La Digital Operational Resilience Act (DORA), dont l’application est prévue pour le 17 janvier 2025, impose aux institutions financières des exigences accrues en matière de résilience numérique. Cette réglementation, adoptée le 27 décembre 2022, vise à renforcer la continuité des opérations et services critiques face aux cyberattaques, tout en introduisant des contrôles stricts sur la gestion des fournisseurs TIC tiers. Une enquête menée en 2023 par l’ACPR sur l’externalisation des activités critiques dans le secteur de l’assurance apporte des éclairages sur les lacunes actuelles et les défis à venir pour les entreprises qui cherchent à se conformer à DORA.
Dépendance aux prestataires tiers : un enjeu central pour DORA
L’étude montre que 96 % des organismes financiers externalisent des fonctions critiques, telles que la gestion des sinistres et des systèmes d’information. DORA impose à ces entités de surveiller leurs prestataires informatiques externes, en les intégrant dans leur dispositif de gestion et de contrôle des risques. Cela signifie que les entreprises doivent être en mesure de répondre rapidement en cas de défaillance d’un prestataire, notamment via des plans de continuité renforcés.
Le règlement met également en lumière l’importance de la gestion des données hébergées dans le cloud. Avec 23 % des entreprises du secteur bancaire utilisant le cloud public pour des activités critiques, des enjeux de souveraineté numérique et de sécurité des données apparaissent, particulièrement lorsque les prestataires sont situés hors de l’Union européenne, comme c’est le cas pour 42 % d’entre eux. DORA exige une traçabilité et une surveillance renforcées pour ces prestataires cloud externes.
Comment DORA impose une cybersécurité renforcée
Au-delà de la surveillance accrue des prestataires TIC, DORA impose aux institutions financières une gestion proactive des risques, reposant sur des audits internes rigoureux et des plans de gestion de crise. Les entreprises de ce secteur, et en particulier les mutuelles, devront être en mesure de réagir rapidement à toute attaque cybernétique ou perturbation technologique, afin de minimiser les impacts sur leurs opérations.
La mise en place de ces audits vise à évaluer non seulement la sécurité des systèmes internes, mais aussi la capacité des partenaires technologiques à garantir une continuité de service en cas de crise. Ce volet de la réglementation oblige les entreprises à s’assurer que leurs prestataires, notamment ceux opérant en dehors de l’Union européenne, disposent de plans de continuité robustes et conformes aux normes européennes.
Selon une enquête menée par Gartner, 63 % des entreprises ayant subi une cyberattaque majeure ont vu leur réputation et leurs opérations perturbées pendant plusieurs mois. Ce chiffre souligne l’importance, pour les mutuelles et autres institutions financières, de se doter d’un cadre rigoureux pour protéger leurs activités. Pour les DSI, DORA représente donc un défi important, mais nécessaire, afin de garantir une résilience durable et une sérénité opérationnelle, même en période de crise. Toutefois, cette mission ne peut être accomplie sans l’impulsion et l’implication active des directions, qui doivent soutenir et orienter ces initiatives pour assurer leur succès.
Automatisation et IA : des alliés incontournables
L’intégration de l’intelligence artificielle (IA) dans le cadre des obligations imposées par DORA représente une opportunité majeure pour les mutuelles. Grâce à l’IA, plusieurs aspects de la gestion des risques technologiques peuvent être automatisés, notamment la détection des anomalies et la gestion proactive des cybermenaces. Cette technologie permet également de renforcer les tests de résilience opérationnelle, en facilitant des simulations avancées d’incidents de cybersécurité. Celles-ci sont capables d’identifier les failles des systèmes et d’améliorer les plans de continuité d’activité. Les entités du secteur financier bénéficieront ainsi de services optimisés en matière de gestion des risques et de conformité, se conformant aux règlements.
Cependant, l’adoption de l’IA sous DORA n’est pas sans défis. Les systèmes automatisés doivent être encadrés par des processus de supervision rigoureux, afin de prévenir l’émergence de nouveaux risques, tels que les biais algorithmiques ou une défaillance due à l’absence de contrôle humain. De plus, DORA impose une surveillance renforcée des prestataires utilisant l’IA, pour s’assurer que leurs systèmes respectent les standards européens de sécurité et de résilience.
Enfin, la protection des données doit être au cœur de toute automatisation. Toute fuite de données sensibles pourrait avoir des conséquences juridiques et réputationnelles majeures. La DORA, en imposant des standards élevés de sécurité et de résilience, qui complète ainsi le RGPD en minimisant les risques opérationnels liés aux technologies de l’information. Par ailleurs, l’AI Act, qui encadre l’utilisation de l’intelligence artificielle en Europe, impose des obligations supplémentaires sur la transparence et la sécurité des systèmes d’IA, garantissant que les technologies déployées respectent les normes de protection des données et de conformité. Une gestion rigoureuse des risques et une supervision accrue des systèmes automatisés sont donc indispensables pour assurer une conformité harmonisée aux trois régulations.
Une opportunité stratégique pour les mutuelles
Si DORA impose de nouvelles contraintes, elle offre également aux mutuelles l’occasion de se positionner en acteurs proactifs de la transformation numérique. En renforçant leur résilience face aux cybermenaces, elles ne se contentent pas de satisfaire aux exigences réglementaires, mais gagnent aussi en compétitivité. La mise en place de mesures de cybersécurité robustes et d’une gestion proactive des risques inspire confiance, tant auprès des adhérents que des partenaires, rassurés par la stabilité et la fiabilité des services offerts.
Par ailleurs, l’adoption de technologies innovantes telles que l’intelligence artificielle et le cloud permet d’optimiser les processus internes, de réduire les coûts et d’améliorer la rapidité et l’efficacité des services. Cette transformation numérique, impulsée par DORA, modernise non seulement les offres des mutuelles, mais sécurise aussi leurs interactions avec les prestataires externes. Celles qui agiront sans tarder se positionneront comme des leaders, alliant conformité, innovation et performance, tout en anticipant les attentes des régulateurs et des consommateurs de demain.
La capacité à garantir une résilience numérique solide deviendra un levier essentiel pour susciter la confiance dans un environnement de plus en plus exposé aux cybermenaces. Les mutuelles qui s’engageront dans la conformité DORA se distingueront par leur agilité et leur résilience face aux crises, un atout compétitif susceptible de faire toute la différence à long terme.
Se préparer dès maintenant à la conformité DORA
Avec l’échéance de janvier 2025 qui approche, la mise en conformité avec DORA peut sembler contraignante. Cependant, au-delà des exigences réglementaires, elle représente une opportunité de structurer une feuille de route claire et adaptée aux spécificités de chaque mutuelle. Un diagnostic de conformité permet d’identifier les actions prioritaires pour renforcer la résilience numérique et cybersécurité.
Ce diagnostic constitue une étape clé pour évaluer vos systèmes actuels, détecter les vulnérabilités cyber potentielles, et anticiper les ajustements nécessaires. Transformez les exigences de DORA en un levier d’amélioration continue.
Pour vous préparer au mieux, réalisez dès maintenant un diagnostic de conformité DORA avec Hardis Group et avancez sereinement vers 2025
Contributeurs
Laurent Chaillou
CONSULTANT SENIOR ASSURANCE HARDIS GROUP
David Boucher
SENIOR CYBERSECURTY SPECIALIST & EVANGELIST