EDI Courtage veut fédérer les identités des assureurs

Le règlement européen Dora pousse à revoir la sécurité en place

Le collaborateur d’un cabinet de courtage, qui commence sa journée, doit se connecter à l’ensemble des sites extranet des compagnies d’assurance, pour avoir accès aux tarifs et gérer avec les assureurs concernés les sinistres de ses clients. Mais voilà, explique Laurent Perret, « le renforcement des règles de cybersécurité et l’arrivée de Dora poussent les assureurs à mettre en place de la MFA sur leurs accès. Or cela vient à l’encontre du business. Le collaborateur qui, le matin, mettait 3 minutes à se connecter à l’ensemble de ses extranets va en passer plus de 15 ».

Le courtier qui utilise l’application d’authentification multifacteur Microsoft Authenticator ou une application équivalente, doit ainsi saisir de multiples codes et doit scroller sur son application pour trouver le bon. « Avec le renforcement des mesures de sécurité dans le secteur, chaque assureur fait en sorte que les sessions durent le moins longtemps possible. L’utilisateur est déconnecté au bout de 2 ou 3 heures, ce qui vient directement impacter le travail du courtier. Nous souhaitions transformer ces pratiques avec un système avec un seul identifiant et un seul mot de passe et éviter pour l’utilisateur d’avoir toutes ces identités à gérer », retrace le DG d’EDI Courtage.

« À cette époque […], de grands noms de l’assurance ont été paralysés quelques semaines par des attaques et nous avons pris conscience qu’il fallait avant tout sécuriser le patrimoine informationnel des courtiers ».

Il y a trois ans, lorsque l’idée de fédérer ces identités dans le cloud est lancée, il n’était pas encore question de Dora. Il s’agissait alors essentiellement de renforcer la résilience des courtiers face aux cyberattaques. Selon Laurent Perret, « à cette époque, il y avait de nombreuses cyberattaques en France, et notamment à l’encontre du secteur de l’assurance. De grands noms de l’assurance ont été paralysés quelques semaines par des attaques et nous avons pris conscience qu’il fallait avant tout sécuriser le patrimoine informationnel des courtiers ».

Depuis, la réglementation européenne est venue fixer un cadre. Pour Laurent Perret, Dora a conforté l’étude qui avait été menée et qui avait conclu à la nécessité de mettre en place des solutions de gestion d’identité et d’authentification forte. « L’entrée en vigueur de Dora le 17 janvier 2025 a placé ces sujets en haut de la pile des dossiers à traiter des assureurs et des courtiers qui cherchent des solutions pour protéger leurs actifs ».

Toutes les solutions proposées par EDI Portage fonctionnent dans un modèle cloud. Or, au début de son étude de marché, l’éditeur s’est confronté aux réticences des assureurs à externaliser la gestion des identités des utilisateurs de leurs extranets. « Lorsque nous avons présenté notre projet aux majors de l’assurance Axa, Generali, Allianz, groupe AFD et Covea, leur première réaction a été que jamais ils n’externaliseraient la gestion de leurs identités à un tiers. Nous avons discuté avec eux de la valeur ajoutée que nous pouvions leur délivrer et, en 2022, nous avons pu sentir un changement de paradigme. Nos interlocuteurs estiment qu’il est maintenant possible d’externaliser les identités et donc d’opter pour le cloud », affirme le DG d’EDI Courtage.

Deux ans plus tard, l’IDaaS est aujourd’hui l’architecture de référence dans la gestion des identités, les assureurs se sont dotés de telles solutions pour leurs propres besoins et cette externalisation n’est plus un sujet pour les acteurs du secteur.

EDI Courtage a opté pour l’offre Memority hébergée chez S3ns

« Il était important pour nous de faire ce choix d’une plateforme souveraine […]. Clairement, mes clients veulent de moins en moins travailler avec les GAFAM ».

Pour porter son service, EDI Portage a fait le choix d’une solution IDaaS souveraine, éditée par le Français Memority, et portée sur un cloud lui aussi souverain, celui de S3ns : « il était important pour nous de faire ce choix d’une plateforme souveraine, car dans ce secteur, c’est un facteur clé de décision. Clairement, mes clients veulent de moins en moins travailler avec les GAFAM ».

En outre, les capacités de gestion du risque de la plateforme vont permettre à EDI Courtage de proposer des accès passwordless lorsque le niveau de confiance le permettra. « Dans notre secteur, nous avons facilement accès à l’infrastructure du collaborateur : son navigateur et son smartphone professionnel, notamment. On peut identifier le navigateur qu’il utilise habituellement et ainsi simplifier l’accès de ces utilisateurs lorsqu’ils sont dans un environnement de confiance », précise Laurent Perret.

Alors que Dora et les impératifs de cybersécurité se traduisent pour les utilisateurs en contraintes additionnelles, l’IDaaS vient leur simplifier la vie, tout en améliorant leur expérience, et en relevant le niveau de sécurité de ses identités. « Le courtier doit faire l’analyse des propositions et les exposer à son client avec les meilleurs conseils possibles par rapport à son besoin. Si, aller chercher une offre lui demande du temps, il va réduire le nombre d’offres consultées. Si la technologie lui rend du temps, il sera plus efficient et plus compétitif ».

Le client du cabinet de courtage est lui aussi gagnant, puisque son courtier va naviguer simultanément sur un plus grand nombre de sites extranet, et potentiellement, lui trouver de meilleures offres, car elles lui sont plus facilement accessibles.