Comment la Mutuelle des sapeurs pompiers de Paris exploite-t-elle son évaluation CyberVadis ?

Olivier Deve : Nous avons fait intervenir CyberVadis la première fois en 2020 suite à une demande de l'un de nos partenaires qui souhaitait évaluer notre niveau de maturité sur le "cyber risk". Certes nous n’étions pas encore entrés dans le conflit russo-ukrainien, mais des premières limites avaient été identifiées pour notre petite structure sans pouvoir quantifier leur niveau d'impact et identifier les actions pouvant être mises en œuvre. A l’époque, le conseil d'administration de la mutuelle avait souhaité s'engager de façon prioritaire sur la thématique cyber. Cette première évaluation CyberVadis nous a permis de recenser les attendus du secteur. Pour les atteindre, nous avons sollicité Omnitech, et les équipes de Sanjeet pour mettre en place un plan d'action.

Sanjeet Aumeerun : CyberVadis est également une solution que l’on utilise chez Omnitech. Nous l’avons mise en place pour avoir un premier niveau d'évaluation sur notre niveau de maturité, avoir une synthèse globale des points de faiblesses et des points de renforcement nécessaires. Et c'est de façon tout à fait logique que nous avons accompagné la MSPP sur le renforcement de la sécurité de leur système d'information (SI). : CyberVadis is also a solution that we use at Omnitech. We used it to get an initial assessment of our level of maturity and to get an overall summary of our weaknesses and the areas where we need to strengthen. So it was only logical that we accompanied the MSPP in strengthening the security of their information system (IS).

Olivier Deve : La Mutuelle des sapeurs-pompiers de Paris (MSPP) s’est engagée sur les 3 années qui ont suivis le premier audit pour mettre en place les préconisations émises lors du 1er audit. Outre les modifications apportées sur notre environnement SI et les actions de formations engagées pour nos équipes, les différentes actions menées ont été reprises dans nos procédures (PSSI, PCI, procédure de gestion des accès). Notre plan d'action a pu être réalisé grâce à l’apport d’Omnitech. A l'issue, il était important pour nous de diligenter une seconde évaluation avec CyberVadis en janvier 2024 pour mesurer l'efficacité de notre plan d'action.

Sanjeet Aumeerun : CyberVadis nous a permis d'avoir une synthèse globale du niveau de maturité, des points cruciaux à corriger ou à renforcer. A partir de cette synthèse, nous avons listé les différents éléments et actions à mettre en place, puis nous nous sommes répartis les tâches. Olivier s'est chargé de la partie documentaire (rédaction des plans de plan sécurité, …) et mon équipe de la partie technique avec les différentes actions, mesures de sécurité à mettre en place de façon préventive ou corrective pour renforcer le SI. Nous sommes également intervenus sur les serveurs, les équipements pour vérifier que les mesures soient mises en place et si ce n'était pas le cas, venir compléter et renforcer. 

Avant le projet de réévaluation, la MSPP avait entrepris une démarche d'optimisation de son SI, de renforcement de la sécurité. Nous avions donc déjà mis en place quelques actions : mise à jour de certains équipements, mise à jour des antivirus, migration de certains équipements vers des solutions plus fiables. CyberVadis nous a donné l'occasion d’avancer sur le sujet en nous aidant à optimiser certaines actions et en venant renforcer certains points qui avaient été pensés mais qui n'avaient pas forcément été mis en place.

Olivier Deve : Avec CyberVadis, on quantifie rapidement le lien entre la bonne pratique à mettre en œuvre et les impacts immédiats qui se répercutent sur notre structure et sa sécurisation. A l’inverse d’un audit traditionnel où vous avez des consultants qui viennent sur place, vous posent plusieurs questions, et à l’issue restituent un rapport ne permettant pas forcément de faire le lien entre les pratiques et les impacts.

Avec CyberVadis, nous sommes également Acteur ! L'audit nous permet de suivre au quotidien notre progression. Son plan de remédiation permet d’identifier facilement les points sur lesquels nous devons nous améliorer rapidement, et d'identifier les actions pouvant être réalisées, nous restant plus qu'à quantifier en interne le chiffrage financier de l'ensemble de ces actions. C'est un réel apport pour nous permettre de réaliser un arbitrage dans la conduite du changement. I’ve already undertaken security audits with service providers specialized in this field. It’s true that it can be quite costly because the service provider comes on site for a whole day and carries out actions that could have been worked out beforehand. Thanks to CyberVadis, we have been able to do this work with Olivier at a lower cost, particularly with the remediation plan that we have followed to put in place a whole range of measures. If one day Olivier decides to call in a service provider to physically check the security, we know that most of the work will have been done.

L'audit nous a permis également de formaliser nos différentes procédures sur cette thématique. En effet, les éléments de preuves déposées dans la plateforme ont été repris dans nos politiques écrites. La documentation alimentée pour l'audit a permis de compléter la politique de sécurité des systèmes d'accès, la politique générale de systèmes d'information et de rédiger notre plan de continuité informatique.

Sanjeet Aumeerun : J’ai déjà fait des audits de sécurité avec des prestataires spécialisés dans le domaine. C'est vrai que ça peut être assez coûteux parce que le prestataire vient sur place une journée entière, et réalise des actions qui pourraient être dégrossies en amont. 

CyberVadis nous a permis de faire ce travail à moindre coût avec Olivier, notamment avec le plan de remédiation que nous avons suivi pour mettre en place tout un ensemble de mesures. Si un jour Olivier décide de faire appel à un prestataire qui viendra contrôler physiquement la sécurité, on sait que le plus gros du travail aura été accompli. 

Olivier Deve : La mutuelle souhaite désormais proposer ses couvertures à d'autres personnes que sa population affinitaire, l’utilisation de la scorecard CyberVadis dans un dossier d’appel d’offres est clairement un plus, dès lors que nous traitons des données de santé. L'actualité de notre secteur fait état de plusieurs assureurs, d'organismes de tiers payant et/ou de courtiers qui ont fait l'objet de fuites de données et/ou qui ont été impactées par un long arrêt de leur activité. Il est important de rassurer les employeurs et nos adhérents qui nous confient leurs données.

La Mutuelle des sapeurs-pompiers de Paris a été créée le 18 novembre 1955 par un petit groupe de militaires de tous grades du régiment de la Brigade des Sapeurs-Pompiers de Paris. L’accompagnement, la protection et la prévention font partie des engagements pris par notre mutuelle afin d’offrir aux adhérents des prestations et services au plus proche de leurs besoins. La MSPP accorde une importance toute particulière à la bienveillance dans ses relations aux autres. Elle s’inscrit en cohérence avec l’éthique et le code d’honneur du sapeur-pompier de Paris et veille à appliquer les devises de son corps.

Omnitech, ESN forte de 30 ans d’expérience, se spécialise dans l'ingénierie de développement d'applications sur mesure, le conseil en systèmes d'information (AMOA/AMOE), et l'ingénierie des systèmes, réseaux et sécurité (On-premise & Cloud). Nos collaborateurs, véritables talents, sont à l’écoute des besoins métiers de nos clients pour apporter des réponses adéquates avec un engagement de résultat ou de moyens. Chez Omnitech, nous fournissons des solutions technologiques innovantes pour soutenir la croissance et la transformation digitale de nos clients.