/ Cybersécurité & protection des données / Sécurité extranet : comment ouvrir votre SI aux courtiers sans risquer l’intrusion ?
Architecture de sécurité extranet pour l'accès sécurisé des courtiers aux systèmes d'information assurantiels
Publié le 10 mai 2024

Ouvrir un extranet à des partenaires n’est pas qu’un risque technique, c’est avant tout un défi de gouvernance qui exige de passer d’une logique de forteresse à un modèle de confiance vérifiable.

  • La sécurité ne repose plus sur un périmètre étanche, mais sur l’authentification forte (MFA) et l’identité de chaque utilisateur, qu’il soit interne ou partenaire.
  • Le contrôle est maintenu en déléguant la gestion des accès au partenaire et en cloisonnant rigoureusement les données pour que personne ne voie ce qui ne le concerne pas.

Recommandation : Adoptez une approche « Zero Trust » en équipant vos partenaires pour qu’ils deviennent le premier rempart de leur propre sécurité, tout en surveillant activement les flux pour détecter toute anomalie.

En tant que RSSI, vous êtes au cœur d’un dilemme permanent : le métier vous pousse à ouvrir le système d’information pour accélérer le business avec les partenaires courtiers, tandis que votre mission est de protéger ce même système contre toute intrusion. Chaque nouvel accès externe représente une potentielle porte d’entrée pour une attaque, transformant un partenaire de confiance en un vecteur de risque involontaire.

Les réponses habituelles, comme renforcer les mots de passe ou installer un pare-feu plus robuste, sont nécessaires mais fondamentalement insuffisantes. Elles traitent le symptôme, pas la cause profonde du problème dans un monde interconnecté. Le risque ne vient plus seulement de l’extérieur, mais de l’intérieur même de l’écosystème de partenaires. La vraie question n’est donc plus de savoir comment construire des murs plus hauts, mais comment gérer les accès de manière intelligente et granulaire.

Et si la solution n’était pas de renforcer la forteresse, mais de changer radicalement de paradigme ? L’approche défendue ici repose sur un principe de responsabilité partagée et de confiance vérifiable. Il ne s’agit plus de faire une confiance aveugle à un partenaire, mais de lui donner les outils pour sécuriser ses propres accès, tout en vérifiant constamment que les règles sont respectées. C’est une stratégie où la sécurité devient un service contrôlé et non une barrière rigide.

Cet article détaille les piliers techniques et organisationnels de cette approche, de l’authentification forte à la journalisation comportementale, pour vous permettre de répondre « oui » aux demandes du métier, mais selon vos propres termes sécurisés.

Pour naviguer efficacement à travers les différentes couches de cette stratégie de défense en profondeur, voici le plan que nous allons suivre. Chaque section aborde un mécanisme de contrôle essentiel pour bâtir un extranet partenaire à la fois ouvert et sécurisé.

Sommaire : Bâtir une forteresse de verre pour vos partenaires courtiers

Authentification forte (MFA) : pourquoi un simple mot de passe ne suffit plus pour un courtier ?

Le mot de passe est mort en tant que mécanisme de sécurité unique. Il n’est plus une clé, mais un simple post-it que l’on peut voler, deviner ou acheter sur le dark web. Pour un partenaire externe comme un courtier, qui manipule des données sensibles et représente une cible de choix pour le phishing, se fier uniquement à un mot de passe est une négligence. Selon le « 2024 Bad Bot Report » d’Imperva, 2 millions de cyberattaques par jour sont alimentées par des bots IA, et la France est une cible privilégiée. Ces bots testent en permanence des milliers de combinaisons d’identifiants et de mots de passe volés (credential stuffing).

L’authentification multifacteur (MFA) n’est plus une option, c’est la ligne de défense fondamentale. Elle oppose une barrière drastique aux attaques automatisées en exigeant une seconde preuve d’identité (ce que l’utilisateur sait, possède ou est). Son efficacité est redoutable : selon Microsoft, plus de 99,9% des compromissions de comptes sont bloquées par l’activation du MFA. C’est le meilleur retour sur investissement en matière de sécurité que vous puissiez faire.

