Cybersécurité et risques technologiques

À l'instar d'autres grandes entreprises opérant à l'échelle mondiale, l'exposition du Groupe AXA au risque cyber reste élevée, reflétant les défis plus larges auxquels le secteur financier est notamment confronté à mesure que la transformation numérique s'accélère. En réponse, AXA continue de renforcer ses capacités de sécurité et sa gouvernance afin de gérer et d'atténuer efficacement ces menaces en constante évolution.

Les attaques provenant de logiciels de rançons (ransomware) ou d’autres formes disruptives de cyberattaques ont récemment visé de grandes institutions financières et d’autres sociétés, et sont de plus en plus fréquentes et sophistiquées. Cela démontre l’importance de ces risques, ainsi que les dommages opérationnels, financiers et réputationnels, qu’ils peuvent causer. Ainsi, ces dernières années, au vu de la dépendance croissante du secteur financier à l’égard des technologies de l’information et de la communication, les autorités de surveillance ont été amenées à prêter une attention accrue aux risques de violation de la sécurité informatique.

Le Conseil d’Administration d’AXA assure le suivi des systèmes de contrôle interne et de gestion des risques, notamment des risques cyber et technologiques

Le Conseil d’Administration a la charge d’assurer la mise en œuvre d’un dispositif de contrôle interne adéquat et efficace à travers le Groupe. Dans ce contexte, il procède aux contrôles et vérifications qu’il juge opportuns. Avec un accroissement des menaces cyber et technologiques ces dernières années, le Conseil d’Administration est particulièrement attentif à ces sujets, notamment à la gestion des risques et contrôles liés aux incidents cyber ainsi qu’aux initiatives de réduction de risques reportées par les comités de gouvernance interne au Groupe AXA.

Après avoir rejoint le premier quartile des entités les plus sécurisés du secteur financier sur les 6 dernières années (analyse comparative de Control Risks Group), AXA compte désormais centrer sa stratégie sécurité sur sa résilience et sa capacité à faire face aux menaces. A ces fins, le comité d’Audit du groupe a défini 6 objectifs stratégiques à horizon 2026 :

• Renforcement de nos fondations sécurité
• Renforcement de la confiance numérique
• Être résilients par conception
• Protéger les personnes
• Jouer un rôle de leader vis-à-vis de la société
• Revoir notre mode opératoire et notre gouvernance

Les membres du Conseil d’Administration reçoivent également des formations dédiées en lien avec les risques technologiques et risques de sécurité, et le Comité d’Audit du Groupe est régulièrement informé du profil de risque cyber d’AXA ainsi que du panorama des risques émergents.

La sécurité est au coeur AXA

La sécurité au sein d’AXA est gérée de manière holistique, en regroupant sous le même toit les trois piliers de la sécurité : la sécurité de l’information, la sécurité physique et la résilience opérationnelle. Les exigences de sécurité sont formalisées sous deux formes de documentation :

• Un Standard de sécurité, plus haut niveau d’exigence au sein d’AXA
• Un ensemble de plus de 25 instructions de sécurité détaillant les exigences par domaine d’application

Le Directeur Général de chaque entité a la responsabilité de mettre sa structure en conformité avec le standard de sécurité, en s’assurant que :

• L’entité dispose d’une fonction sécurité, sous la responsabilité d’un Directeur de la Sécurité, couvrant l’intégralité des pratiques de sécurité
• Le Directeur de la sécurité dispose d’un financement adéquat pour couvrir les activités courantes de sécurité, ainsi que les investissements continus nécessaires pour mettre en œuvre les objectifs stratégiques du groupe
• L’entité est en conformité avec l’ensemble des instructions de sécurité, et fournit au groupe de la visibilité sur le niveau d’efficacité de leurs activités et contrôles de sécurité

Les instructions de sécurité quant à elles formalisent des exigences de niveau opérationnel et technique pour garantir l’accomplissement des objectifs ci-dessous (lite non-exhaustive) :

• Protection et intégrité des données métier et client
• Surveillance du panorama de la menace (interne et externe)
• Prévention de la fuite des données et cryptage des données
• Authentification, contrôle d’accès et gestion des accès à privilège
• Application des correctifs de sécurité, gestion des vulnérabilités, des incidents de sécurité et isolation rapide des réseaux
• Gestion de la sécurité des fournisseurs et prestataires de services
• Résilience, continuité d’activité et plans de reprise d’activité
• Sensibilisation des employés sur les sujets de sécurité

