DORA : Retour d’expérience 2025 pour les assureurs
Chers lecteurs, experts du monde de l’assurance et de la banque,
L’acronyme DORA, pour Digital Operational Resilience Act, est désormais gravé dans le marbre de nos réglementations. Son application progressive, atteignant sa pleine effectivité au 17 janvier 2025, marque une étape charnière pour la résilience opérationnelle numérique, particulièrement pour le secteur de l’assurance. Si les banques ont souvent été les pionnières des régulations en matière de risque opérationnel et technologique, DORA impose une convergence et une harmonisation des pratiques qui transforment le paysage pour les assureurs. Cet article propose un retour d’expérience prospectif, une projection de ce que l’année 2025 – et au-delà – pourrait nous enseigner sur l’application de DORA dans l’assurance, à la lumière des défis déjà identifiés et des parallèles avec d’autres secteurs.
La genèse de DORA n’est pas un coup de tonnerre dans un ciel serein. Elle s’inscrit dans une continuité logique de législation visant à renforcer la stabilité financière face aux risques numériques croissants. L’Europe, à travers cette initiative, reconnaît que la dépendance croissante aux technologies de l’information et de la communication (TIC) expose le système financier à des vulnérabilités systémiques qui ne peuvent plus être gérées sectoriellement, de manière fragmentée. Pour les assureurs, cela signifie une adaptation à un cadre souvent plus strict que les régulations préexistantes, notamment Solvabilité II, qui, bien que couvrant le risque opérationnel, ne détaillait pas avec la même précision les spécificités de la résilience numérique.
Genèse et Portée de DORA pour le Secteur Assurantiel
DORA vise à harmoniser les exigences en matière de sécurité des réseaux et des systèmes d’information des entités financières. Son spectre est large, englobant cinq piliers fondamentaux : la gestion des risques liés aux TIC, la gestion des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux tiers fournisseurs de services TIC, et l’échange d’informations. Pour les assureurs, cela représente un changement de paradigme. Historiquement, la gestion des risques TIC était souvent intégrée au risque opérationnel, mais sans l’autonomie et l’exigence de granularité que DORA impose. La fragmentation des exigences nationales est également vouée à disparaître, au profit d’un cadre européen unifié. Cette unification est une épée à double tranchant : elle simplifie le paysage pour les assureurs transfrontaliers, mais exige des ajustements significatifs pour ceux dont les pratiques étaient très spécifiques à une juridiction nationale.
L’Interaction entre DORA et Solvabilité II : Une Complémentarité Stratégique
La question de l’articulation entre DORA et Solvabilité II est cruciale. Solvabilité II, avec son pilier II axé sur la gouvernance et le système de gestion des risques, intègre déjà la gestion des risques opérationnels, y compris ceux liés aux TIC. Cependant, DORA apporte une couche de spécificité et de détail sans précédent. On peut imaginer DORA comme le manuel d’instructions détaillé d’un système complexe dont Solvabilité II fournit l’architecture générale. Par exemple, là où Solvabilité II exige une gestion robuste du risque opérationnel, DORA prescrit des critères précis pour les tests de résilience, la classification des incidents TIC majeurs, et la supervision des tiers fournisseurs. Les assureurs ont dû, et continueront de devoir, cartographier ces exigences pour identifier les chevauchements et les lacunes, afin d’optimiser leurs efforts de conformité. L’objectif n’est pas de dupliquer les efforts, mais de s’assurer que les cadres existants sont suffisamment robustes pour intégrer les nouvelles directives de DORA.
La Gestion des Risques liés aux TIC : Le Cœur Battant de la Résilience
Le premier pilier de DORA, la gestion des risques liés aux TIC, est fondamental et impacte l’intégralité de l’organisation. Il exige des assureurs une approche proactive et systémique, allant bien au-delà de la simple conformité ponctuelle pour s’inscrire dans une culture de résilience continue.
L’Intégration d’un Cadre Complet de Gestion des Risques TIC
DORA impose l’établissement, la mise en œuvre et le maintien d’un cadre robuste de gestion des risques TIC. Cela signifie une identification, une classification, une évaluation et un traitement continus de l’ensemble des risques liés aux systèmes et aux données. Pour le secteur des assurances, cela implique de considérer non seulement les risques techniques (cyberattaques, pannes matérielles, erreurs logicielles) mais aussi les risques liés à l’interconnexion complexe de systèmes vieillissants (systèmes “legacy”) avec des technologies plus modernes (cloud, IA). L’assureur doit s’assurer que sa gouvernance des risques TIC est clairement définie, avec des rôles et responsabilités attribués au niveau du conseil d’administration et de la direction générale. La capacité à démontrer cette gouvernance et l’efficacité des contrôles sera un point d’attention majeur pour les régulateurs. Les assureurs doivent donc internaliser une compréhension profonde de leurs dépendances technologiques et de leur exposition, qui sont souvent plus entrelacées qu’on ne l’imagine.
