Wavestone renforce le capital confiance d’un grand assureur mondial en sécurisant les données de ses clients
- Assurance
- Cybersécurité
- Data & Intelligence artificielle
Le client de Wavestone est l’un des plus grands assureurs mondiaux. Il compte plus de 100 millions de clients répartis dans plus de 60 pays et rassemble 150 000 collaborateurs pour un chiffre d’affaires annuel de 100 milliards d’euros.
La sécurité des données : clé de la confiance client
Gagner la confiance de ses clients est un travail de longue haleine pour les assureurs, et les récentes atteintes à la protection des données rendent le défi encore plus difficile à relever. En 2024, une attaque contre l’une des plus grandes compagnies d’assurance-vie américaines a donné accès à des millions de données clients, soulignant ainsi le rôle critique de la sécurité des données dans la quête de la confiance client.
Pour se différencier sur le marché, le client de Wavestone a décidé de devenir un leader en matière de confiance client, en sécurisant leurs informations sensibles, notamment médicales et personnelles, aspect considéré comme fondamental pour gagner et conserver sa clientèle.
Dans ce contexte, la sécurité est devenue une priorité absolue pour le client de Wavestone dans la mesure où il mettait en place un vaste programme de migration vers le Cloud. Ce programme s’inscrivait dans sa stratégie de réduction de la dette technique, d’amélioration de l’efficacité opérationnelle et de rationalisation des coûts. La migration impliquait le déplacement de nombreuses applications critiques qui traitaient des données les plus sensibles, il était donc vital de s’assurer que l’infrastructure d’application Cloud était sécurisée et ne compromettait pas les données clients.
La première étape du programme de migration a consisté à trouver un partenaire de confiance pour redéfinir en toute sécurité l’architecture de plus de 120 applications. Ces applications n’avaient pas été mises à jour depuis de nombreuses années et n’avaient pas été conçues à l’origine dans un souci de sécurité.
Toutes les applications ont été rigoureusement évaluées pour s’assurer qu’elles respectaient les principes de sécurité avant la migration. L’architecture de l’application a fait l’objet d’une évaluation approfondie afin de respecter les normes de sécurité minimales et d’identifier les risques potentiels pour le client.
Cela a permis d’exploiter des technologies natives du Cloud, telles qu’Azure Key Vault et Log Analytics, et de remédier à la dette technique en mettant à niveau l’infrastructure sous-jacente et la « tech stack » (i.e. environnement technologique permettant de faire fonctionner un logiciel) de l’application.
Le client a ainsi intégré Wavestone dans son équipe de sécurité et ce pour la durée du projet, à savoir près de 2 ans.
Identifier et résoudre les risques liés à la sécurité des données pendant la migration
Un cadre d’évaluation a été développé pour identifier les défaillances et les risques, assurant aux principales parties prenantes une vision solide sur les lacunes de sécurité au sein de l’architecture. L’équipe hybride était chargée d’évaluer la conception et les propositions cibles d’un point de vue technique et sécuritaire, de signaler les problèmes de sécurité potentiels et de proposer des mesures correctives afin d’aligner la conception finale migrée sur la politique de sécurité du client.
L’équipe a commencé par une évaluation des risques de haut niveau pour chacune des plus de 120 applications concernées, avant d’inclure une évaluation des risques de bas niveau et des examens post-migration.
Voici quelques-unes des activités menées par l’équipe dans le cadre de cette mission :
Analyse de l’architecture cible des applications dans le Cloud, évaluation de la conception pour 10 domaines de sécurité clés, évaluation de la conception proposée pour la « sécurité cloud » et préparation d’un rapport d’évaluation des risques pour chaque application. Ce rapport comprenait un statut RAG (Red-Amber-Green) pour chaque risque, mettant en évidence les risques techniques, opérationnels, financiers et réputationnels, et proposait des mesures correctives pour tous les risques identifiés.
Examen de l’architecture principale et entretiens avec les architectes d’entreprise et Cloud sur la base de la documentation afin de remplir le questionnaire de sécurité. Des demandes de mises à jour ont été faites aux architectes réseau et, une fois celles-ci finalisées, un document d’évaluation des risques de haut niveau a été produit et présenté aux parties prenantes.
Examens détaillés du document de solution technique au lieu du document de l’architecture principale. Analyse de divers aspects de la conception cible, dont : l’architecture technique, le modèle d’authentification, le cryptage et la protection contre les intrusions, les capacités de connexion et de surveillance, la dette technologique, la gouvernance, etc. Introduction d’un questionnaire de sécurité exclusif pour identifier les risques et les vulnérabilités, et conduite d’entretiens avec les architectes d’entreprise et cloud pour compléter la documentation avant la revue des principales parties prenantes.
Mise en place de nouveaux processus pour relayer les informations pertinentes aux principales parties prenantes, y compris l’établissement de mécanismes de suivi et de responsabilité pour les processus de sécurité et informatiques.
Introduction et mise en œuvre de bonnes pratiques pour de nombreux processus au sein de l’équipe informatique, avec notamment : la documentation pour les équipes d’architecture, le suivi pour les équipes de remédiation et les rapports pour l’équipe de gestion de projet.
Une migration sereine et réputation client renforcée
Le programme mis en œuvre par l’équipe hybride a non seulement renforcé la réputation du client auprès de sa clientèle, mais a également inspiré la confiance au sein de ses équipes de sécurité et de migration Cloud.
Grâce aux efforts fournis, les équipes du client chargées de la sécurité et de la migration Cloud ont pu procéder en toute sérénité à la migration des applications vers le Cloud, tout en sachant que le niveau de sécurité était important et que les données clients et confidentielles étaient protégées. Cette garantie apportée par l’équipe a servi de pierre angulaire au client pour respecter son engagement auprès de ses clients à protéger leurs informations sensibles et donc conserver leur confiance.
En outre, les méthodes de travail adoptées par Wavestone ont été essentielles pour soutenir le rythme de migration des applications vers le Cloud et optimiser l’empreinte de l’infrastructure du client, en prodiguant des opérations sécurisées et optimisées.
Des résultats probants
- Confiance et sécurité : le niveau de sécurité de l’architecture des applications a été considérablement relevé, ce qui a permis aux parties prenantes d’avoir confiance dans leur capacité à détecter et à atténuer les incidents potentiels.
- Transparence accrue : les mesures mises en place donnent désormais une image beaucoup plus claire de l’état actuel de la sécurité et, par conséquent, du profil de risque de leur environnement.
- Amélioration de la gouvernance : les nouveaux processus améliorés pour l’identification des risques potentiels, et leur rapport ultérieur, garantissent que les parties prenantes principales sont au courant de l’état actuel du niveau de maturité de la sécurité et permettent une atténuation plus rapide.
Grâce à l’expertise de Wavestone, le client a réalisé une transition sécurisée et sans faille vers le Cloud, renforçant ainsi sa position en matière de sécurité des données, sa réputation et la confiance de ses clients.
-
Tom Lawrie
Partner – Royaume-Uni, Londres
Wavestone
LinkedIn