Chaque employé a un rôle à jouer

Tous les employés d’AXA ont un rôle à jouer pour permettre à AXA, ses clients et ses partenaires d’être parfaitement protégés face aux risques cyber et technologiques croissants. C’est pourquoi AXA s’est engagé à former annuellement ses collaborateurs aux enjeux de sécurité et de protection des données. Cette formation a été conçue pour permettre aux employés d’AXA de se familiariser avec les comportements à adopter, et leur donner la capacité d’identifier et réagir rapidement aux menaces immédiates ou aux situations anormales (hameçonnage, imitations/usurpations d’identité, ingénierie sociale, etc.). En 2024, et comme chaque année depuis 2019, 100% des employés  AXA ont répondu avec succès au quiz final de la formation sécurité et protection des données.

2025 marque également les 10 ans de notre maque interne  Care, Protect, Alert  (Vigilance, Protection, Alerte) qui est utilisée pour promouvoir les bonnes pratiques de sécurité. Le succès de cette marque et des campagnes de formation successives auprès des employés d’AXA a permis d’étendre la formation aux autres bonnes pratiques à promouvoir au sein d’AXA, comme l’usage responsable de l’intelligence artificielle, le lancement d’alerte interne, l’éthique et la lutte anti-corruption.

Un environnement de contrôle permanent, à plusieurs niveaux, permettant une détection et correction plus efficace des menaces

L’engagement d’AXA en matière de sécurité est démontré par un environnement de contrôle structuré sur plusieurs niveaux, conçu pour gérer et remédier les risques cyber et technologiques. Au cœur de ce dispositif, les équipes sécurité du groupe, les équipes de sécurité locales au sein des entités et l’audit interne jouent un rôle clé.

Les équipes de sécurité de nos entités supervisent l’environnement de sécurité de leur propre entité, implémentant divers protocoles, surveillant l’état de la menace et répondant aux divers incidents de sécurité. Les équipes de sécurité du groupe quant à elles, définissent les exigences et s’assurent de leur bonne application au sein du tissu d’entités du groupe, notamment en développant des politiques standards, en réalisant des évaluations du niveau de sécurité local et en fournissant un support, humain et technologique.

L’audit interne réalise des revues indépendantes et régulières de la posture de sécurité d’AXA, notamment pour évaluer l’efficacité des contrôles, identifier des vulnérabilités, et fournir des indications objectives sur l’état de la menace. Ces évaluations aident à prioriser les actions et accélérer les efforts de remédiation, afin de réduire l’exposition au risque. Les revues d’audit récentes ont couvert des domaines comme la gouvernance de la sécurité (au travers de ses trois piliers), la sécurité de nos technologies (environnements cloud, outils d’administration, gestion des tests d’intrusion, …) et notre capacité à réagir (Centre d’opérations de sécurité, réponse aux rançongiciels, …)

En s’appuyant sur ces trois niveaux, la sécurité AXA couvre les risques rapidement et efficacement, en ajustant constamment sa stratégie d’action pour protéger ses clients, partenaires et parties prenantes des menaces cyber et technologiques. Cette approche encourage également une culture de vigilance et de gestion des risques proactive au sein de l’ensemble de l‘organisation.

Une surveillance 24/7 de l’environnement technologique

AXA dispose d’un Centre d’Operations de Sécurité (SOC) opérationnel 24/7, surveillant des centaines de milliards d’événements chaque semaine, qui est en capacité de réagir promptement à toute menace ou incident et ainsi garantir la sécurité d’AXA.

Cette équipe a pour missions d’anticiper, détecter et réagir face aux incidents de sécurité, et travaille sans relâche à l’identification des menaces potentielles avant qu’elles ne se matérialisent et se transforme en problématique critique pour l’organisation. Cette équipe de réponse aux urgences technologiques (Computer Emergency Response Team – CERT) est enregistrée officiellement auprès des autorités, et se repose sur un environnement certifié ISO 27001 pour traiter efficacement les menaces.

Par ailleurs, le SOC joue également un rôle crucial dans la protection de la marque AXA d’une utilisation illégitime, notamment pour des tentatives d’utilisation de la marque pour abuser de la confiance de prospects et clients. Le SOC contribue notamment à lutter contre les sites d’hameçonnage, les faux comptes sur les réseaux sociaux, et les diverses usurpations d’identité présentes sur les messageries (WhatsApp, Signal, …), qui pourraient porter atteinte à la réputation d’AXA et la confiance de nos clients.