La Cartographie des Actifs et des Processus Critiques
Un effort significatif a été et sera dédié à la cartographie des actifs et des processus critiques qui sous-tendent les services d’assurance. Imaginez une rivière souterraine : sa source, son cours et ses affluents doivent être connus pour comprendre et maîtriser son débit. De même, les assureurs doivent identifier les “rivières numériques” qui alimentent leurs prestations : de la souscription à la gestion des sinistres, en passant par la gestion de portefeuille et la relation client. Cette cartographie doit être dynamique, permettant d’identifier les interdépendances et les points de défaillance uniques. Pour l’assurance, cela inclut souvent des systèmes anciens qui gèrent le cœur de métier (calcul des primes, gestion des contrats) et qui sont parfois peu documentés ou dont les experts techniques sont rares. DORA met en lumière la nécessité de moderniser ou de sécuriser ces fondations numériques.
La Gestion des Incidents et la Continuité d’Activité : Le Moment de Vérité
Ce pilier est le test ultime de la résilience. Face à un incident numérique, la capacité d’un assureur à détecter, contenir, récupérer et rapporter de manière efficace est primordiale pour minimiser l’impact sur les clients et la stabilité financière.
Des Procédures Robustes de Détection et de Réponse aux Incidents
DORA demande des mécanismes de surveillance et de détection en temps réel, ainsi que des procédures claires de réponse aux incidents. Les assureurs doivent être en mesure de classer les incidents selon leur gravité et leur impact potentiel, puis d’activer les plans d’actions correspondants. L’année 2025 sera cruciale pour valider l’efficience de ces procédures en conditions réelles. Pour de nombreux assureurs, cela a impliqué des investissements substantiels dans des solutions de Security Information and Event Management (SIEM) et de Security Orchestration, Automation and Response (SOAR), ainsi que le renforcement de leurs équipes de gestion des incidents (CSIRT/CERT). La capacité à communiquer efficacement avec les autorités et le public est également un élément clé, nécessitant une coordination inter-départementale sans faille.
Les Plans de Continuité d’Activité Numérique
Les assureurs sont tenus d’établir des plans de continuité d’activité TIC et des plans de reprise après sinistre, incluant des objectifs de temps de récupération (RTO) et de points de récupération (RPO) clairement définis. La complexité des systèmes d’information, leur interdépendance avec les tiers, et la nature souvent en “temps réel” des services d’assurance (par exemple, cotations instantanées, gestion de sinistres urgents) rendent cet exercice particulièrement exigeant. Les plans doivent être testés régulièrement et inclure des scénarios de défaillance large échelle, simulant non seulement la perte d’un système unique, mais aussi la défaillance d’un fournisseur cloud majeur ou une cyberattaque généralisée affectant des infrastructures partagées.
Les Tests de Résilience Opérationnelle Numérique : L’Épreuve du Feu
Ce pilier est l’un des plus novateurs et exigeants de DORA. Il ne s’agit plus simplement de vérifier la présence de contrôles, mais de tester leur efficacité sous contrainte.
Des Tests de VAPT aux Tests TLPT : Le Saut Qualitatif
DORA rend obligatoires des tests de résilience opérationnelle numérique, incluant des tests d’intrusion (VAPT pour Vulnerability Assessment and Penetration Testing) et, pour les entités systémiques, des tests d’intrusion basés sur la menace (TLPT pour Threat-Led Penetration Testing). Les TLPT sont particulièrement importants car ils simulent des attaques réalistes, basées sur des renseignements sur les menaces réelles, et sont menés par des équipes de “red teaming” indépendantes. Pour les assureurs, cela représente un investissement significatif en temps et en ressources, mais offre une visibilité inégalée sur leur véritable posture de défense. Les retours d’expérience de 2025 montreront certainement que de nombreux assureurs ont été surpris par les faiblesses révélées par ces tests, notamment au niveau de l’interconnexion de leurs systèmes ou de leur capacité à réagir sous la pression d’une attaque simulée.
L’Évaluation de la Préparation et de l’Efficacité des Mesures
Les tests ne sont pas une fin en soi, mais un moyen d’évaluer la préparation de l’entité et l’efficacité de ses mesures de sécurité. Les résultats doivent être documentés, les faiblesses identifiées, et des plans de remédiation mis en place. La supervision régulatrice portera une attention particulière à la qualité de ces tests, à l’indépendance des testeurs, et à la célérité avec laquelle les lacunes sont comblées. Pour les assureurs, cela signifie adopter une mentalité d’amélioration continue, où chaque test est une opportunité d’apprendre et de renforcer les défenses.
