Être rappelé
Nous contacter
Actualités
Librairie
Retour aux actualités
Partager ce contenu
Gaël LEGER, Teddy RAMA
4 mars 2025

REPLAY du Webinaire “DORA : quel impact pour les organismes d’assurance ?”

Découvrez le replay du webinaire “DORA : quel impact pour les organismes d’asurance” du jeudi 27 février 2025.

Avec la participation de Gaël LEGER, associé et responsable du pôle “Assurance” de l’Afges, et de Teddy RAMANAKASINA, expert en cybersécurité, formateur à l’Afges.

Si la vidéo ne s’affiche pas, rendez-vous ici.

Le webinaire en synthèse

Le règlement européen DORA (Digital Operational Resilience Act) impose aux organismes financiers, y compris les assureurs, des exigences accrues en matière de cybersécurité et de gestion des risques liés aux technologies de l’information. Son application, prévue pour le 17 janvier 2025, vise à harmoniser la résilience numérique au sein de l’Union européenne et à renforcer la supervision des risques ICT.

Les enjeux de la résilience opérationnelle

DORA s’articule avec Solvabilité II, notamment le Pilier 2, qui traite de la gestion des risques opérationnels et de la gouvernance. Pour les assureurs, cela implique un cadre plus strict de supervision des risques ICT, avec de nouvelles exigences en matière de notification des incidents, de tests de résilience et de gestion des prestataires TIC tiers.

• 98 % des incidents cyber déclarés sont liés à des erreurs humaines ou à une faille organisationnelle.
• Le coût moyen d’une cyberattaque a augmenté de 28 % en un an.

DORA vise ainsi à réduire ces vulnérabilités grâce à une approche systématique de gestion et de prévention des risques.

Les implications pour les assureurs

Les assureurs doivent adapter leurs processus internes pour répondre aux nouvelles exigences :
• Notification des incidents : déclaration obligatoire des incidents majeurs à l’ACPR, qui transmettra aux autorités européennes compétentes (BCE, EIOPA, ESMA).
• Gouvernance renforcée : création d’un Comité de résilience et désignation d’un responsable de la fonction résilience.
• Tests de résilience : obligations de tests annuels de continuité et de reprise d’activité (PCA/PUPA) et de tests de pénétration avancés (TLPT) pour les acteurs critiques.

Les interactions entre DORA et Solvabilité II

DORA impose une intégration forte avec le Pilier 2 de Solvabilité II, en instaurant des normes plus strictes pour la gestion des risques ICT.
• Seulement 29 % des assureurs déclarent avoir une stratégie de résilience bien définie.
• 43 % des entreprises n’ont pas encore mis en place un cadre structuré de gestion des risques TIC.
Pour répondre aux nouvelles obligations, les assureurs doivent renforcer leur approche en matière de cartographie des risques, de gestion des incidents et de pilotage des risques tiers.

Impacts sur les conventions de sous-traitance avec les prestataires critiques

DORA impose un renforcement du contrôle des prestataires TIC tiers, en particulier ceux considérés comme “Critical Third-Party Providers” (CTPP).
• 72 % des incidents ICT sont liés à un fournisseur tiers.

Les nouvelles obligations incluent :
• Obligation de suivi et de contrôle des fournisseurs TIC : mise en place d’un registre des services TIC, intégrant une évaluation annuelle des prestataires soutenant des fonctions critiques.
• Droit d’audit, d’inspection et de résiliation : intégration de clauses spécifiques dans les contrats avec les prestataires TIC.
• Stratégies de sortie documentées et testées : anticipation du risque de dépendance excessive à un prestataire.
Ces mesures visent à réduire les vulnérabilités liées à la sous-traitance et à garantir la continuité des services critique.

DORA : une opportunité pour le marché de la cyberassurance

DORA représente une aubaine pour la cyberassurance, en renforçant la structuration du marché et en favorisant une approche plus mature du risque cyber.
• Le marché de la cyberassurance pourrait croître de 20 % par an grâce aux exigences DORA.
• 57 % des entreprises ne disposent pas d’une couverture suffisante contre les cyberattaques.

DORA permet ainsi :
• Une meilleure évaluation des risques et une tarification plus précise des polices d’assurance.
• Une incitation des entreprises à renforcer leur cybersécurité, ce qui réduit la sinistralité et stabilise le marché.
Ce cadre règlementaire pousse les assureurs à développer de nouvelles offres adaptées aux exigences de résilience opérationnelle.

En conclusion, DORA impose une réorganisation majeure de la gestion des risques ICT pour les assureurs.
• Seuls 6 % des assureurs se considèrent totalement prêts pour DORA.
• 71 % sont encore en phase de mise en conformité.

Les prochaines étapes pour les assureurs sont claires :
• Finaliser la mise en conformité avec DORA en adaptant leur gouvernance et leurs processus.
• Renforcer le suivi des prestataires TIC tiers et intégrer les nouvelles obligations contractuelles.
• Profiter de l’opportunité offerte par DORA pour structurer et développer le marché de la cyberassurance.

DORA ne doit pas être vu comme une simple contrainte réglementaire, mais comme un levier stratégique pour renforcer la résilience du secteur assurantiel et stimuler la croissance du marché de la cyberassurance.

Restons-en contact !

Abonnez- vous à notre newsletter pour recevoir les articles d'analyse de nos experts et les actualités de nos formations.

Afges est présent à l’international

Visitez le site correspondant à votre zone géographique.

Luxembourg
Maroc
Afrique
Mentions légales et politique de confidentialité
Règlement intérieur du centre de formation
Conditions Générales de Vente
Gérer les cookies
Copyright © 2023-2025 Afges - Date de modification :  26 mars 2025

    Merci de remplir les champs suivants afin de vous contacter au plus tôt.