• Sécurité des Technologies de l'Information et de la Communication (TIC) chez SCOR

  •  

    La sécurité numérique au service de la résilience, l’innovation et la confiance.

     

    Notre engagement en matière de Sécurité de l'Information

    SCOR fait de la protection de l’information une priorité stratégique.

    Nous garantissons la Confidentialité, l’Intégrité, la Disponibilité et la Sécurité des données pour protéger nos clients, nos collaborateurs et nos partenaires. Notre approche en matière de sécurité est conforme aux standards internationaux et aux exigences réglementaires. Elle combine une gouvernance rigoureuse, une technologie de pointe et une amélioration continue afin de maintenir la confiance et la résilience.

    Nos engagements clé :

    • Protéger l'intégrité et la confidentialité des données tout au long de leur cycle de vie.
    • Répondre rapidement et de manière efficace aux menaces et incidents liés à la sécurité de l'information.
    • Responsabiliser l'ensemble du personnel. Chaque collaborateur et prestataire doit respecter les exigences en matière de sécurité et signaler toute anomalie selon des procédures documentées.
    • Appliquer les exigences de sécurité aux tiers qui accèdent aux données ou aux systèmes de SCOR, ces exigences étant intégrées dans notre cadre d'approvisionnement et de gestion des risques liés aux tiers (TPRM, Third-Party Risk Management).
    • Améliorer continuellement nos pratiques et contrôles en matière de gestion de la sécurité de l'information.

    Cadre de gouvernance et pilotage

    Une gouvernance robuste est essentielle pour une gestion efficace de la Sécurité de l'Information. Notre cadre de gouvernance garantit une responsabilité au plus haut niveau.

    Le Chief Information Security Officer (CISO) de SCOR dirige la fonction Groupe Sécurité de l’Information et supervise les domaines de sécurité, veillant à la mise en œuvre efficace des politiques, des directives et des contrôles.

    La gouvernance de la sécurité est intégrée à la gouvernance IT et à la gestion des risques, et s’appuie sur des comités dédiés au niveau de la Direction et du Conseil d’administration, assurant supervision, responsabilité et alignement avec les priorités métier :

    • Information Security Steering Committee (ISSC) : définit les orientations stratégiques, alloue les ressources et garantit que les objectifs de sécurité soutiennent les objectifs stratégiques du Groupe.
    • Group Operational Risk Committee (ORC) : intègre les risques cyber et TIC dans la gestion globale des risques, en examinant l’appétit au risque, l’efficacité des contrôles et les analyses de scénarios.

    Pour compléter ce dispositif, les Security Forums favorisent le partage de connaissances, accélèrent l’apprentissage tiré des incidents et audits, et encouragent l’innovation en matière d’outillage et de méthodes de sécurité.

    Ce modèle garantit des décisions qui sont prises en temps opportun, fondées sur des preuves et alignées avec les priorités métier. Il renforce également une culture où la sécurité n’est pas seulement abordée en cas de crise, mais est intégrée aux opérations quotidiennes.

    Compliance rules and law regulation policy concept of virtual screen

    Politique de sécurité de l’information

    La Politique de Sécurité de l’Information de SCOR établit les principes et les contrôles destinés à protéger nos actifs numériques et à garantir la résilience opérationnelle dans toutes les activités commerciales du Groupe. Elle vise à prévenir les accès non autorisés, maintenir la résilience opérationnelle du Groupe et assurer la conformité avec les meilleures pratiques internationales.

    La politique de sécurité de l'information est revue annuellement afin de s’adapter aux meilleures pratiques et aux évolutions réglementaires, notamment la norme ISO/IEC 27001 et la loi européenne sur la résilience opérationnelle numérique (DORA). Elle s'applique à toutes les entités, employés, prestataires et tiers de SCOR qui traitent ou accèdent aux données, systèmes, applications ou installations de SCOR. Elle s’applique à toutes les entités SCOR, ainsi qu’à tous les employés, prestataires et tiers qui traitent ou accèdent aux données, systèmes, applications ou dispositifs du Groupe.

