« back

Commerce Électronique magazine recognizes Present's expertise in security.

Confidentialité et discrétion assurées
Par Alain Beaulieu

Pour Le BEA, qui s'est doté d'un extranet pour le traitement des réclamations, il n'était pas question de faire de compromis sur la sécurité.

Le Bureau d'expertise des assureurs (BEA) offre à l'industrie canadienne des assurances des services d'expertise et de gestion de sinistres. Il a notamment pour mandat de stocker l'ensemble des dossiers de réclamation en cours, lesquels peuvent impliquer plusieurs compagnies d'assurances, qui sont ensuite mis à la disposition des courtiers d'assurances et de leurs clients. Par conséquent, la masse de documents qu'il gère est faramineuse.

"Certains dossiers restent chez nous ad vitam aeternam, alors que pour d'autres, une fois fermés, on les retourne aux assureurs qui les gardent dans leurs archives, explique la directrice des services informatiques de BEA, Tatiana Sragar. Dans tout le travail du BEA il y a une énorme quantité de papier.

"Dans le dossier, qui a en moyenne 3 cm d'épaisseur, il n'y a pas seulement des informations primaires, comme le nom de l'assuré, tout un travail d'expertise s'ajoute à cela, et c'est lui qui génère du papier. Tout dépendant de l'importance du sinistre, il peut y avoir plusieurs rapports qui peuvent avoir jusqu'à 50 pages chaque."

Jusqu'à tout récemment, ces dossiers étaient conservés au sein d'une base de données, puis imprimés et transmis aux courtiers. "Même si les rapports sont conservés sous forme électronique, c'est très difficile d'envoyer les rapports à toutes les personnes concernées", reconnaît Mme Sragar.

C'est pour remédier à cela que le BEA a décidé en septembre dernier de mettre sur pied un extranet donnant accès à l'ensemble des dossiers de réclamation. Terminée en février dernier, la phase un du projet ne supporte que des fonctions de consultation et vise essentiellement les courtiers d'assurances. Le système peut supporter un total de 6 000 utilisateurs.

"Le but de ce système-là était d'éliminer le papier et de donner aux courtiers d'assurances, qui travaillent en général pour plusieurs clients qui sont assurés par plusieurs compagnies d'assurance, un accès centralisé à l'information via Internet, explique Mme Sragar. Donc pour un courtier c'est plus facile d'aller sur notre site pour consulter d'un coup tous les éléments d'un même dossier. C'est pour ça qu'on l'a appelé Third Party Administrator, TPA."

"On a défini plusieurs fonctions, dont la présentation à l'écran du dossier, des transactions financières produites en rapport avec le dossier et des différents documents électroniques attachés au dossier, comme les rapports d'assurance et les photos, de même que les rapports statistiques pour nos clients. On a actuellement quelque 300 types de rapports statistiques. La programmation de ces rapports aurait été une tâche énorme, donc on a voulu trouver une solution qui nous éviterait de faire cette reprogrammation."

Deuxième phase

À la demande des compagnies d'assurance, le BEA a décidé au printemps dernier d'accroître l'interactivité de l'extranet, qui permettra la modification des dossiers en ligne, et de l'étendre aux compagnies d'assurances et aux assurés. C'était le coup d'envoi de la phase deux du projet qui verra sa conclusion cet automne.

"À notre grande surprise ce sont surtout des compagnies d'assurances qui demandent d'avoir accès à notre système pour consulter les dossiers en ligne et avoir accès aux statistiques, indique Mme Sragar. Ce ne sont pas vraiment les courtiers [qui se sont montrés les plus enthousiastes], bien que ça ait été conçu pour eux.".

"Dans la deuxième phase, tout sera interactif, dans le sens où les clients et les experts pourront modifier ou ajouter des informations, faire des demandes de chèques, ajouter des réserves ou des réclamants dans le dossier, etc. On veut aussi ajouter un volet public de prise de réclamation pour Monsieur Tout-le-monde. La deuxième phase vise à accélérer le traitement des réclamations."

Malgré l'intérêt démontré par les assureurs, l'acceptation de la nouvelle façon de faire n'est pas automatique. Une réticence au changement est encore palpable. "Ils ont un peu peur de passer par Internet, confie la directrice. Nos clients se questionnent sur le niveau de sécurité d'Internet. On essaie de les rassurer en leur expliquant le système de protection qu'on a mis en place. Il faut dire que les gens dans l'industrie de l'assurance sont plutôt conservateurs. Même si le dossier est complètement électronique, ils vont préférer l'avoir sous forme papier. Mais c'est en train de changer."

Webisation et sécurité

La réalisation des deux phases du projet a été confiée à l'intégrateur Web montréalais Présent Groupe Informatique. En essence, le projet a consisté à appliquer une interface Web à la base de données classique du BEA.

Mais au delà de la webisation des données, le projet a nécessité la mise en place de mesures de protection importantes, étant donné la nature confidentielle des informations auxquelles il donne accès.

"La sécurité est la première chose qu'on a discuté quand on a commencé le projet, parce que toutes les informations contenues dans la base de données sont strictement confidentielles, souligne Mme Sragar. On voulait non seulement que le système soit sécuritaire, mais il fallait aussi qu'il soit rapide à développer et qu'on puisse le faire évoluer."

C'est pour cela que BEA, éclairé par Présent, a opté pour une approche de sécurité mixte, matérielle et logicielle, et la duplication des serveurs. "On a décidé très rapidement qu'on allait mettre un serveur Internet séparé du serveur de la base de données classique, précise la directrice. On roule donc avec deux serveurs. Quand les gens accèdent au système, c'est une copie de la base de données qu'ils consultent."

En fait, l'internaute n'accède jamais directement au réseau du BEA, lequel est protégé par un système de double garde-barrière : un garde-barrière matériel pour le réseau et le serveur central et un garde-barrière logiciel pour le serveur Internet.

"On n'a rien du côté public, explique Michel Fecteau, directeur de projet, affaires électroniques, Présent Groupe Informatique. Le serveur qui est accédé du public est déjà dans un zone sécurisée, le DMZ. Donc, les services sont déjà filtrés avant même que l'utilisateur se rende au serveur Web lui-même."

"Ça, c'est la protection contre les intrusions non-voulues, ajoute Mme Sragar. Le deuxième niveau de sécurité est la sécurité donnée par le système d'exploitation du serveur Web lui-même. Il y a une portion publique à laquelle tout le monde peut accéder et une portion privilégiée qui nécessite un mot de passe et un code d'usager, dont la longueur est indéfinie. Il y a une hiérarchie d'utilisateurs et de droits. Les seules personnes qui ont l'autorité complète sont l'administrateur du site et l'administrateur du compte national."

Pour sa part, la sécurité des échanges est assurée par le serveur Domino de Lotus qu'on trouve au niveau du serveur Web. "Les données sont encryptées selon le protocole SSl, explique M. Fecteau. C'est l'encryption normale, mais c'est géré par Domino. Donc, quand on accède par fureteur Web, c'est géré SSl, et les experts qui travaillent à partir d'un client Notes utilisent le niveau d'encryption offert par Notes lui-même."

"Le premier point qui a été considéré est la sécurité, c'est pour ça qu'on a opté pour la solution AS/400 d'IBM et Domino de Lotus, qui sont deux produits reconnus pour leur sécurité, ajoute-t-il. Alors que l'AS/400 agit à titre de garde-barrière matériel, Domino gère la sécurité des utilisateurs jusqu'au niveau de chaque champs d'information. Et à ça on ajoute la sécurité offerte par le système OS/400. On ne voulait pas prendre de chance."

Source : Commerce Électronique magazine