&eacute;n&eacute;ral de l&rsquo;Union conjointe. Les assureurs ont peu &agrave; attendre de cette &laquo; comitologie &raquo;. 9. Rapport du Comit&eacute; consultatif d&rsquo;experts de l&rsquo;EIOPA sur l&rsquo;&eacute;thique digitale dans l&rsquo;assurance. 17 juin 2021 &ndash; Principe de gouvernance de l&rsquo;intelligence artificielle L&rsquo;int&eacute;r&ecirc;t de ce texte est moins dans son contenu que dans la d&eacute;marche qu&rsquo;il pr&eacute;figure. Il s&rsquo;agit clairement d&rsquo;engager un processus de cr&eacute;ation d&rsquo;une r&eacute;glementation de l&rsquo;utilisation de l&rsquo;intelligence artificielle dans l&rsquo;assurance, sous couleur (ou dans le cadre) d&rsquo;une d&eacute;marche &laquo; &eacute;thique &raquo;. L&rsquo;EIOPA ne manque pas de rappeler que la d&eacute;marche de ce groupe d&rsquo;experts s&rsquo;inscrit dans la continuit&eacute; (en prenant en compte la sp&eacute;cificit&eacute; de l&rsquo;assurance) des travaux d&rsquo;un autre groupe d&rsquo;experts sur l&rsquo;IA de &laquo; haut niveau &raquo;, r&eacute;uni par la Commission. Un nouveau champ s&rsquo;ouvre donc &agrave; l&rsquo;activit&eacute; r&eacute;gulatrice. 1. &thinsp;Le rapport note la multiplicit&eacute; des utilisations de l&rsquo;intelligence artificielle (IA) dans l&rsquo;assurance&thinsp;: la conception des produits, la tarification, la souscription, la distribution, la gestion des contrats, la pr&eacute;vention, la gestion des sinistres, le provisionnement, la d&eacute;tection et la gestion de la fraude. Il tente de faire la liste des questions &laquo; &eacute;thiques &raquo; (morales&thinsp;?) que soul&egrave;ve l&rsquo;utilisation des instruments de l&rsquo;IA&thinsp;: la diminution (disparition&thinsp;?) de l&rsquo;asym&eacute;trie d&rsquo;information, le risque d&rsquo;exclusion du fait de la r&eacute;duction des mutualit&eacute;s de risques li&eacute;e &agrave; la forte segmentation des tarifs, les conflits avec le R&egrave;glement g&eacute;n&eacute;ral sur la protection des donn&eacute;es (ne faut-il pas le r&eacute;former&thinsp;?), l&rsquo;ajustement du rythme de mise en place de r&eacute;glementations sur le rythme du progr&egrave;s technologique, l&rsquo;application du principe de pr&eacute;caution, et la question du consentement &eacute;clair&eacute; du client &agrave; l&rsquo;usage de ces donn&eacute;es. Les experts sugg&egrave;rent donc d&rsquo;introduire deux nouveaux concepts&thinsp;: des produits &laquo; ethically aligned &raquo; (conformes &agrave; l&rsquo;&eacute;thique) et l&rsquo;introduction de la Responsabilit&eacute; digitale dans la responsabilit&eacute; sociale d&rsquo;entreprise. Donc, une extension de la RSE ou ESG &agrave; l&rsquo;intelligence artificielle&thinsp;: l&rsquo;assurance sera non seulement &laquo; verte &raquo; mais &laquo; &eacute;thique &raquo;. 2. &thinsp;Le rapport met en avant 6 principes &eacute;thiques qui doivent gouverner l&rsquo;emploi de l&rsquo;IA dans l&rsquo;avenir (selon les experts). &bull; La proportionnalit&eacute;. Elle consiste &agrave; &eacute;tudier l&rsquo;impact de l&rsquo;utilisation de l&rsquo;IA sur les consommateurs (discrimination) et l&rsquo;entreprise (r&eacute;putation), et donc la gravit&eacute; de celui-ci, avant de d&eacute;terminer les utilisations (ou non) de l&rsquo;IA dans un processus donn&eacute;. C&rsquo;est donner une nouvelle dimension au principe de proportionnalit&eacute; sans cesse mis en avant dans la r&eacute;glementation prudentielle avec, il est vrai, peu d&rsquo;effet. &bull; La loyaut&eacute; ( fairness ) et la non discrimination Il s&rsquo;agit de cr&eacute;er des syst&egrave;mes IA qui &laquo; &eacute;quilibrent les int&eacute;r&ecirc;ts de toutes les parties prenantes &raquo; et de mettre en place une &laquo; gouvernance de l&rsquo;IA &raquo; &agrave; cette fin. Les experts font la liste des produits