    La Politique de Sécurité de l’Information s’appuie sur quatre principes fondamentaux :

    • Confidentialité : protéger l’information contre tout accès non autorisé.
    • Intégrité : garantir l’exactitude et la fiabilité des données tout au long de la chaîne de valeur.
    • Disponibilité : assurer un accès rapide et fiable aux Systèmes d’Information.
    • Sécurité : minimiser les risques liés à la technologie grâce à des mécanismes de prévention, de détection et de récupération.

    La politique est alignée sur des cadres reconnus (ISO, CIS, NIST, MITRE, OWASP, AICPA TSC1), et les contrôles sont organisés selon le Secure Controls Framework (SCF).

    Les responsabilités des contrôles internes s’organisent selon trois lignes de défense claires (Line of Defense, LoD) : les équipes opérationnelles appliquent les processus et exécutent les contrôles, la gestion des risques supervise la conception des contrôles, en assure la gestion et évalue leur performance, et l’Audit Interne Groupe (GIA) fournit une assurance indépendante au travers de revues et de tests réguliers.

    Cela garantit une qualité de service élevée, la disponibilité du système et la conformité, tout en favorisant l'innovation, la responsabilité et la résilience.

    Consultez notre Politique de Sécurité de l'Information (PDF)

    Programme de Gestion de la Sécurité de l’Information

    SCOR met en œuvre un programme complet de gestion de la sécurité de l’information, articulé autour de politiques, standards, directives, processus, contrôles et mesures de protection spécifiques destinés à protéger les systèmes et les données de SCOR, conformément à ses objectifs en matière de sécurité de l'information. Ce programme définit la gouvernance et la responsabilité, établit les exigences minimales applicables à l'ensemble du Groupe et soutient la protection des informations tout au long de leur cycle de vie.

    Afin de garantir l'efficacité et l'efficience des mesures de sécurité informatique dans le temps et de renforcer en permanence la résilience numérique de SCOR face à l'évolution des menaces, SCOR s'appuie sur les mécanismes suivants :

    • Programme de tests de résilience opérationnelle numérique : méthodologies et plans de test basées sur les risques couvrant la reprise après sinistre (DR, Disaster Recovery), les tests d'intrusion basés sur la menace (TLPT, Threat-Led Penetration Testing), les tests d'intrusion et les services connectés à Internet, ainsi que les tests de résilience/crise des entreprises, y compris les exercices de communication et de coordination.
    • Gestion continue des vulnérabilités et évaluations internes de la sécurité : identification, priorisation et remédiation continues des vulnérabilités grâce à une surveillance continue et à des évaluations de sécurité dans toutes les applications et tous les environnements afin de réduire l'exposition aux menaces connues.
    • Revue et audit des contrôles : revues internes et audits périodiques, complétés si besoin par des activités d'assurance externes indépendantes afin d’évaluer la conception et l’efficacité opérationnelle des contrôles de sécurité et de favoriser l'amélioration continue.
    • Programmes de formation et sensibilisation des collaborateurs : sensibilisation obligatoire à la cybersécurité et la protection des données, ainsi que des formations spécialisées selon les rôles. Ces programmes sont actualisés chaque année pour tenir compte des nouvelles réglementations et menaces, et renforcées par des exercices pratiques.
    • Résilience à l’hameçonnage (« phishing ») et mécanismes de signalement : simulations de phishing et processus établis permettant aux collaborateurs de signaler les cas suspects de phishing, de fuite de données ou autre activité suspecte, afin de permettre un triage, une escalade et une réponse rapides.
    • Détection et réponse aux incidents : processus de surveillance, de détection, d'escalade, de réponse et de reprise, soutenus par un Plan de Réponse aux Incidents (IRP, Incident Response Plan) qui est régulièrement actualisé, comprenant des exercices basés sur des scénarios afin de renforcer la préparation et d'améliorer les capacités de réponse.