Imposer le MFA à vos courtiers partenaires n’est pas une contrainte, c’est le premier acte de la responsabilité partagée. Vous protégez votre SI, mais vous protégez également le courtier contre une compromission de son compte qui pourrait ruiner sa réputation. Le fait que près de 80% des grandes violations de données enregistrées en 2024 auraient pu être évitées par le MFA devrait suffire à convaincre les plus sceptiques. La question n’est plus « faut-il le faire ? », mais « comment le déployer sans friction ? ».

Pour garantir que cette première ligne de défense est bien comprise et acceptée, il est essentiel de maîtriser les arguments qui justifient l'abandon du mot de passe seul.

Administration déléguée : comment laisser le cabinet de courtage gérer les accès de ses collaborateurs ?

Le goulot d’étranglement de la gestion des accès partenaires, c’est vous. Chaque arrivée, départ ou changement de poste dans un cabinet de courtage génère une demande de création ou de suppression de compte que votre équipe doit traiter. C’est une charge de travail énorme, coûteuse et, surtout, source d’erreurs et de délais. Le risque le plus grand ? L’oubli de révocation d’un accès pour un collaborateur qui a quitté le cabinet, créant ainsi un « compte orphelin » qui est une porte d’entrée béante.

La solution est la gouvernance déléguée. Le principe est simple : vous ne gérez plus les utilisateurs finaux, mais vous donnez au responsable du cabinet de courtage (le « super-utilisateur ») les droits pour gérer lui-même les accès de ses propres collaborateurs. Il peut créer, modifier et, surtout, supprimer les comptes au sein de son périmètre défini. Vous passez d’un rôle d’opérateur à un rôle de superviseur.

Cette approche est triplement bénéfique. Premièrement, elle décharge votre équipe de tâches à faible valeur ajoutée. Deuxièmement, elle responsabilise le partenaire, qui connaît mieux que quiconque les mouvements de ses équipes. Troisièmement, elle augmente la sécurité en réduisant drastiquement le temps de réaction pour la révocation des accès. C’est l’application directe du principe de responsabilité partagée : vous fournissez un cadre sécurisé, le partenaire l’administre.

Plan d’action : Mettre en place l’administration déléguée

  1. Identifier les super-utilisateurs : Définir qui, chez le partenaire, aura les droits d’administration (ex: le directeur du cabinet, le responsable d’équipe).
  2. Définir les périmètres : Lister précisément les applications, les types de données et les actions que le partenaire peut gérer pour ses équipes.
  3. Mettre en place la journalisation : S’assurer que chaque action du super-utilisateur (création, suppression, modification de droits) est loguée et auditable.
  4. Former le partenaire : Former le super-utilisateur à ses nouvelles responsabilités et aux risques associés.
  5. Planifier des revues d’accès : Exiger du partenaire une revue trimestrielle certifiant que les accès de ses collaborateurs sont toujours légitimes.

La mise en place de ce modèle nécessite une feuille de route claire. Pour cela, il est utile de revoir les étapes clés de la délégation d'administration.

Ségrégation des données : comment être sûr qu’un courtier ne voit pas les contrats du concurrent ?

Ouvrir son SI ne signifie pas organiser une journée portes ouvertes. Le principe de base est celui du besoin d’en connaître : chaque utilisateur, partenaire ou interne, ne doit accéder qu’aux données strictement nécessaires à l’accomplissement de sa mission. Pour un extranet partenaire, cela se traduit par un cloisonnement ou « siloing » impitoyable des données. Un courtier A ne doit sous aucun prétexte pouvoir accéder, même par erreur, aux données du courtier B.

