La résilience numérique est un enjeu majeur pour les acteurs du secteur assurantiel qui dépendent, en partie, des technologies de l’information et des communications pour leurs opérations quotidiennes. Dans ce sens, et face à l’augmentation des cybermenaces, la réglementation DORA marque un tournant dans la gestion des risques numériques.
Les contours de la réglementation DORA, ce qu’il faut savoir !
Qu’est-ce que DORA ? Comprendre le Digital Operational Resilience Act.
La réglementation DORA – Digital Operational Resilience Act – a été adopté par l’Union Européenne en novembre 2022 et entre en application officielle le 17 janvier 2025. Elle a pour objectif de renforcer la résilience numérique des acteurs du secteur financier, y compris les professionnels de l’assurance.
La réglementation cible principalement trois grands domaines :
La gestion des risques numériques
Les entreprises doivent être en mesure d’identifier, d’évaluer et de gérer les risques technologiques et cyber auxquelles elles peuvent être confrontées.
La continuité des services
Des procédures doivent être mises en place pour maintenir dans de bonnes conditions les opérations et les services en cas d’incident majeur (avec des Plans de Reprise d’Activité ou des Plans de Continuité d’Activité).
La sécurité des systèmes d’information
Mise en place de mesures robustes permettant de sécuriser les données sensibles.
En résumé, DORA vise à garantir la continuité, la résilience et la sécurité des services liés au secteur financier même en cas de crise majeure.
Qui est concerné ?
La réglementation DORA s’applique à un large éventail d’acteurs et d’entités. Dans le secteur de l’assurance, les acteurs et les champs de compétences suivants sont concernés :
- Organismes d’assurance et de réassurance (sauf les organismes écartés du périmètre de Solvabilité II en raison de leur taille selon l’article 4 de la directive 2009/138/CE).
- Intermédiaires d’assurance et de réassurance et intermédiaires d’assurance à titre accessoire (excepté les microentreprises ou PME, c’est-à-dire qui emploie moins de dix personnes et dont le CA annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros).
- Institutions de retraite professionnelle (sauf < à 15 adhérents).
Les obligations liées à DORA s’appliquent également aux prestataires de services jugés “à risque” tels que les fournisseurs de technologies de l’information et de la communication (TIC). Ces prestataires peuvent inclure des sociétés offrant des services tels que :
- L’hébergement de données,
- Les solutions de cybersécurité,
- Les logiciels et plateformes utilisés dans le secteur de l’assurance.
Le fonctionnement de DORA, les exigences clés pour assurer la résilience numérique !
DORA impose aux entreprises de mettre en œuvre des mesures pour garantir la résilience numérique face aux incidents cyber tels que des cyberattaques. DORA impose également des exigences en matière de protection des données et de continuité des services pour garantir la protection des informations sensibles et maintenir l’intégrité des services.
Ainsi, parmi les exigences clés, on retrouve une gestion proactive des risques numériques, l’application de normes de sécurité comme l’ISO 27 002, la mise en place de politiques et de procédures claires, ainsi que des pentests réguliers pour garantir la sécurité des services. Les entreprises concernées doivent également mettre en place des plans de réponses aux incidents et des stratégies de communication en cas de crise.
En tant qu’éditeur de logiciels pour l’assurance, Antenia met en place des mesures pour garantir non seulement la conformité avec DORA, mais aussi la sécurité, la continuité et la résilience des solutions logicielles que nous proposons aux compagnies d’assurance, mutuelles et courtiers.
Nos actions pour répondre à la réglementation DORA !
Assurer conformité et sécurité pour les professionnels de l’assurance
Afin d’assurer la conformité à la réglementation DORA et la résilience de nos services, nous avons mis en place des actions concrètes :
En janvier 2024, nous avons réalisé un audit nous permettant d’obtenir un état des lieux des travaux à mener. Nous avons pu définir un plan d’action et les livrables concrets à fournir pour assurer la conformité à DORA. Trois points ont été identifiés :
Analyse des risques
Tout d’abord, nous avons réalisé une analyse de risque pour actualiser les risques déjà identifiés et les nouveaux à prendre en compte. Cette analyse a été menée selon la méthode EBIOS RM pour évaluer notre niveau de maturité et les efforts à fournir pour répondre aux exigences de DORA. Cette analyse a permis d’étoffer notre roadmap 2024.
