Plongez au cœur des enjeux clés de l’assurance avec Proxicare. Dans cette série d’articles, nous analysons les tendances, décryptons les évolutions du secteur et partageons notre expertise pour mieux comprendre les défis et les opportunités qui façonnent l’avenir de l’assurance. Premier volet de cette série, un focus sur le Digital Operational Relience Act, plus connu sous l’acronyme DORA.

Le Digital Operational Resilience Act (DORA) est une réglementation européenne visant à renforcer la résilience opérationnelle numérique des entités financières, y compris les compagnies d’assurance. Adoptée en novembre 2022, elle impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC).

1. CADRE HISTORIQUE

La proposition de DORA a été introduite par la Commission européenne en septembre 2020 dans le cadre de sa stratégie pour la finance numérique. L’objectif était de créer un cadre réglementaire harmonisé pour assurer la résilience opérationnelle numérique des entités financières face à l’augmentation des cybermenaces. Après des négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le règlement en novembre 2022.

Ressources à lire :

• Digital Operational Resilience Act — Wikipédia
• DORA – Digital Operational Resilience Act – Point sur la réglementation

2. LA REGLEMENTATION AUJOURD’HUI

DORA impose aux entités financières, y compris les compagnies d’assurance, plusieurs obligations pour renforcer leur résilience numérique :

• Gestion des risques liés aux TIC : Mise en place de cadres robustes pour identifier, évaluer et atténuer les risques liés aux technologies de l’information. Cela inclut la sécurité des réseaux et des systèmes d’information soutenant les processus opérationnels.
• Notification des incidents informatiques : Obligation de signaler aux autorités compétentes tout incident majeur lié aux TIC afin de permettre une réponse coordonnée et efficace.
• Tests de résilience opérationnelle numérique : Réalisation régulière de tests pour évaluer la capacité de l’entité à résister et à se remettre d’incidents informatiques.
• Gestion des risques liés aux prestataires de services TIC : Évaluation et surveillance des risques associés à l’externalisation de services TIC, y compris la mise en place de plans de contingence.

Petit rappel des prochaines deadlines :
– 31 mars 2025 : transmission de l’inventaire des tiers à l’ACPR
– Juin 2025 : transmission du rapport de réexamen du cadre de gestion des risques

Ressources à lire :

• DORA et le secteur de l’assurance : ce que la nouvelle réglementation européenne implique
• La réglementation DORA : ce qu’il faut savoir

3. ENJEUX FUTURS

Avec l’évolution rapide des technologies et l’augmentation des cybermenaces, les compagnies d’assurance doivent anticiper plusieurs défis :

• Adaptation continue aux nouvelles menaces : Les cyberattaques deviennent de plus en plus sophistiquées, nécessitant une vigilance constante et une mise à jour régulière des stratégies de défense.
• Intégration de technologies émergentes : L’adoption de l’intelligence artificielle et de la blockchain offre des opportunités, mais introduit également de nouveaux risques qui doivent être gérés efficacement.
• Collaboration renforcée : La coopération entre les entités financières, les régulateurs et les prestataires de services TIC sera essentielle pour partager des informations sur les menaces et les meilleures pratiques.

Ressources à lire :

• La réglementation DORA sur la résilience opérationnelle numérique
• Règlement DORA : guide complet pour se préparer

4. IMPACTS ORGANISATIONNELS

1. Révision des processus TIC :
   • Mise en place de cadres robustes pour évaluer et gérer les risques liés aux technologies de l’information et de la communication.
   • Création d’une cellule interne dédiée à la gestion de la cybersécurité et à la résilience numérique.
2. Renforcement des capacités de réponse aux incidents :
   • Développement de plans d’action spécifiques pour gérer les incidents informatiques majeurs.
   • Mise en œuvre de processus de notification rapide des incidents aux autorités compétentes.
3. Automatisation et tests réguliers :
   • Les organisations doivent intégrer des outils d’automatisation pour surveiller et évaluer la sécurité de leurs systèmes TIC.
   • Planification annuelle de tests approfondis (simulation de cyberattaques, stress-tests numériques) pour évaluer leur résilience.
4. Intégration des prestataires critiques :
   • Les compagnies d’assurance doivent auditer leurs fournisseurs de services TIC pour garantir leur conformité avec les exigences DORA.
   • Gestion contractuelle renforcée pour encadrer les relations avec des prestataires stratégiques comme les fournisseurs cloud.
5. Nouvelles compétences et formation :
   • Formation des équipes IT et des dirigeants sur les obligations DORA, notamment en gestion de crise et cybersécurité.
   • Recrutement de talents spécialisés dans la gestion des risques numériques et la conformité réglementaire.

Conséquences :

• Les organisations qui n’investissent pas dans des systèmes modernes risquent de voir leur résilience compromise.
• Pression accrue sur les DSI (directeurs des systèmes d’information) pour répondre à ces obligations.
• Accélération de la transformation numérique dans le secteur assurantiel pour s’adapter aux exigences.