Entrée en vigueur du règlement européen « DORA » : la cyberdéfense est déclarée

31.01.2025

La défense contre les cybercriminels s’étoffe. La « résilience opérationnelle numérique » s’installe, depuis le 17 janvier 2025, dans le secteur de l’assurance sous l’effet de l’entrée en vigueur du règlement (UE) « DORA » (Digital Operational Resilience Act) 2022/2554 du 14 décembre 2022.

Celui-ci s’applique notamment aux entreprises d’assurance, ainsi qu’aux intermédiaires d’assurance. Des obligations nouvelles, sans doute moins adaptées aux petites entreprises de distribution d’assurance qu’aux grands groupes, producteurs des contrats. Ce défi d’harmonisation sectorielle présente pourtant un enjeu éminent : celui de la cohésion globale du dispositif.

Le règlement DORA procède d’un esprit de combat. Les professionnels de l’assurance, organismes agréés et intermédiaires immatriculés sont tenus de garantir la cybersécurité de leurs activités : la résilience opérationnelle. Le déclenchement d’attaques fictives ainsi que le partage d’informations, quant aux résultats de celles-ci et à la survenance d’attaques effectives, tend à améliorer la capacité de prévention des entreprises concernées, ainsi que leur réponse efficace à ces menaces. Un défi pour les entreprises concernées, notamment celles du secteur de l’assurance, dont les intermédiaires, courtiers, agents généraux ou mandataires.

Les objectifs de la résilience opérationnelle numérique européenne

La législation relative à la protection de la finance numérique enfle. Et nous gratifie de nouveaux concepts et de leur lot de termes techniques déroutants. Les risques nouveaux découlant à la fois de l’usage massif des technologies de traitement de l’information, de la communication, de la numération et du haut degré d’interconnexion que celles-ci entraînent entre les entités économiques sont indéniables. Les cyberattaques concerneraient une entreprise sur deux. Pour les prévenir et pour en résorber les effets, la législation se renforce avec le nouveau cadre de la « résilience opérationnelle numérique. »

Cette résilience (de l’anglais, emprunté au latin resilire : « sauter en arrière » ; « qui rebondit, qui rejaillit ») vise à procurer à l’entité financière concernée une bonne capacité à surmonter les risques informatiques, qu’il s’agisse de simples pannes ou de cyberattaques. Elle consiste en effet à doter « une entité financière » de la « capacité » à « développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC [technologies de l’information et de la communication ], l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations » (Règl. DORA, art. 3, 1).

Selon la terminologie usuelle, « DORA » se présente sous la forme d’un « paquet » législatif, comportant un règlement, une directive, ainsi que des mesures d’applications (RTS, ITS, lignes directrices).

Parmi une longue liste d’assujettis, les dispositions prévues s’appliquent aux professionnels de l’assurance, qu’il s’agisse d’entreprises agréées et des institutions de retraite professionnelle (Règl. DORA, art. 2, 1°, n et p), ou d’intermédiaires d’assurance et d’intermédiaires de réassurance y compris les intermédiaires d’assurance à titre accessoire (Règl. DORA, art. 2, 1°, o). Bon nombre de ces intermédiaires sont également intermédiaires en opérations de banque (C. mon. fin., art. L. 519-1, L. 519-2 et R. 519-4, I), lesquels ne figurent pas parmi les entreprises soumises à ces dispositions au titre de leurs activités.

Les obligations à délivrer proviennent donc d’un schéma commun, définissant des processus opérationnels internes aux professionnels. Ces obligations nouvelles à délivrer relèvent de deux régimes : celui des dispositions pleines du paquet législatif « DORA » ; et celui, simplifié (Règl. DORA, art. 4), applicable par les microentreprises (Règl. DORA, art. 3, 60). Sans doute, nombre d’intermédiaires d’assurance entrent dans ce régime dérogatoire.