Cette ségrégation doit être appliquée à plusieurs niveaux : au niveau de la base de données (avec des vues ou des schémas séparés), au niveau applicatif (avec des règles de contrôle d’accès basées sur les rôles, ou RBAC) et au niveau de l’infrastructure. L’administration déléguée, vue précédemment, est un outil puissant pour renforcer cette ségrégation : en donnant la gestion au partenaire, on s’assure que son périmètre est nativement limité à sa propre « bulle ».

Ce n’est pas qu’une question de confidentialité, c’est aussi une exigence légale (RGPD) et un impératif de confiance. La moindre fuite de données entre concurrents ruinerait la crédibilité de votre plateforme et de votre entreprise.

Étude de cas : La stratégie de TVM Insurance

Face à la complexité de gérer les accès pour ses nombreux clients courtiers, l’assureur TVM a mis en place une solution de gestion des utilisateurs qui illustre parfaitement ce principe. Comme l’explique un de ses responsables, « si notre entreprise doit suivre les employés de nos clients, ce sera une tâche énorme et toujours obsolète ». En choisissant de déléguer l’administration des accès aux courtiers eux-mêmes, TVM s’est assuré que chaque partenaire ne gérait que son propre périmètre, garantissant ainsi une ségrégation naturelle et efficace des données tout en allégeant sa charge administrative.

Pour garantir l’étanchéité des informations, il faut comprendre en profondeur les mécanismes de la ségrégation des données.

WAF (Web Application Firewall) : comment protéger l’extranet contre les injections SQL ?

Si le pare-feu réseau traditionnel protège les portes de votre infrastructure (les ports), le Web Application Firewall (WAF) est le garde du corps personnel de votre application. Il se place devant votre extranet et analyse en temps réel chaque requête HTTP qui arrive. Son rôle est d’identifier et de bloquer les tentatives d’exploitation de vulnérabilités applicatives connues, bien avant qu’elles n’atteignent votre code.

Le titre mentionne l’injection SQL, qui reste une menace classique, mais le rôle d’un WAF moderne est bien plus large. Il protège contre l’ensemble des menaces du Top 10 OWASP, comme les attaques Cross-Site Scripting (XSS), l’inclusion de fichiers malveillants, et surtout, le « Broken Access Control ». Cette dernière catégorie, qui consiste à exploiter des failles dans les contrôles d’accès pour voir ou modifier des données qui ne nous sont pas destinées, est particulièrement critique dans un contexte d’extranet. D’ailleurs, l’analyse de 2021 a montré qu’il y avait plus de 34 CWE mappés pour le contrôle d’accès brisé, ce qui en fait la catégorie la plus préoccupante.

Déployer un WAF sur votre extranet partenaire n’est pas un luxe. C’est une couche de sécurité essentielle qui agit comme un filet de sécurité. Même si une vulnérabilité existe dans votre code, le WAF peut la bloquer en amont, vous donnant le temps de corriger la faille sans exposer les données de vos clients. Il permet de passer d’une sécurité réactive (corriger après une attaque) à une sécurité proactive (bloquer avant l’impact).

Intégrer cette protection est une étape non négociable. Il est donc primordial de comprendre le rôle de bouclier que joue le WAF.

Logs de connexion : qui s’est connecté et a téléchargé tout le portefeuille client dimanche soir ?

La question du titre est le cauchemar de tout RSSI. Et la pire des réponses est : « Je ne sais pas ». Sans une journalisation (logs) complète et une capacité d’analyse, vous êtes aveugle. La sécurité ne consiste pas seulement à empêcher les attaques, mais aussi à pouvoir détecter, comprendre et répondre à un incident lorsqu’il se produit. Or, selon les données du secteur, le délai moyen de découverte d’une violation de données est d’environ 200 jours. Pendant plus de six mois, un attaquant peut rester dans vos murs sans être détecté.

