La digitalisation de la gestion des risques
L’équipe Risk Consulting vous accompagne dans votre projet de digitalisation de vos activités de gestion des risques, de contrôle interne et d’audit interne.
DORA répond à un contexte marqué par les crises et les incidents menaçant la continuité de l’activité économique globale. Ces évènements impactent plus spécifiquement les institutions financières, puisque ces dernières sont porteuses de la solidité des économies, et qu’elles ont donné ces dernières années une place incontournable aux outils digitaux, à la robotisation et à l'intelligence artificielle dans leurs systèmes informatiques, se rendant ainsi plus vulnérables.
Les 4 grands piliers de DORA ont ainsi pour objectif un meilleur encadrement des risques cyber et informatiques :
Pour les assureurs, de nombreux défis sont à relever, puisque divers dispositifs devront être mis en place ou renforcés afin de se conformer à ces nouvelles exigences. Désormais, les incidents classés comme majeurs devront être signalés à l’autorité de régulation compétente et un rapport de suivi devra être réalisé à destination des acteurs de la place. Il sera également exigé un réexamen de la politique de sécurité sur base annuelle, ainsi qu’en cas de survenance d’incidents majeurs, conformément aux instructions des autorités de surveillance ou aux conclusions des tests de résilience ou des processus d’audit pertinents.
Par ailleurs, les conditions contractuelles avec les prestataires TIC devront être revues, notamment en ce qui concerne les phases de résiliation et post-contractuelle. Plusieurs grands groupes ont déjà décidé de mettre en place des réflexions complémentaires autour de la gestion des risques informatiques, afin de mieux appréhender les relations avec les fournisseurs TIC dits critiques et les tests de résilience avancés à définir. Pour autant, DORA représente également une source d’opportunités indéniable en permettant de mettre en cohérence les directives existantes et en s’érigeant en réglementation chapeau, par exemple concernant le reporting des incidents de sécurité.
En effet, cette nouvelle réglementation a pour ambition de capitaliser sur les règles en vigueur pour asseoir un cadre européen homogène et unique, permettant aux assureurs d’optimiser leurs processus internes. C’est par exemple le cas pour le programme de tests avancés : tous les tests de pénétration effectués en France seront valables pour les autres pays européens, ce qui permettra aux acteurs financiers de rationaliser leurs coûts de mise en conformité et ne nécessitera plus de recourir systématiquement à des accords bilatéraux pour la reconnaissance de ces tests.
DORA aspire donc à enrichir, préciser et coordonner les exigences préexistantes en y ajoutant un enjeu de gouvernance et d’implication du top management qui pouvait paraître trop faible dans les réglementations précédentes. Ces exigences permettent ainsi une gestion plus fluide et surtout plus exhaustive des risques cyber et informatiques, nécessaire aux assureurs pour une parfaite maîtrise de leur activité.
Cette réglementation répond ainsi aux préoccupations actuelles des assureurs puisque les menaces sont bien réelles, comme le démontrent les multiples attaques cyber dont ont été victimes plusieurs assureurs français ces dernières années. Une compréhension rapide de cette réglementation et de ses impacts opérationnels, stratégiques et organisationnels, ainsi qu’un encadrement adapté dans ces actions permettront aux assureurs d’aborder sereinement cette mise en conformité.
Plusieurs zones d’ombre demeurent, issues du fait que le texte n’a pas encore été transposé en textes de niveaux 2 et 3. L’ACPR disposant de 6 à 18 mois pour publier les normes techniques réglementaires (RTS, Regulatory Technical Standards), les délais de mise en conformité seront-ils suffisants d’ici la mise en application de la réglementation ? La portée des tests étant très large, tous les assureurs pourront-ils disposer de ressources suffisantes pour se conformer à la réglementation ? La mise en conformité des clauses présentes dans les contrats fournisseurs avec celles exigées par DORA sera-t-elle bien appliquée ? Autant de questions sur lesquelles rester vigilants, et qui mériteront de nouvelles analyses approfondies.
Ce site web utilise des cookies.
Certains de ces cookies sont nécessaires, tandis que d'autres nous aident à analyser notre trafic, à diffuser de la publicité et à offrir des expériences personnalisées pour vous.
Pour plus d'informations sur les cookies que nous utilisons, veuillez vous référer à notre politique de confidentialité.
Ce site web ne peut pas fonctionner correctement sans ces cookies.
Les cookies analytiques nous aident à améliorer notre site web en collectant des informations sur son utilisation.
Nous utilisons des cookies marketing pour améliorer la pertinence de nos campagnes publicitaires.