d&rsquo;assurance qu&rsquo;ils jugent &laquo; sensibles &raquo; en mati&egrave;re d&rsquo;inclusion financi&egrave;re (l&rsquo;auto, la multi-habitation, la sant&eacute;, la R.C. g&eacute;n&eacute;rale &ndash;&thinsp;? &ndash; la vie, la retraite et les accidents de travail). Ils identifient les situations de vuln&eacute;rabilit&eacute; des personnes (&acirc;ge, situation familiale, conditions de sant&eacute;) &agrave; la discrimination/exclusion. Ils rappellent que la collecte et le traitement de donn&eacute;es doivent &ecirc;tre appropri&eacute;s &agrave; leur usage et que cet usage doit pouvoir &ecirc;tre justifi&eacute; au client. L&rsquo;IA doit, si l&rsquo;on comprend bien, se conformer au RGPD. Cela pose &eacute;videmment la question de l&rsquo;usage des r&eacute;seaux sociaux et, plus g&eacute;n&eacute;ralement, des m&eacute;gadonn&eacute;es ( Big Data ). Il faut donc que les clients, qui ne veulent pas communiquer des donn&eacute;es personnelles, puissent b&eacute;n&eacute;ficier d&rsquo;une assurance &agrave; un prix acceptable (ce qui est &agrave; peu pr&egrave;s contraire &agrave; la Directive sur la distribution de l&rsquo;assurance). Il faut introduire des principes de limitation de la &laquo; manipulation &raquo; et des &laquo; incitations excessives &raquo; des clients en direction de certains produits. Les experts souhaitent aussi introduire des crit&egrave;res de non-discrimination dans la conception des produits, mais le texte se r&eacute;v&egrave;le sur ce point particuli&egrave;rement tortueux. Quant aux applications du principe de loyaut&eacute;, on rel&egrave;ve la recommandation de r&eacute;duire l&rsquo;impact sur les taux de primes de certains facteurs de scoring ( credit scoring , revenu, niveau d&rsquo;&eacute;ducation), notamment sur les populations dites &laquo; vuln&eacute;rables &raquo; ou &laquo; prot&eacute;g&eacute;es &raquo;. Plus g&eacute;n&eacute;ralement, il s&rsquo;agit de s&rsquo;assurer qu&rsquo;il y a corr&eacute;lation entre le prix du risque et la sinistralit&eacute;, qu&rsquo;il existe un lien de causalit&eacute; entre eux et que celui-ci est conforme aux r&eacute;glementations anti-discrimination. Il s&rsquo;agit sans doute des c&eacute;l&egrave;bres &laquo; corr&eacute;lations faibles &raquo; que d&eacute;tectent les data scientists et le deep learning . Les experts souhaitent aussi lutter contre les pratiques de price optimisation qui consistent &agrave; mesurer non le prix actuariel du risque mais les taux de prime que les clients sont pr&ecirc;ts &agrave; payer. Ils souhaitent donc surveiller les mod&egrave;les d&rsquo;&eacute;tude de prix du march&eacute;, les mod&egrave;les de pr&eacute;vision des r&eacute;siliations, les mesures de lifetime value des clients, les recherches d&rsquo;&eacute;lasticit&eacute; prix des produits et les informations de comparaison de prix propos&eacute;es aux clients. C&rsquo;est une large part du marketing moderne qui serait ainsi mise sous surveillance &eacute;thique. Quant &agrave; la gestion des sinistres, les experts s&rsquo;inqui&egrave;tent de recherches sur la &laquo; disposition du client &agrave; accepter &raquo; (rapidement) des transactions avec l&rsquo;assureur, et veulent imposer, dans la gestion de fraude (toujours pr&eacute;sente dans les textes sur l&rsquo;intelligence artificielle) une intervention humaine pour compl&eacute;ter la d&eacute;marche informatique. &bull;&thinsp;La transparence et l&rsquo;explicabilit&eacute;. Les experts veulent d&eacute;velopper l&rsquo;explication aux clients des facteurs de d&eacute;finition du prix, mais aussi aux auditeurs et aux autorit&eacute;s de contr&ocirc;le&thinsp;: ils proposent une liste exhaustive de ces explications. Bien entendu, il faut &eacute;viter que les algorithmes soient des bo&icirc;tes noires, et les expliquer (belle na&iuml;vet&eacute;) voire obtenir une