DORA, vecteur d’accélération de la transformation numérique des assureurs

Eric Brétéché, Product Marketing Manager, Guidewire partage son expertise sur le sujet.

Ce nouveau cadre réglementaire implique pour les assureurs de déployer des mécanismes de réponse aux incidents et des investissements importants de mise en œuvre, afin d’améliorer leur niveau de cybersécurité. A cela s’ajoutent des modifications organisationnelles pour permettre aux services des entreprises de se coordonner avec les employés pour mieux les former.

Le dernier défi auquel font face les assureurs, c’est la nécessaire adaptation aux risques émergents, l’amélioration de la planification de leur continuité d’activité, tout en équilibrant à la fois l’expertise, les investissements engrangés et la maîtrise du changement dans le respect des nouvelles exigences réglementaires. Ces nouveaux défis liés à DORA concernent également directement les prestataires de services et acteurs tiers.

Sur le court terme, DORA implique un sujet ajustement budgétaire

Au vu des investissements et des changements systémiques rendus nécessaires par DORA, il convient de se demander si ce règlement ne va pas devenir un obstacle à la transformation digitale des compagnies d’assurance. En réalité, en incitant les assureurs à améliorer leur résilience numérique, leur gestion des risques et leur cybersécurité, cela pourrait finalement leur servir d’accélérateur de modernisation. En mettant de côté les tensions d’ajustement à court terme, avec notamment la réaffectation des budgets à des fins de conformité, les avantages à long terme d’un renforcement du niveau de sécurité et de la résilience l’emportent largement, et favorisent les stratégies numériques des assureurs, en les aidant à rester compétitifs et à mieux servir leurs clients.

DORA place tous les assureurs européens face à une réglementation uniformisée et commune, qui constitue finalement un avantage stratégique et concurrentiel qui permet de renforcer leur relation de confiance avec leurs clients et partenaires, même si cela leur impose également des investissements importants en matière de gestion des risques liés aux TIC, de tests de résilience et de contrôle par des tiers.

En plus de renforcer la sécurité de leurs TICs et de mettre en place de nouveaux processus, les assureurs doivent également s’assurer de la conformité de leurs fournisseurs tiers au règlement DORA.

Réorganiser les systèmes

DORA confie la responsabilité de sa conformité à deux types d’équipes différentes. D’un côté, les équipes en charge de la résilience opérationnelle globale, qui comprend notamment la gestion des risques, du signalement des incidents et de la continuité des activités ; d’un autre côté, les fournisseurs de services informatiques, garants de la résilience numérique d’un point de vue opérationnel, à savoir la sécurité de l’information et la continuité des services. Cette responsabilité partagée implique donc une collaboration étroite : les assureurs contrôlent la conformité de leurs fournisseurs et veillent à ce que les attentes soient clairement définies dans les contrats. En cas d’incident majeur ou de vulnérabilités affectant les opérations, il est de la responsabilité d’un fournisseur de services informatiques d’en informer ses clients. Les assureurs s’assurent ainsi de respecter les exigences de déclaration de DORA auprès de l’ACPR, l’organisme de réglementation en France. Tous ces mécanismes garantissent le succès des objectifs de DORA.

En ce qui concerne les investissements nécessaires à la mise en œuvre des exigences de DORA sur les pans relatifs aux systèmes informatiques, il revient aux prestataires de services informatiques de les prendre en charge puisque c’est leur cœur de métier. S’appuyer sur ces prestataires représente de sérieux avantages pour les assureurs, qui renforcent la sécurité de leurs technologies et mutualisent les bénéfices de ces améliorations entre tous leurs clients, plutôt que de gérer eux-mêmes des systèmes internes obsolètes et propriétaires, tout en supportant l’intégralité des coûts.

Être responsable des coûts liés à son domaine

En parallèle de ce partage de responsabilité, chaque partie prenante prend en charge les coûts requis par son propre secteur.  Dans ce cadre, on attend d’un fournisseur de plateforme cloud qu’il assure la disponibilité de ses services cloud et se tienne prêt à réagir à tout type d’événements venant menacer son cloud, mais également qu’il mette ses équipes juridiques et de conformité au travail pour étudier la façon dont DORA impacte les contrats et processus, tout en travaillant en étroite collaboration avec ses clients pour les aider à se mettre en conformité avec les processus métiers pris en charge par des tiers. En revanche, il demandera à ses clients de s’occuper de la conception, le déploiement et les tests de leurs applications hébergées sur le cloud du fournisseur, de documenter et revoir leurs politiques ainsi que leurs protocoles de gestion des risques au moins une fois par an, ou en cas d’incidents majeurs liés aux TIC.

L’entrée en vigueur de DORA devrait marquer le début d’une nouvelle dynamique de transformation numérique accélérée pour les acteurs de l’assurance, grâce à l’uniformisation des cadres réglementaires au niveau européen et à la modernisation et la sécurisation des systèmes IT. Ce type de règlement a pour but ultime de soutenir la confiance des clients et partenaires en favorisant la sécurité des données et la résilience des systèmes face à tout type d’événement, avec la certitude que les systèmes resteront opérationnels en toutes circonstances.