EBIOS Risk Manager (EBIOS RM) est la méthode d’appréciation et de traitement du risque numérique publiée par l’Agence nationale de la sécurité et des systèmes d’information (ANSSI). EBIOS Risk Manager permet d’apprécier les risques numériques et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser. Elle permet aussi de valider le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche d’amélioration continue.
Actualisation des procédures
Ensuite, il a été nécessaire de procéder à l’actualisation de nos procédures notamment en matière de gestion des incidents cyber et de sécurité des données : PSSI, fiches réflexes des incidents cyber, etc.
Plan d’audit triennal
Puis, nous avons établi un plan d’audit triennal pour une surveillance régulière et continue des risques. Le plan triennal garantit que les exigences de conformité sont respectées à temps et de manière organisée. Il nous permet d'identifier les risques critiques, d’assurer l’audit des domaines les plus à risque et de nous inscrire dans une démarche d'amélioration continue.
L’audit des fournisseurs jugés critiques ou sensibles pour nos services et notre infrastructure est inscrit dans le plan triennal. Nos fournisseurs concernés doivent ainsi répondre à des critères d’exigences (politique sélection des fournisseurs, questionnaire d’exigences…) permettant de nous assurer de leur maturité sur ces points cruciaux de sécurité.
Un fournisseur est jugé critique si :
- Sa défaillance peut avoir un impact significatif sur la continuité ou la qualité des services que nous fournissons à nos clients.
- Son rôle est indispensable dans nos processus métiers essentiels.
- Il gère ou traite des données sensibles qui, en cas de fuite ou d’incident, peuvent entraîner des conséquences graves (juridiques, financières ou réputationnelles).
Aussi, nous avons mis en place des workshops, des tests et de la documentation pour sensibiliser nos équipes aux bonnes pratiques de sécurité et garantir que tous les collaborateurs sont informés des exigences de DORA.
Pour rester à jour face aux évolutions réglementaires et s’assurer d’une conformité constante, nous établissons des plans d’amélioration continue.
Hébergement sécurisé et souveraineté des données
Les engagements d'Antenia
Dans le cadre de la réglementation DORA, la sécurité des données et des infrastructures informatiques est essentielle, notamment pour les professionnels de l’assurance qui doivent faire face à des cybermenaces croissantes. Dans ce sens, nous offrons un hébergement sécurisé de vos données dans un Cloud privé, avec des services managés garantissant une disponibilité continue et un haut niveau de sécurité.
Toutes les données sont hébergées en France, dans des datacenters certifiés ISO (27001, 9001 et HDS), assurant ainsi la conformité aux normes de sécurité de l’information, de qualité et de protection des données de santé.
Nous mettons également l’accent sur la souveraineté des données, avec une gestion locale et un contrôle total sur les processus.
Les bénéfices de se conformer à DORA pour les assureurs, mutuelles et courtiers
Pour les professionnels de l’assurance, en plus d’être une obligation, se conformer aux exigences de la réglementation DORA présente plusieurs avantages :
Meilleure gestion des risques et des impacts liés aux incidents.
Des pratiques rigoureuses permettront de mieux faire face aux cybers-incidents et autres perturbations majeures.
Mise en conformité.
La conformité avec cette réglementation permet aux professionnels de l’assurance de répondre à des exigences croissantes des régulateurs européens.
Niveau de résilience.
Avoir une meilleure connaissance de ses risques et de sa capacité à y faire face permet aux entreprises d’améliorer leur résilience numérique.
Accès aux partenariats et opportunités.
Le respect de DORA devient un critère déterminant pour travailler avec des compagnies et partenaires commerciaux.
Les grands groupes, en particulier, accordent une vigilance accrue à ces aspects. La conformité est donc indispensable pour maintenir les relations commerciales et les opportunités de collaboration.
En se conformant à DORA, les professionnels de l’assurance renforcent leur réputation, améliorent la sécurité et la continuité des services, et offre plus de tranquillité d’esprit à leurs clients dans un environnement financier de plus en plus exigeant. Cette réglementation démontre également l’importance de travailler avec des prestataires de confiance et conformes à DORA, car la conformité, de ces derniers, a un impact direct sur la résilience et la sécurité des services proposés.
