Les assureurs sont soumis au règlement sur la résilience opérationnelle numérique DORA (Digital Operational Resilience Act). Un véritable défi en termes d’exigences de conformité complexes et de mise à niveau de leurs systèmes. Pour être en conformité, les assureurs doivent tout d’abord renforcer leur niveau de cybersécurité, en mettant en place des processus de réponse aux incidents et en assumant des coûts de mise en œuvre importants. Ils vont également devoir enclencher des changements organisationnels pour assurer la coordination entre les services et la formation des employés. À faire d’urgence même si, en pratique, le package de texte n’est pas encore complet (voir encadré). Enfin, ils doivent s’adapter aux risques émergents, améliorer la planification de leur continuité d’activité, en trouvant un juste équilibre entre les investissements nécessaires, l’expertise et la gestion du changement face à ces nouvelles exigences réglementaires. Les prestataires de services et acteurs tiers, qui doivent eux aussi se conformer à DORA, ne sont pas épargnés par ces nouveaux défis...
Un sujet d’ajustement budgétaire à court terme
Les exigences de DORA ne vont-elles pas venir freiner la dynamique de transformation digitale enclenchée par de nombreuses compagnies d’assurance, compte tenu des investissements nécessaires et des changements systémiques à mettre en place ? Bien au contraire : DORA est susceptible d’accélérer la modernisation du secteur, en encourageant les assureurs à renforcer la résilience numérique, la cybersécurité et la gestion des risques. Si l’on met de côté les tensions d’ajustement à court terme, en particulier liées à la réaffectation du budget à des fins de conformité, les avantages à long terme d’un renforcement du niveau de sécurité et de la résilience l’emportent largement. Elles devraient justement soutenir les stratégies numériques des assureurs, en les aidant à rester compétitifs et à mieux servir leurs clients.
En effet, les assureurs européens voient en DORA l’établissement d’une norme commune qui permettra d’uniformiser les règles du jeu au niveau européen, en veillant à ce que tous les assureurs de la région soient soumis aux mêmes exigences réglementaires. Si sa mise en place va mobiliser des investissements importants en matière de gestion des risques liés aux TIC, de tests de résilience et de contrôle par des tiers, la plupart des assureurs considèrent DORA comme un élément stratégique contribuant à renforcer leurs avantages concurrentiels en favorisant la relation de confiance avec leurs clients et partenaires.
En parallèle des efforts apportés au renforcement de la sécurité de leurs TICs et à la mise en place de nouveaux processus, les assureurs doivent également s’assurer que leurs fournisseurs tiers se conforment au règlement DORA.
Une occasion de repenser
l’organisation des systèmes
En effet, DORA promeut un modèle de responsabilité partagée entre les compagnies d’assurance d’une part, responsables de la résilience opérationnelle globale, incluant la gestion des risques, du signalement des incidents et de la continuité des activités, et les fournisseurs de services informatiques d’autre part, chargés de maintenir les aspects opérationnels de la résilience numérique, tels que la sécurité de l’information et la continuité des services. Les deux parties doivent donc collaborer étroitement, les assureurs contrôlant la conformité de leurs fournisseurs et veillant à ce que les contrats définissent clairement les attentes. Un fournisseur de services informatiques est, par exemple, tenu d’informer ses clients des incidents majeurs ou des vulnérabilités affectant les opérations. Cela permet aux assureurs de satisfaire aux exigences de déclaration de DORA auprès de l’ACPR, l’organisme de réglementation en France. Cette responsabilité partagée est essentielle pour garantir la réalisation des objectifs de la loi DORA.
En toute logique, les investissements nécessaires à la mise en œuvre des exigences de DORA devront être majoritairement pris en charge par les prestataires de services informatiques, pour les pans du système d’information sous leur responsabilité et dont c’est le cœur de métier. Les assureurs ont tout à gagner à s’appuyer sur ces prestataires, qui renforcent la sécurité de leurs technologies et mutualisent les bénéfices de ces améliorations entre tous leurs clients, plutôt que de s’évertuer à gérer eux-mêmes des systèmes internes obsolètes et propriétaires, tout en supportant l’intégralité des coûts.
À chacun sa spécialité... et ses coûts
Si la responsabilité est bien partagée, chaque partie prenante doit donc investir sur des pans différents selon son métier. Par exemple, un fournisseur de plateforme cloud doit assurer la disponibilité de ses services cloud et se tenir prêt à faire face à tout type d’événement qui menacerait son cloud ; il doit engager ses équipes juridiques et de conformité dans des discussions concernant l’impact du règlement DORA sur les contrats et processus, tout en travaillant en étroite collaboration avec ses clients pour les aider à se mettre en conformité avec les processus métiers pris en charge par des tiers. En contrepartie, il est attendu que ses clients prennent eux-mêmes en charge la conception, le déploiement et les tests de leurs applications hébergées sur le cloud du fournisseur. Ils doivent également documenter et revoir leurs politiques ainsi que leurs protocoles de gestion des risques au moins une fois par an, ou en cas d’incidents majeurs liés aux TIC.
En uniformisant les cadres réglementaires au niveau européen et en incitant à moderniser et sécuriser les systèmes IT, DORA devrait servir de vecteur ou d’accélérateur de la transformation numérique des acteurs de l’assurance. La finalité de DORA et des règlements similaires est de renforcer la confiance des clients et partenaires, en garantissant la sécurité des données et la résilience des systèmes face à tout type d’événement, avec la certitude que les systèmes resteront opérationnels en toutes circonstances.