Une stratégie de journalisation efficace pour un extranet partenaire doit répondre à plusieurs questions fondamentales : Qui s’est connecté ? Quand ? Depuis (adresse IP, pays) ? Quoi a-t-il fait (pages vues, fichiers téléchargés, données modifiées) ? Et surtout, ce comportement est-il normal ?

C’est là qu’intervient l’analyse comportementale (UEBA – User and Entity Behavior Analytics). Plutôt que de chercher des signatures d’attaques connues, ces systèmes apprennent le comportement « normal » de chaque utilisateur (heures de connexion, volume de données, types d’actions) et alertent sur les déviations. Un courtier qui se connecte soudainement à 3h du matin depuis une nouvelle localisation et télécharge 10 000 contrats est une anomalie flagrante que ce système doit immédiatement remonter. Les logs ne sont plus un cimetière de données pour l’analyse post-mortem, mais un flux vivant pour la détection en temps réel.

La capacité de détection est aussi cruciale que la prévention. Pour cela, il faut savoir quels signaux surveiller dans les logs de connexion.

IAM (Identity Access Management) : comment s’assurer que chaque gestionnaire n’accède qu’à ses dossiers ?

Si le MFA est la porte d’entrée et le WAF le garde du corps, l’IAM (Identity and Access Management) est le système nerveux central de votre stratégie de sécurité. C’est la plateforme qui gouverne tout le cycle de vie des identités et de leurs droits. L’IAM répond à la question fondamentale : qui a le droit de faire quoi, quand, où et pourquoi ? Pour un extranet partenaire, son rôle est de garantir l’application rigoureuse du principe du moindre privilège.

Les technologies IAM permettent à l’entreprise d’accorder à des utilisateurs extérieurs (clients, partenaires, sous-traitants et fournisseurs) un accès à son réseau par le biais d’applications mobiles, sur site et à la demande, sans pour autant compromettre la sécurité.

– LeMagIT, Définition IAM – Gestion des identités et des accès

Concrètement, une solution IAM mature va centraliser la gestion des identités des courtiers et de leurs collaborateurs. Elle va permettre de définir des rôles précis (« Gestionnaire Sinistre Auto », « Agent commercial IARD ») et d’y associer des droits granulaires (« voir les contrats du portefeuille X », « modifier une adresse sur le contrat Y », « télécharger une quittance »). L’administration déléguée est en réalité une fonctionnalité de l’IAM. De plus, un bon système IAM automatise les revues d’accès : il peut générer des rapports périodiques pour les responsables métiers ou les super-utilisateurs partenaires, leur demandant de certifier que les droits de leurs équipes sont toujours légitimes.

L’IAM transforme un ensemble de comptes hétérogènes en un annuaire d’identités contrôlé, audité et gouverné. C’est le pilier qui assure la cohérence et l’application des politiques de sécurité sur l’ensemble de la plateforme partenaire.

Certificat client : comment être sûr que c’est bien la banque qui envoie le fichier ?

Jusqu’à présent, nous avons beaucoup parlé de l’authentification des *utilisateurs humains*. Mais votre extranet communique probablement aussi avec d’autres *systèmes* : des plateformes bancaires pour les prélèvements, des systèmes partenaires pour des échanges de flux EDI, etc. Comment s’assurer que le serveur qui vous contacte est bien celui qu’il prétend être ? C’est ici qu’intervient le certificat client.

Alors que le certificat serveur (celui qui met le petit cadenas dans le navigateur) prouve l’identité de votre site à l’utilisateur, le certificat client fait l’inverse : il prouve l’identité d’une machine (le client) à votre serveur. C’est une forme d’authentification forte pour les communications de machine à machine (M2M). Il s’agit d’un fichier cryptographique, installé sur le serveur du partenaire, qui est présenté à chaque connexion à votre système. Votre serveur vérifie la validité de ce certificat auprès d’une autorité de certification de confiance avant d’accepter la connexion.