La Gestion des Risques liés aux Tiers Fournisseurs : L’Arc de la Dépendance
| Indicateur | Description | Objectif 2025 | Mesure actuelle | Commentaires |
|---|---|---|---|---|
| Temps de détection des incidents | Délai moyen pour détecter un incident de sécurité | < 1 heure | 2 heures | Amélioration nécessaire des systèmes de surveillance |
| Temps de résolution des incidents | Délai moyen pour résoudre un incident après détection | < 4 heures | 6 heures | Renforcement des équipes d’intervention |
| Pourcentage de conformité DORA | Proportion des processus conformes aux exigences DORA | 100% | 75% | Plan d’action en cours pour combler les écarts |
| Tests de résilience numérique | Nombre de tests réalisés annuellement | 4 tests | 2 tests | Augmentation prévue des exercices de simulation |
| Formation du personnel | Pourcentage du personnel formé aux exigences DORA | 90% | 60% | Campagnes de formation intensifiées |
C’est sans doute le pilier ayant le plus grand impact transformateur pour de nombreux assureurs, confrontés à une dépendance croissante envers des prestataires externes, notamment les fournisseurs de services cloud.
La Cartographie et la Classification des Tiers Critiques
DORA exige des assureurs une cartographie exhaustive de leurs dépendances vis-à-vis des tiers fournisseurs de services TIC, et une classification de ces services selon leur criticité. Cela va bien au-delà de la due diligence contractuelle habituelle. Les assureurs sont désormais tenus d’évaluer les risques liés aux chaînes de sous-traitance (supply chain risks) de leurs propres fournisseurs, créant une onde de propagation des exigences de résilience. Cette classification conduit à l’identification des “fournisseurs critiques”, qui feront l’objet d’une surveillance particulière et potentiellement d’une supervision directe par les régulateurs européens. La gestion des risques liés aux fournisseurs critiques est un défi majeur, notamment pour les Big Tech qui fournissent des services cloud à l’ensemble du secteur financier.
La Formalisation des Dispositions Contractuelles et la Réversibilité
Les contrats avec les fournisseurs de services TIC doivent désormais inclure des dispositions précises concernant la résilience opérationnelle numérique, les rapports d’incidents, la possibilité d’audits, les objectifs de niveau de service (SLA) liés à la disponibilité et à la performance, et les clauses de réversibilité. La capacité de se défaire d’un fournisseur sans perturbation majeure est un enjeu de taille. Pour l’assurance, où la migration de systèmes historiques est une opération complexe et coûteuse, la réversibilité est souvent plus un vœu pieux qu’une réalité immédiate. DORA force les assureurs à reconsidérer leurs stratégies de sourcing et à renforcer leur capacité à gérer les risques de concentration, comme celui de la dépendance à un seul grand fournisseur de cloud.
Le Retour d’Expérience Projeté pour 2025 et Au-Delà : Le Vent du Réalisme
L’année 2025 ne sera pas une destination, mais une étape dans un voyage continu. Les premiers retours d’expérience révéleront à la fois les succès et les défis persistants.
Les Premiers Bilans de Conformité : L’Alignement des Forces
Les premières évaluations de conformité des assureurs en 2025 montreront inévitablement des disparités. Certains auront anticipé et intégré DORA de manière fluide, d’autres seront encore en phase d’ajustement. On peut s’attendre à ce que les régulateurs européens, notamment l’EIOPA, commencent à fournir des éclaircissements pratiques et des lignes directrices supplémentaires, basées sur les observations du terrain. Le dialogue entre les régulateurs et les assureurs sera essentiel pour affiner l’application de DORA et pour s’assurer que les exigences sont non seulement respectées, mais qu’elles contribuent réellement à une meilleure résilience. La phase initiale servira probablement à identifier les “bonnes pratiques” émergentes et les pièges communs.
L’Évolution des Menaces et l’Adaptation Continue
Un aspect crucial de DORA est son caractère dynamique. Le paysage des menaces numériques est en constante évolution, avec de nouvelles techniques d’attaque et de nouvelles vulnérabilités apparaissant régulièrement. Les retours d’expérience de 2025 souligneront l’importance pour les assureurs d’une adaptation continue de leurs cadres de gestion des risques TIC. La mise à jour régulière des tests, l’analyse des incidents réels et la veille sur les menaces seront des activités permanentes. L’échange d’informations, le cinquième pilier de DORA, deviendra alors un mécanisme vital pour l’ensemble du secteur afin de mutualiser les connaissances et de renforcer les défenses collectives.
En conclusion, DORA représente bien plus qu’une simple série de chantiers réglementaires pour les assureurs. C’est une invitation, ou plutôt une obligation, à repenser profondément la relation de l’entreprise avec la technologie et les risques qu’elle engendre. Le “retour d’expérience 2025” sera le miroir dans lequel nous verrons les fruits de ces efforts, les points faibles à consolider et la voie à suivre pour une résilience opérationnelle numérique qui ne soit pas juste une cible de conformité, mais un avantage stratégique fondamental. Soyez prêts, car le vent de DORA souffle fort, et il est temps d’ajuster nos voiles.