La bonne compréhension, par tous les professionnels concernés, des mesures à mettre en place constitue un enjeu essentiel du dispositif de résilience, dont la dimension globale est évidente. Hormis la notable diversité d’activités de ceux-ci, leurs différences de tailles soulèvent, nécessairement, des difficultés. Toute nouvelle série de normes soulève inévitablement les mêmes questions : en dissiper la complexité pour les traduire en mesures concrètes, conformes. Pour les intermédiaires d’assurance, parfois de modeste taille, cette nouvelle couche normative n’est guère simple. Construire un dispositif défensif, adapté aux attaques numériques, n’est pas spontané.

La bonne délivrance de ces nouvelles obligations fera, bien entendu, l’objet de contrôles ; ces normes ouvrent donc un nouveau champ potentiel de sanctions. Car « Les autorités compétentes disposent de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires pour s’acquitter des tâches qui leur incombent en vertu du présent règlement » (Règl. DORA, art. 50, 1). Outre le régime, connu, des sanctions nationales, le Règlement fixe des sanctions pécuniaires, en proportion du chiffre d’affaires de l’entreprise.

Le 17 janvier 2025, l’Autorité de contrôle prudentiel et de résolution a publié une série de questions-réponses (FAQ) relatives aux modalités d’application de ces dispositions.

Les obligations du professionnel numériquement résilient

Quatre domaines sont couverts : la gestion du risque informatique ; le signalement des attaques ; les tests de résilience ; la gestion du risque de tiers porté par les prestataires de services informatiques.

Centralement, l’entité concernée identifie et qualifie les risques critiques qu’elle pourrait subir. Ces fonctions « critiques ou importantes » sont celles « […] dont la perturbation est susceptible de nuire sérieusement à […] une entité financière », qu’il s’agisse de sa performance financière, de sa solidité, de la continuité de ses activités, du respect des conditions et des obligations de son agrément et de celui de ses obligations (Règl. DORA, art. 3, 22). Le choix des facteurs de criticité est confié à l’entreprise, sur la base de ceux contenus par le règlement. En pratique, cette obligation se matérialise par la tenue d’une nouvelle cartographie des risques : celle des services critiques et importants.

Au titre de la gestion du risque informatique, l’entité assujettie met en place un dispositif de gouvernance interne : politiques, procédures, mesures de sécurité, gestion des projets informatiques et dispositif de continuité des activités informatiques.

Le signalement, ou reporting, des incidents qualifiés de « majeurs » (Règl. délégué [UE] 2024/1772) s’impose : un processus de gestion des incidents, leur classement (catégorisation), ainsi que leur signalement (notification aux autorités de supervision). Le signalement est effectué au maximum vingt-quatre heures après sa survenance et quatre heures après sa classification comme « majeur. » Les entités assujetties disposent, à cet effet, d’une maquette de déclaration (formulaire de déclaration d’externalisation de notification des incidents majeurs). Le signalement obligatoire est complété par des incitations au partage d’informations. Les cybermenaces non « majeures » sont également détectées et déclarées, selon une base volontaire.

Les tests de résilience, opérationnelle ou avancée, reposent sur la réalisation d’essais de sécurité. Des tests de pénétration fondés sur la menace (ou « TLPT », art. 26 du règl.) sont conduits au moins tous les trois ans ; leurs résultats sont communiqués au superviseur concerné. Ces simulations d’attaques contrôlées suivent un schéma commun (TIBER-FR, pour la France).

La gestion du risque de tiers oblige à identifier les risques créés par les relations avec des prestataires de services informatiques, incluant la surveillance rapprochée des prestataires de services informatiques qualifiés de « critiques. » La sous-traitance est évaluée avant la passation de tout contrat ; elle est auditée durant l’exécution du contrat. Un registre des tiers (registre d’information, ou Rol) en dresse la liste. Cette liste des prestataires est remise aux Autorité de supervision, une fois par an, à date fixe. L’entité assujettie est responsable des risques en cas d’externalisation. Les tiers essentiels feront l’objet d’une supervision spécifique.

Règl. (UE) 2022/2554, 14 déc. 2022, JOUE 27 déc.