Des objectifs ambitieux pour le secteur financier
Le Digital Operational Resilience Act (DORA), entré en vigueur le 16 janvier 2023 et à mettre en œuvre d’ici janvier 2025, vise à améliorer la résilience opérationnelle numérique des institutions financières et des prestataires de services financiers (PSF) au sein de l’Union européenne. Il est destiné à répondre aux besoins de protection des clients et des investisseurs, à réduire les risques de cyberattaques, et à augmenter la compétitivité du secteur financier.
Des normes exigeantes, avec des réticences des opérateurs
Le règlement a une portée étendue, s’appliquant à une variété d’institutions financières et de PSF, parmi lesquels on retrouve les banques, les compagnies d’assurance, les sociétés de gestion d’actifs et les prestataires de services de paiement. Ils imposent des exigences rigoureuses dans plusieurs domaines, notamment la gestion des risques opérationnels numériques, la sécurité des systèmes d’information, la continuité des activités, et la gestion des incidents.
Globalement les opérateurs en assurance ont salué l’adoption du règlement ces derniers mois, mais ont exprimé des préoccupations. Ils reconnaissent l’importance d’un cadre clair et cohérent pour la gestion des risques opérationnels numériques, ainsi que l’attention portée aux spécificités du secteur de l’assurance. Cependant, ils soulignent que les exigences pourraient être onéreuses pour les petites et moyennes entreprises d’assurance et demandent des orientations plus précises de la Commission européenne.
De nouvelles mesures à mettre en place, coûteuses mais nécessaires
Le règlement oblige à mettre en place des mesures visant à améliorer la résilience opérationnelle numérique, ce qui peut entraîner des coûts supplémentaires. Cependant, ces mesures permettront d’améliorer la gestion des risques, la transparence et la capacité à faire face aux perturbations numériques, dont les cyberattaques. L’effet global dépendra de la manière dont les assureurs mettront en œuvre ces exigences.
Des réflexions à intégrer dans les travaux ORSA, dès que possible
Pour rappel, en juin 2021, l’ACPR avait publié une notice détaillant des orientations relatives à la sécurité de l’information et à la gouvernance des Technologies d’Information et de la Communication (TIC) pour les entités relevant du champ d’application de la directive S2, également applicable aux ORPS. Des instructions y sont notamment précisées en matière de :
- gouvernance (suffisance des ressources et moyens alloués, cohérence des compétences sollicitées, fonction de sécurité de l’information…)
- gestion des risques (niveaux de tolérance par domaine, processus adaptés…)
- documentation, formation et communication (avec notamment la rédaction d’une politique écrite en matière de sécurité de l’information et une politique de continuité des activités TIC)
- audits et tests de conformité des dispositifs de gestion des risques liés aux TIC
Le règlement DORA, en renforçant le cadre réglementaire, appuie la nécessité d’évaluer les risques opérationnels numériques, de mettre en place des mesures d’atténuation, et de tester leur efficacité dans le cadre de l’ORSA. Des scénarios spécifiques devront être déroulés et leurs effets mesurés. Encore une fois, cela peut entraîner des coûts supplémentaires, mais contribuera à renforcer la résilience opérationnelle numérique et l’efficacité de l’ORSA.
Une mise à contribution des directions générales et des métiers
Le règlement DORA va mobiliser de nombreuses directions :
- La direction générale, qui est responsable de la mise en œuvre de la stratégie de résilience opérationnelle numérique ;
- La direction des risques, qui est responsable de l’identification, de l’évaluation et de l’atténuation des risques liés aux technologies de l’information et de la communication, et aussi de l’efficience des plans de continuité des activités ;
- La direction des systèmes d’information, qui est responsable de la conception, du développement et de la maintenance des systèmes informatiques et de la protection des systèmes informatiques contre les cyberattaques ;
- Et plus globalement les actuaires qui, en tant qu’experts en gestion des risques, participeront à l’identification, l’évaluation et l’atténuation des risques opérationnels numériques. Ils pourront développer des modèles de simulation pour évaluer l’impact des cyberattaques, contribuer à la mise en place de plans de continuité des activités et des normes pour la sécurité des systèmes d’information, en travaillant en étroite collaboration avec d’autres professionnels du secteur. Et au final rapporter l’ensemble dans les documents habituels, tels que l’ORSA, les SFCR et le RSR.