L’utilisation d’un certificat client est la méthode la plus robuste pour sécuriser des flux automatisés. Elle élimine le risque d’une attaque de type « Man-in-the-Middle » où un attaquant pourrait usurper l’identité du serveur partenaire pour vous envoyer de fausses informations ou intercepter des données sensibles. Dans le scénario du titre, si la banque doit déposer un fichier de prélèvements SEPA sur votre extranet via un API, le certificat client garantit de manière cryptographique que la requête provient bien de l’infrastructure légitime de la banque, et non d’un serveur pirate.

À retenir

  • La sécurité d’un extranet partenaire repose moins sur des murs que sur le contrôle des identités et la granularité des accès.
  • Le MFA n’est pas une option ; c’est le standard minimum pour toute ouverture de SI à un tiers.
  • La délégation de l’administration des accès au partenaire est un gain de sécurité et d’efficacité, à condition d’être encadrée et auditée.

Risque cyber assurance : comment sécuriser vos données assurés contre le vol et la demande de rançon ?

Tous les mécanismes que nous avons vus (MFA, IAM, WAF, logs) convergent vers un seul objectif stratégique : maîtriser le risque cyber lié à votre écosystème de partenaires. La plus grande menace aujourd’hui n’est pas forcément une attaque frontale contre votre infrastructure surprotégée, mais une attaque par ricochet via le « maillon faible » de votre chaîne d’approvisionnement numérique : un partenaire courtier moins sécurisé.

L’exemple récent des attaques par « credential stuffing » subies par des enseignes comme Kiabi ou Picard est éclairant. Les attaquants n’ont pas « piraté » les sites, mais ont utilisé des listes de mots de passe fuités sur d’autres plateformes pour se connecter aux comptes des clients qui réutilisaient les mêmes identifiants. Imaginez ce scénario avec un de vos courtiers : si un de ses collaborateurs utilise le même mot de passe pour son compte Facebook et pour votre extranet, la compromission de son compte Facebook devient votre problème de sécurité.

C’est pourquoi la stratégie de « confiance vérifiable » est si cruciale. En imposant le MFA, vous cassez net ce type d’attaque par réutilisation d’identifiants. En déléguant l’administration, vous responsabilisez le partenaire. En cloisonnant les données et en surveillant les logs, vous limitez l’impact potentiel d’une compromission. Vous ne pouvez pas contrôler la maturité sécurité de tous vos partenaires, mais vous pouvez imposer des règles du jeu qui protègent votre propre périmètre et les données de vos assurés contre le vol ou la prise en otage par un ransomware.

Pour revoir la fondation de cette stratégie de défense, il est essentiel de se remémorer l'importance capitale de l'authentification forte.

L’étape suivante, pour tout RSSI, consiste à auditer la maturité de son extranet actuel sur ces piliers et à construire une feuille de route pragmatique pour faire évoluer sa posture de sécurité d’une forteresse statique à un écosystème de confiance agile et contrôlé.

Rédigé par Thomas Giraud, Thomas Giraud est RSSI certifié CISSP et auditeur HDS, avec 18 ans d'expérience dans la sécurisation des données sensibles. Il conçoit des architectures résilientes face aux cyberattaques et pilote les Plans de Reprise d'Activité (PRA). Il accompagne les assureurs dans la certification ISO 27001 et la gestion de crise cyber.
Fraîchement publiés
Signature électronique en assurance : au-delà de la loi, comment bâtir la preuve du consentement ?
Interface responsive design : pourquoi votre devis doit être parfait sur mobile, tablette et desktop ?
Tunnel de vente assurance : comment convertir un visiteur web en assuré sans intervention humaine ?
Gestion déléguée : comment paramétrer votre outil pour laisser la main aux courtiers gestionnaires ?
Extranet courtier : comment offrir à votre réseau un outil qui leur donne envie de travailler avec vous ?
Articles similaires
Traçabilité des données : comment rendre vos logs informatiques opposables en cas de litige ?