Continuity a obtenu la certification ISO/IEC 27001, délivrée par l’organisme indépendant ACCORP. Cette certification constitue le principal référentiel international en matière de gestion de la sécurité de l’information. Elle atteste que l’entreprise met en œuvre un système structuré, documenté et contrôlé, garantissant la protection des données et la maîtrise des risques opérationnels associés à ses activités.
Dans un contexte de transformation accélérée de la souscription professionnelle, cette certification fournit aux assureurs un cadre clair pour évaluer le niveau de sécurité et de gouvernance des partenaires technologiques qui les accompagnent.
Elle s’inscrit dans une étape importante du développement de Continuity, dont les solutions sont aujourd’hui intégrées dans les environnements et les processus métiers d’acteurs majeurs de l’assurance Pro & Entreprise.
Un cadre international pour structurer la sécurité et la gouvernance des données
La norme ISO/IEC 27001 définit un ensemble d’exigences couvrant l’identification des risques informationnels, la mise en place de mesures de contrôle, la documentation des processus, la gestion des incidents, et la révision régulière des dispositifs de sécurité. Elle impose une approche globale et systématique de la gestion de la sécurité de l’information, reposant sur des critères mesurables et audités.
L’obtention de la certification signifie que l’organisation applique un système de management de la sécurité (SMSI) conforme aux exigences du standard.
Cela implique notamment :
- une cartographie des risques informationnels régulièrement actualisée ;
- des politiques formalisées couvrant l’ensemble des domaines de sécurité ;
- un contrôle strict des accès et des habilitations ;
- un suivi continu des activités sensibles et des journaux techniques ;
- une documentation précise des procédures critiques ;
- des cycles d’audit internes et de revue de direction ;
- des mécanismes de traitement et de remontée des incidents.
Ce dispositif vise à assurer la confidentialité, l’intégrité et la disponibilité des informations traitées, quelle que soit leur nature ou leur sensibilité.
Des enjeux renforcés pour les assureurs professionnels
Les assureurs Pro & Entreprise s’appuient sur des volumes importants de données hétérogènes, structurées ou non structurées, issues de multiples sources : documents de souscription, déclarations, bases internes, données externes, historiques d’entreprises ou encore informations financières.
Leur exploitation nécessite des systèmes capables de garantir la conformité réglementaire, la fiabilité des traitements et la maîtrise du risque opérationnel.
Dans ce contexte :
- la qualité des données conditionne l’analyse des risques ;
- la robustesse des processus est indispensable pour industrialiser les parcours de souscription ;
- la maîtrise des risques fournisseurs est désormais systématique dans les due diligence des DSI, RSSI et directions des risques.
La certification ISO/IEC 27001 permet aux assureurs IARD d’intégrer Continuity dans leurs environnements informatiques et réglementaires avec un niveau de confiance renforcé.
Elle fournit un cadre de référence clair pour analyser les pratiques de sécurité, les exigences documentaires et les engagements suivis dans le temps par l’entreprise.
Un système de gestion de la sécurité intégré à l’activité de Continuity
Pour répondre aux exigences du standard, Continuity a structuré et formalisé l’ensemble de son système de gestion de la sécurité. Cette démarche a mobilisé plusieurs équipes – technique, produit, juridique, sécurité, opérations – et s’est traduite par un renforcement méthodique de l’ensemble des pratiques internes.
Les travaux ont porté sur plusieurs volets :
1. Gouvernance et gestion des risques
Un processus de gestion des risques informationnels a été défini et déployé. Il inclut :
- l’identification et la qualification régulière des risques ;
- l’analyse des impacts et des probabilités ;
- la documentation des plans de traitement ;
- la revue périodique par la direction.
2. Politiques et procédures
Un ensemble de politiques encadrant la sécurité, l’accès aux systèmes, la gestion des incidents, la continuité d’activité, les sauvegardes, les environnements cloud ou encore l’usage des ressources internes a été formalisé et mis en œuvre.
3. Contrôles techniques et opérationnels
La certification suppose un contrôle strict des accès, une surveillance des activités sensibles, une gestion encadrée des environnements et une vérification régulière de l’intégrité des systèmes.
4. Sensibilisation des équipes
La sécurité repose également sur les usages. Des formations et campagnes de sensibilisation ont été mises en place pour s’assurer que l’ensemble des collaborateurs maîtrise les bonnes pratiques et les procédures applicables à leur périmètre.
5. Audits internes et amélioration continue
Le standard impose des revues périodiques des processus et des audits internes réguliers. Ces mécanismes garantissent que les pratiques restent alignées avec les exigences de la norme et que les améliorations identifiées sont mises en œuvre de manière structurée.
Des implications directes pour les assureurs IARD et partenaires
La certification ISO/IEC 27001 apporte plusieurs bénéfices concrets aux assureurs IARD qui s’appuient sur les solutions de Continuity pour industrialiser ou moderniser leurs processus de souscription :
- Réduction du risque fournisseur Grâce à des contrôles audités et documentés, le niveau de risque résiduel associé à l’utilisation de la solution est plus facile à évaluer et à maîtriser.
- Simplification des due diligence Les DSI, RSSI et directions risques disposent d’une base documentaire conforme aux standards du marché, facilitant l’analyse des pratiques de sécurité et accélérant l’instruction des projets.
- Cadre sécurisé pour le traitement des données Les données issues des documents de souscription, des historiques d’entreprises ou des autres sources sont traitées dans un environnement contrôlé et surveillé.
- Accélération des projets de digitalisation La certification fournit un cadre de confiance qui facilite l’intégration des solutions de Continuity dans les systèmes existants, réduisant les délais et les itérations nécessaires à la validation des aspects sécurité.
Une étape structurante pour la trajectoire de Continuity
Cette certification s’inscrit dans la continuité de la stratégie de l’entreprise : fournir aux assureurs professionnels des solutions fiables, sécurisées et compatibles avec les exigences opérationnelles et réglementaires du secteur.
Elle constitue une base solide pour accompagner la montée en charge de l’activité, renforcer la confiance avec les partenaires et répondre aux attentes croissantes des acteurs de l’assurance en matière de gouvernance de la donnée.
Au-delà de l’obtention de la certification, la norme impose un suivi et une amélioration continue du système de gestion de la sécurité. Continuity poursuivra ces travaux dans la durée, en intégrant la sécurité comme un élément permanent de son organisation et de l’évolution de ses produits.