compr&eacute;hension de l&rsquo;algorithme. Quant aux diverses utilisations (souscription, tarification, gestion des sinistres, d&eacute;tection de la fraude), il s&rsquo;agit d&rsquo;&eacute;viter les pratiques de ventes crois&eacute;es, et de garantir une intervention humaine. On craint l&rsquo;expertise enti&egrave;rement automatique. &bull;&thinsp;L&rsquo;intervention humaine. Outre ce qui est d&eacute;j&agrave; recommand&eacute; ci-dessus, les experts veulent une implication forte du management et sa responsabilisation. Ils font une liste consid&eacute;rable des personnels &agrave; impliquer&thinsp;: l&rsquo;AMSB, la fonction compliance, le contr&ocirc;le des risques, l&rsquo;audit, etc. Ils recommandent la cr&eacute;ation d&rsquo;un comit&eacute; d&rsquo;&eacute;thique IA-Data dans l&rsquo;entreprise comprenant &agrave; peu pr&egrave;s tout l&rsquo;&Eacute;tat-major, et notamment les sp&eacute;cialistes des syst&egrave;mes d&rsquo;information, un IA &laquo; officer &raquo; (un de plus&thinsp;!) et les ressources humaines. Quant &agrave; l&rsquo;intervention humaine dans les processus de gestion, elle est partout n&eacute;cessaire sauf, curieusement, dans la tarification et la souscription (alors qu&rsquo;ils attirent l&rsquo;attention sur les cat&eacute;gories vuln&eacute;rables de clients). &bull;&thinsp;La gouvernance des donn&eacute;es et la conservation de celles-ci. Les experts n&rsquo;apportent rien de nouveau&thinsp;: ils r&eacute;clament le respect du RGPD, l&rsquo;attention donn&eacute;e &agrave; la qualit&eacute; des donn&eacute;es, notamment celles achet&eacute;es aupr&egrave;s de fournisseurs ext&eacute;rieurs, la s&eacute;curit&eacute; des donn&eacute;es et l&rsquo;&eacute;criture des sp&eacute;cificit&eacute;s techniques des algorithmes qu&rsquo;il faut accompagner d&rsquo;un document sur la v&eacute;rification &eacute;thique de ces algorithmes. Tout cela doit &eacute;videmment &ecirc;tre pr&eacute;cieusement conserv&eacute;. &bull;&thinsp;La solidit&eacute; et la performance des syst&egrave;mes d&rsquo;information Dans ce domaine, les recommandations sont traditionnelles&thinsp;: bonne gestion des donn&eacute;es, s&eacute;curit&eacute; des syst&egrave;mes informatiques, contr&ocirc;le des sous-traitants. Tout cela n&rsquo;a que peu de lien avec les pr&eacute;occupations &eacute;thiques, ou se trouve d&eacute;j&agrave; contenu dans les dispositions du RGPD. Tout cela n&rsquo;augure rien de bon pour la simplification administrative des m&eacute;tiers de l&rsquo;assurance. Faute de pouvoir contrer l&rsquo;avanc&eacute;e de l&rsquo;IA dans la gestion des assureurs, les autorit&eacute;s de contr&ocirc;le se pr&eacute;parent &agrave; construire une r&eacute;glementation des processus de gestion qui, sur la base de pr&eacute;occupations d&rsquo;&laquo; &eacute;thique &raquo;, vont accro&icirc;tre les pouvoirs de contr&ocirc;le des autorit&eacute;s nationales et restreindre l&rsquo;automatisation ou, &agrave; d&eacute;faut, d&eacute;velopper les processus de contr&ocirc;le et de reporting des entreprises. L&rsquo;EIOPA a d&eacute;j&agrave; entrepris, par ailleurs, d&rsquo;esquisser les grandes lignes d&rsquo;une r&eacute;glementation d&rsquo;emploi des m&eacute;gadonn&eacute;es.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Métiers

ENASS Papers 2021

Nouvelles technologies, Cyber Risk

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Banque de détail

Les clients plus satisfaits que jamais

Gestion d'actifs

Dans une finance en pleine mutation, une industrie fossilisée ?

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

ENASS Papers 2021

Nouvelles technologies, Cyber Risk

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les clients plus satisfaits que jamais

Dans une finance en pleine mutation, une industrie fossilisée ?

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »