Défis DORA : ces angles morts qui freinent votre mise en conformité
Actualité

Défis DORA : ces angles morts qui freinent votre mise en conformité

By 17 mars 2025No Comments

La réglementation DORA (Digital Operational Resilience Act) impose aux assurances et mutuelles de renforcer leur résilience numérique. Pourtant, derrière les grandes lignes de ce cadre réglementaire, des défis complexes émergent : auditabilité des incidents, relations fournisseurs, intégration des tests de résilience…

Si certaines organisations respectent déjà les exigences techniques, l’impact réel de la réglementation DORA (Digital Operational Resilience Act) sur leur gouvernance IT et leurs processus internes reste difficile à cerner. Les structures moyennes et petites, confrontées à d’autres contraintes réglementaires et opérationnelles, peinent d’autant plus à s’adapter en raison de leurs ressources limitées.

Pourquoi les assurances et mutuelles ne peuvent plus se permettre d’attendre ?

Une réglementation pensée pour la finance, mais qui s’impose aux assurances

DORA a été conçu pour renforcer la résilience opérationnelle des institutions financières, mais son champ d’application englobe également les assurances et mutuelles. Contrairement à d’autres régulations comme le RGPD ou Solvabilité II, qui mettent l’accent sur la protection des données personnelles et la solidité financière, elle cible directement la robustesse des systèmes IT avec :

  • Une approche globale et responsable de la gestion des risques IT, essentielle pour assurer la continuité des services et le contrôle des fournisseurs IT.
  • Un contrôle plus strict des fournisseurs SaaS et cloud, qui hébergent souvent des plateformes critiques comme la gestion des adhésions ou des remboursements.

Cela signifie que les mutuelles doivent désormais démontrer leur capacité à affronter une panne ou une cyberattaque sans interruption de service, sous peine de voir leurs activités surveillées de plus près par les régulateurs. Or, contrairement aux grands groupes d’assurance, les mutuelles ont souvent moins de marge de manœuvre pour renforcer leur infrastructure IT à grande échelle.

Les enjeux concrets : entre nouvelles responsabilités et pression accrue

DORA fait de la résilience numérique un enjeu réglementaire clé, obligeant les entreprises à structurer et sécuriser davantage leurs systèmes IT.

Concrètement, cela implique :

  • Une obligation de documentation et de reporting : Chaque incident IT, même mineur, doit être tracé, documenté et analysé selon des critères stricts. Dans une mutuelle, cela concerne aussi bien une interruption de portail adhérent qu’un bug dans la gestion des remboursements.
  • Un devoir de signalement des incidents : Contrairement à d’autres régulations, DORA impose l’obligation de signaler tout incident aux régulateurs dans un laps de temps restreint.
  • Un suivi et une évaluation des prestataires IT : Les régulateurs peuvent exiger la résiliation de contrats avec des prestataires IT ne respectant pas le cadre réglementaire. Or, beaucoup de mutuelles travaillent avec des solutions SaaS mutualisées, ce qui rend la renégociation contractuelle plus complexe.

Exemple : Vous subissez une panne de votre infrastructure cloud affectant la gestion des contrats clients. Avant DORA, cela pouvait rester un incident interne avec une gestion plus ou moins structurée. Désormais, il faudra fournir des preuves détaillées de la gestion de l’incident et démontrer votre capacité à anticiper et répondre efficacement à ce type de crise.

Sous-estimer la complexité des relations avec les fournisseurs IT

DORA impose aux institutions financières de renforcer la surveillance de leurs prestataires IT, qui jouent un rôle essentiel dans la continuité des services.

Cela implique deux obligations majeures :

  • Obligation de contrôle : Vous devez vous assurer qu’ils respectent les obligations de la réglementation et disposent de mesures de résilience adéquates. Cela inclut aussi bien les hébergeurs cloud que les solutions SaaS de gestion des contrats ou des prestations de santé par exemple.
  • Renégociation des contrats : De nombreuses assurances devront revoir leurs accords avec leurs prestataires pour inclure des clauses garantissant la conformité. Si un fournisseur ne répond pas aux standards de DORA, vous pourriez être contraint de changer de prestataire, avec toutes les implications que cela comporte en termes de réversibilité et de continuité des services.

Les mutuelles, souvent plus petites que les grandes assurances, n’ont pas toujours le poids nécessaire pour imposer des clauses spécifiques aux prestaires TIC. Pourtant, en cas de manquement, ce sont elles qui devront en répondre aux régulateurs.

Un risque de sanctions lourdes en cas d’inaction

Ignorer DORA ou retarder l’adoption de ses impératifs est un pari risqué. En cas de non-respect des exigences, les sanctions peuvent aller bien au-delà des simples amendes.

Voici les principales conséquences :

  • Pénalités financières : Un prestataire IT non conforme peut être sanctionné jusqu’à 1% de son chiffre d’affaires mondial quotidien pendant six mois, ce qui peut mettre en péril son activité et impacter directement les services que vous utilisez.
  • Suspension d’activités : Une assurance ou une mutuelle pourrait voir certaines de ses activités suspendues si les régulateurs jugent que les contraintes de résilience numérique ne sont pas remplies.
  • Impact sur la réputation : Un manquement à DORA peut entraîner une perte de confiance de la part des partenaires et des clients, ce qui peut avoir des répercussions commerciales durables.

Comment structurer sa mise en conformité à DORA sans surcharge opérationnelle

Par où commencer ? Évaluer sa situation face à DORA

Avant d’engager des changements, il est essentiel de comprendre où vous en êtes réellement par rapport aux exigences de DORA. Cette évaluation passe par plusieurs étapes :

  • Cartographie des risques IT : Identifier les systèmes critiques et les fournisseurs essentiels (ex. : hébergeurs cloud, éditeurs SaaS). Pour une mutuelle, cela inclut les plateformes de gestion des adhésions, des prestations et des sinistres, qui doivent désormais répondre à des obligations de résilience.
  • Analyse des écarts : Comparer la situation actuelle aux exigences de DORA.
  • Identification des actions prioritaires : Déterminer les aspects les plus urgents à traiter pour éviter toute exposition réglementaire.
2 personnes qui regardent une tablette

L’audit est un levier efficace pour objectiver cette évaluation et dégager un plan d’action structuré. Faire appel à un cabinet de conseil spécialisé dans l’assurance permet d’obtenir une vision claire et objective de votre niveau de conformité à DORA. Une expertise externe est particulièrement précieuse lorsque les équipes internes ne maîtrisent pas encore pleinement ce cadre réglementaire.

Hardis Group dispose d’un panel d’experts dédiés à l’assurance et à la réglementation DORA, capables de vous accompagner dans cette évaluation et de structurer un plan d’action adapté.

Ne pas anticiper l’auditabilité et la traçabilité des incidents IT

DORA et le RGPD imposent tous deux des obligations de documentation, mais avec des objectifs différents. Alors que le RGPD se concentre sur la protection des données personnelles et la notification des violations aux autorités, DORA élargit la notion de traçabilité aux incidents IT dans leur ensemble. Une simple interruption de service, même sans fuite de données, doit être enregistrée, analysée et signalée selon des critères stricts.

En pratique, cela signifie que les entreprises doivent intégrer une documentation plus détaillée, incluant non seulement les incidents affectant les données personnelles, mais aussi ceux touchant la disponibilité et l’intégrité des systèmes IT. Cette approche exige un suivi continu et une gouvernance IT renforcée pour répondre aux nouvelles exigences réglementaires.

Exemple : Si votre plateforme de gestion des sinistres subit une panne, entraînant un retard de traitement des dossiers clients, cet incident devra être documenté et reporté. Une gestion trop artisanale de ces incidents peut vite devenir problématique si les informations sont dispersées dans différents outils et si les processus ne sont ni formalisés ni maîtrisés.

Le risque ? Une perte de temps et une non-conformité involontaire face aux obligations de DORA ainsi qu’une atteinte à la réputation de votre organisation.

conformité dora

Automatisation et IA : des alliés incontournables

Prioriser les actions en fonction des obligations les plus impactantes

Une fois que vous avez identifié vos écarts réglementaires, la question se pose : par où commencer pour rendre votre organisation plus résiliente sans multiplier les chantiers complexes ? Toutes les exigences de DORA ne nécessitent pas le même niveau d’investissement immédiat. Pour structurer efficacement la mise en conformité, une approche progressive est essentielle.

Phase 1 Phase 2 Phase 3
  • Mettre en place une gouvernance dédiée pour assurer le suivi de DORA, avec une documentation claire et une traçabilité renforcée des incidents IT.
  • Former les équipes IT et les métiers aux nouvelles obligations de reporting. Dans une mutuelle, cela implique aussi les fonctions métiers qui gèrent les relations avec les adhérents et les prestataires TIC.
  • Définir un processus standardisé de déclaration des incidents IT en lien avec les exigences des régulateurs.
  • Déployer des solutions permettant un suivi en temps réel des incidents IT et une documentation automatisée.
  • Centraliser la gestion des incidents dans un référentiel unique, pour éviter une dispersion des informations entre les équipes sécurité, exploitation IT et conformité.
  • Anticiper les audits, en assurant la disponibilité des logs et des rapports de résilience IT.
  • Vérifier la conformité des fournisseurs SaaS et cloud avec des clauses intégrant les exigences de DORA (transparence sur les incidents, obligations de tests de résilience, accès aux données critiques).
  • Les mutuelles, souvent dépendantes d’acteurs majeurs du cloud et du SaaS, devront trouver un équilibre entre conformité réglementaire et maintien de leurs relations contractuelles existantes.
  • Construire des plans de réversibilité IT, notamment pour éviter une dépendance excessive à un fournisseur unique.

L’objectif ? Avancer progressivement pour éviter une surcharge opérationnelle tout en assurant une mise en conformité durable.

Engager les fournisseurs IT et sécuriser les relations contractuelles

DORA change radicalement la manière dont les entreprises doivent collaborer avec leurs fournisseurs IT. En effet, ils ne peuvent plus être considérés comme de simples sous-traitants : ils font dorénavant parties des acteurs stratégiques et doivent répondre aux mêmes impératifs de résilience et de transparence que leurs clients.

Cela impose d’encadrer différemment la relation avec ces prestataires afin de ne pas mettre en péril toute la chaîne opérationnelle.

Plusieurs actions sont ainsi essentielles :

  • Évaluer la conformité des prestataires actuels : Identifier les fournisseurs critiques et vérifier leur capacité à respecter les obligations DORA.
  • Renégocier les contrats : Intégrer des clauses spécifiques sur la gestion des incidents, les engagements de transparence et les délais de réaction pour garantir la continuité des opérations.
  • Anticiper le risque de changement de prestataire : Dans certains cas, une mutuelle pourrait être contrainte de revoir son fournisseur si celui-ci ne respecte pas les standards de DORA, ce qui pose des défis en termes de migration et de continuité d’activité.
  • Elaborer des plans de réversibilité : S’assurer que les données restent accessibles en cas de défaillance du prestataire et prévoir des solutions alternatives adaptées à chaque service clé.

Enjeu principal ? Ne pas subir une dépendance excessive aux prestataires IT, tout en assurant une conformité sans rupture d’exploitation.

Intégrer les tests de résilience comme un processus IT régulier

DORA impose aux institutions financières de vérifier concrètement la capacité des systèmes à faire face à des pannes majeures ou des cyberattaques simulées.

Dans une mutuelle, cela signifie tester des scénarios tels que :

  • Une indisponibilité temporaire de la plateforme de gestion des adhésions.
  • Une panne du système de gestion des remboursements et sinistres.
  • Un incident chez un prestataire IT critique, qui impacte la continuité des opérations.

Préparer ces tests de résilience représente un véritable défi, notamment pour les structures avec des ressources limitées. L’objectif est d’intégrer ces simulations sans perturber l’activité quotidienne, en s’appuyant sur des outils automatisés et des scénarios réalistes.

Quelques bonnes pratiques pour optimiser ces tests :

  • Définir des scénarios adaptés : Identifier les failles potentielles en simulant différents types d’incidents IT (panne réseau, indisponibilité d’un fournisseur, cyberattaque).
  • Exploiter les ressources existantes : Utiliser les outils de supervision et de sécurité déjà en place pour éviter d’investir massivement dans de nouvelles solutions.
  • Tester en conditions réelles : Planifier des exercices périodiques pour s’assurer que l’ensemble des équipes IT et métiers savent réagir efficacement.

Ces tests doivent devenir une routine IT pour garantir une conformité durable à DORA et améliorer en continu la résilience numérique de l’organisation.

Pour aller plus loin et obtenir une évaluation précise de votre niveau de conformité, Hardis Group met à votre disposition un diagnostic complet. Nos experts en assurance et réglementation DORA vous accompagnent dans l’identification des actions prioritaires et la mise en place d’une stratégie efficace.

Je réalise un diagnostic DORA

Contributeurs

Photo de profil Karim Khecha

Karim Khecha
Directeur Paris

Photo de profil de celine brobandgaillard

Céline Brobandgaillard
Senior consultant