DORA : un défi majeur pour les compagnies d'assurance
Les menaces cyber (par exemple le rançongiciel, ou un logiciel malveillant) sont aujourd'hui bien réelles. On peut partir du principe aujourd'hui que les incidents sur les technologies de l’information et de la communication (« TIC »), vont se produire et qu'il faut être résilient. Les multiples attaques cyber qui augmentent d'année en année justifient la création de standards élevés afin de garantir la résilience opérationnelle numérique dans le secteur financier.
Dans ce contexte, un cadre clair et cohérent pour la gestion des risques opérationnels a été développé par les législateurs européens. Ce règlement DORA qui est applicable directement dans l’Union européenne vise à améliorer la résilience opérationnelle numérique des compagnies d'assurance.
Qu’est le règlement Dora ?
Dora couvre plusieurs aspects des risques opérationnels numériques :
la gestion des risques liés aux TIC ;
la gestion et la notification des incidents liés aux TIC ;
les tests de la résilience opérationnelle numérique ;
la gestion des risques liés aux prestataires tiers de services TIC ; et
le partage d’informations en matière de cybersécurité.
Plus concrètement, ce règlement implique entre autres le renforcement (ou la création) par les compagnies d’assurance d’un cadre de gestion des risques liés aux TIC. Les compagnies d'assurance vont aussi devoir détecter les incidents liés aux TIC et notifier ces incidents aux autorités compétentes. Enfin, les compagnies d'assurance vont devoir établir des registres d'information concernant les prestataires tiers de services TIC. DORA instaure aussi des tests de résilience opérationnelle obligatoires connus sous le nom de « TLPT » pour les plus grandes entreprises d'assurance.
Dora chamboule l'organisation interne des entreprises d'assurance sur certains aspects
La direction générale est responsable de la mise en œuvre de la stratégie de résilience opérationnelle et va devoir acquérir des connaissances pour prendre des décisions importantes. Par ailleurs, la direction des risques des compagnies d'assurance sont responsables de l'identification, l'évaluation, et l'atténuation des risques liés aux TIC et de l'efficience des plans de continuité des activités. Enfin, la direction des systèmes d'information sont responsables de la conception, du développement, de la maintenance et de la protection des systèmes informatiques contre les cyberattaques. Elle devra conformer ces systèmes d'information aux exigences dans le règlement DORA.
D'un point de vue plus général, tous les employés d'une compagnie d'assurance vont devoir être sensibilisés aux différents risques liés aux TIC et acquérir de nouvelles connaissances.
L'implémentation de DORA est un défi pour les mois à venir
Un défi majeur constitue la mise en place ou le renforcement de divers dispositifs afin de se conformer à des exigences détaillées, techniques, et poussées. Certains textes (de niveau 2, des normes techniques règlementaires) visant à concrétiser et détailler l'application de DORA ne sont pas encore finaux, ce qui consiste un autre défi majeur.
De plus, il faut renforcer la résilience numérique du secteur financier dans un délai court. Le règlement DORA est entré en vigueur le 16 janvier 2023 et il doit être mis en œuvre d'ici le 17 janvier 2025.
La mise en conformité est également coûteuse et se conformer dans ces délais très courts à cette législation forme sans doute un grand défi pour beaucoup de compagnies.