    Ancrer la sécurité dans notre culture d’entreprise

    SCOR développe une culture de sécurité forte en mettant en œuvre des programmes complets de sensibilisation et de formation afin de doter l’ensemble du personnel des connaissances, de la vigilance et des réflexes nécessaires pour répondre à l'évolution des menaces liées à la sécurité de l'information et à la cybersécurité.

    Les initiatives de formation couvrent à la fois la cybersécurité et la protection des données, afin de garantir que les employés comprennent les risques, les obligations de conformité et les meilleures pratiques qui s’appliquent à leurs fonctions. Les programmes sont adaptés aux besoins organisationnels et aux environnements de travail, y compris les scénarios de travail à distance, et vont des sessions de sensibilisation de base à des formations avancées basées sur les rôles pour les fonctions spécialisées.

    Le contenu des formations est régulièrement mis à jour afin de refléter les nouvelles réglementations, les menaces émergentes et les enseignements tirés des audits ou des incidents. Des exercices pratiques, tels que des simulations d'attaques de phishing, des scénarios d'ingénierie sociale et des exercices de protection des données, renforcent l'apprentissage et préparent les employés à relever les défis du monde réel. Nous enseignons également aux collaborateurs comment reconnaître les communications suspectes et les comportements anormaux du système, afin de les alerter rapidement en cas de violations potentielles.

    Chaque session de formation est documentée et les registres de participation sont conservés comme preuve de conformité. En combinant formation, simulation et amélioration continue, SCOR favorise une culture axée sur la sécurité qui renforce la résilience et protège les informations sensibles.

    Notre approche pour maintenir l’alignement avec les standards.

    La sécurité n’est pas statique.

    Nous surveillons des indicateurs clés tels que les délais de remédiation des vulnérabilités, les taux de conformité des correctifs, les délais de résolution des incidents et les résultats des tests de résilience, afin de garantir une amélioration continue et de maintenir un niveau de préparation conforme aux attentes des audits.

    Nous évaluons nos pratiques par rapport à des cadres et standards reconnus (par ex. ISO, CIS, NIST, MITRE, OWASP, AICPA TSC1) et structurons nos contrôles à l'aide du Secure Controls Framework (SCF), afin d’assurer une mise en œuvre cohérente et homogène dans l’ensemble des domaines concernés : opérations, architecture, protection des données, gestion des accès et continuité d’activité.

    Ces mesures garantissent que nos contrôles demeurent complets, cohérents et manifestement alignés sur les meilleures pratiques, tout en s’adaptant à l’évolution des technologies, à l’émergence de nouvelles menaces et aux attentes réglementaires.

     

    Grâce à une supervision rigoureuse et à un engagement constant en faveur de l’amélioration continue, SCOR aligne la sécurité de l'information sur la valeur commerciale, garantissant ainsi la résilience et la confiance dans l'ensemble de l'écosystème de la réassurance pour ses clients, ses collaborateurs, ses actionnaires, et pour la société.

     

    Contact et information

    Pour toute question relative à la Sécurité des Systèmes d’Information, contactez le Bureau du CISO.

    Find out more

    Politique de Sécurité de l'information de SCOR

    Code de conduite de SCOR (en anglais)

    Rapport d'investissement durable de SCOR (en anglais)

    Rapport d'activité 2024 (en anglais)

    Dernière version de ce document : janvier 2026

    Notes de pied de page

    1 ISO: International Organization for Standardization
    CIS: Center for Internet Security
    NIST: National Institute of Standards and Technology
    MITRE: MITRE ATT&CK cybersecurity framework
    OWASP: Open Worldwide Application Security Project
    AICPA TSC: American Institute of Certified Public Accountants – Trust Services Criteria.