Nouvelle réglementation DORA : le défi pour les assureurs d’une gestion renforcée de leurs risques informatiques et cyber

Une réponse aux menaces cyber fondée sur 4 grands piliers

DORA répond à un contexte marqué par les crises et les incidents menaçant la continuité de l’activité économique globale. Ces évènements impactent plus spécifiquement les institutions financières, puisque ces dernières sont porteuses de la solidité des économies, et qu’elles ont donné ces dernières années une place incontournable aux outils digitaux, à la robotisation et à l'intelligence artificielle dans leurs systèmes informatiques, se rendant ainsi plus vulnérables.

Les 4 grands piliers de DORA ont ainsi pour objectif un meilleur encadrement des risques cyber et informatiques :

• Le premier pilier de DORA se focalise sur la gestion des risques liés aux Technologies de l’information et de la communication (TIC) renforçant ainsi des exigences préexistantes : mise en place d’un cadre de gestion des risques comprenant l’identification des fonctions critiques et importantes, les risques associés et une cartographie des actifs TIC.
• Le second pilier quant à lui concerne le signalement des incidents liés aux TIC et introduit pour cela une méthodologie standard de classification des incidents.
• Le troisième pilier se focalise sur l’aspect préventif, en instaurant des tests de résilience opérationnelle très poussés (TLPT). Ce pilier comporte de nombreuses nouveautés. Ainsi, les entreprises devront définir un programme de tests avancés, exécutés par des parties indépendantes et comprenant une série d’évaluations, de tests et de méthodologies précises.
• Enfin, le quatrième pilier de la réglementation DORA établit une classification des tiers fournisseurs critiques. Un contrôle de ces tiers sera effectué par l’ACPR qui pourra réaliser des audits sur site, émettre des recommandations et imposer des sanctions pécuniaires en cas de non-conformité.

Un impact direct pour les assureurs

Pour les assureurs, de nombreux défis sont à relever, puisque divers dispositifs devront être mis en place ou renforcés afin de se conformer à ces nouvelles exigences. Désormais, les incidents classés comme majeurs devront être signalés à l’autorité de régulation compétente et un rapport de suivi devra être réalisé à destination des acteurs de la place. Il sera également exigé un réexamen de la politique de sécurité sur base annuelle, ainsi qu’en cas de survenance d’incidents majeurs, conformément aux instructions des autorités de surveillance ou aux conclusions des tests de résilience ou des processus d’audit pertinents.

Par ailleurs, les conditions contractuelles avec les prestataires TIC devront être revues, notamment en ce qui concerne les phases de résiliation et post-contractuelle. Plusieurs grands groupes ont déjà décidé de mettre en place des réflexions complémentaires autour de la gestion des risques informatiques, afin de mieux appréhender les relations avec les fournisseurs TIC dits critiques et les tests de résilience avancés à définir. Pour autant, DORA représente également une source d’opportunités indéniable en permettant de mettre en cohérence les directives existantes et en s’érigeant en réglementation chapeau, par exemple concernant le reporting des incidents de sécurité.

En effet, cette nouvelle réglementation a pour ambition de capitaliser sur les règles en vigueur pour asseoir un cadre européen homogène et unique, permettant aux assureurs d’optimiser leurs processus internes.  C’est par exemple le cas pour le programme de tests avancés : tous les tests de pénétration effectués en France seront valables pour les autres pays européens, ce qui permettra aux acteurs financiers de rationaliser leurs coûts de mise en conformité et ne nécessitera plus de recourir systématiquement à des accords bilatéraux pour la reconnaissance de ces tests.

Une opportunité d’améliorer sa gestion des risques mais dont l’application concrète reste encore à préciser

DORA aspire donc à enrichir, préciser et coordonner les exigences préexistantes en y ajoutant un enjeu de gouvernance et d’implication du top management qui pouvait paraître trop faible dans les réglementations précédentes. Ces exigences permettent ainsi une gestion plus fluide et surtout plus exhaustive des risques cyber et informatiques, nécessaire aux assureurs pour une parfaite maîtrise de leur activité.

Cette réglementation répond ainsi aux préoccupations actuelles des assureurs puisque les menaces sont bien réelles, comme le démontrent les multiples attaques cyber dont ont été victimes plusieurs assureurs français ces dernières années. Une compréhension rapide de cette réglementation et de ses impacts opérationnels, stratégiques et organisationnels, ainsi qu’un encadrement adapté dans ces actions permettront aux assureurs d’aborder sereinement cette mise en conformité.

Plusieurs zones d’ombre demeurent, issues du fait que le texte n’a pas encore été transposé en textes de niveaux 2 et 3. L’ACPR disposant de 6 à 18 mois pour publier les normes techniques réglementaires (RTS, Regulatory Technical Standards), les délais de mise en conformité seront-ils suffisants d’ici la mise en application de la réglementation ? La portée des tests étant très large, tous les assureurs pourront-ils disposer de ressources suffisantes pour se conformer à la réglementation ? La mise en conformité des clauses présentes dans les contrats fournisseurs avec celles exigées par DORA sera-t-elle bien appliquée ?  Autant de questions sur lesquelles rester vigilants, et qui mériteront de nouvelles analyses approfondies.