Plus qu’une simple contrainte, DORA représente une opportunité unique pour les compagnies d’assurance. En effet, ce règlement incite à repenser l’organisation et les pratiques en matière de cybersécurité et de gestion des risques opérationnels. En adoptant une approche proactive, les acteurs du marché peuvent utiliser DORA comme un véritable levier de transformation. Nous vous proposons un article en 3 actes, donc voici le premier acte.

PARTIE 1 : DORA, la réponse européenne face à la vulnérabilité des entités financières aux cyberattaques

Digital Operational Resilience Act (DORA), est un règlement Européen sans transposition en droit français, qui vise à renforcer la résilience numérique du secteur financier. Applicable dès le 17 janvier 2025, son champ d’application est large : banques, assurances, prestataires de services de paiement et infrastructures de marché… toutes les entités financières sont concernées (avec quelques exceptions). Ce règlement s’inscrit dans un contexte de multiplication des cyberattaques et de perturbations opérationnelles qui menacent la stabilité du système financier.

Son but est de « prévenir l’instabilité financière découlant de la matérialisation [des] risques informatiques », et de renforcer la coopération entre les entités financières et leurs prestataires TIC (Technologie de l’Information et de la Communication).

La résilience opérationnelle numérique : de quoi parle-t-on ?

C’est le cœur de DORA : « La capacité des entreprises à s’assurer qu’elles peuvent résister à tous types de perturbations et de menaces liées aux technologies de l’information et de la communication (TIC). » Or, on constate qu’elle n’est pas encore suffisamment intégrée dans le cadre opérationnel des entités financières au niveau européen.

DORA c’est d’une part la mise en place d’une gestion des risques liés aux services TIC, la remontée des incidents qualifiés de majeurs aux autorités de tutelle, le cadrage des tests opérationnels de résilience, et la maitrise des tiers de services TIC avec notamment la mise en place d’un registre des contrats et le partage de l’informations.

DORA vient enrichir le cadre réglementaire applicables au monde de l’Assurance. Il est dit Lex specialis : si deux lois régissent la même situation factuelle, le règlement DORA prévaut sur l’autre loi. Un lien étroit se joue donc avec la directive Solvabilité II (Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009) qui réforme le monde de l’assurance.

Avec la réglementation Solvabilité II, les entités financières se sont organisées pour maitriser les risques liés à leurs activités externalisées et plus particulièrement ceux liés à la capacité des prestataires à faire face à leurs engagements et à honorer leurs obligations financières à court, moyen, long terme. Elles ont défini leurs activités importantes et/ou critiques. Dans le règlement DORA, il est question de maitriser les risques liés aux prestataires de service TIC qui soutiennent des fonctions critiques ou importantes. Un prisme commun à ces deux réglementations se dessine, mais les contours sont à ajuster afin de rester simple et pragmatique pour garder l’objectif commun de maitrise des tiers  sous des angles différents.

 Enfin DORA prend en compte le principe de proportionnalité qui laisse à chaque entité financière la possibilité, dans une certaine mesure, d’adapter son système de gestion des risques liés aux TIC.  Ce règlement aura un impact majeur sur le secteur financier et notamment sur le monde de l’assurance.

En conclusion, le Digital Operational Resilience Act (DORA), applicable dès le 17 janvier 2025, vise à renforcer la résilience numérique du secteur financier face aux cyberattaques. Ce règlement se concentre sur la gestion des risques TIC, les incidents, et la maîtrise des tiers de services TIC. DORA promet un impact majeur sur le secteur financier et notamment celui de l’assurance.

Mais quels sont les défis à relever pour ce secteur ?

La suite dans l’acte 2.