Par Morgane Hanvic, avocat associé, cabinet Lexance Avocats AARPI, et Ghizlane Benjelloun Touimi, avocate collaboratrice, cabinet Lexance Avocats AARPI

Face à l’utilisation croissante des systèmes informatiques par les entités financières et aux tentatives de plus en plus nombreuses de compromettre la sécurité de leurs réseaux et systèmes d’information, la mise en place d’une réglementation européenne posant un cadre pour se prémunir contre les risques liés aux technologies de l’information et de la communication (TIC) était devenue nécessaire. C’est l’objet du règlement DORA entré en application le 17 janvier 2025. Faisons le point sur son champ d’application et ses impacts réels pour les intermédiaires.

Le règlement Digital Operational Resilience Act (DORA) du 14 décembre 2022 sur la résilience opérationnelle définit des exigences pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’Union européenne.

Il crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières doivent s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux TIC.

Selon DORA est qualifiée de risque lié aux TIC « toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique. »

Ce règlement commencera à s’appliquer en France très bientôt, à partir du 17 janvier 2025. Un an avant son entrée en application, l’AMF appelait déjà les acteurs financiers à se préparer à DORA. Mais quels sont les impacts réels de ce règlement ?

Les courtiers en assurances et les CIF sont-ils concernés ?

DORA a un champ d’application très vaste. Il s’applique à pratiquement toutes les entités du secteur financier, ainsi qu’aux entreprises tierces leur fournissant des services informatiques sur des fonctions critiques ou importantes.

Cela inclut, notamment, les établissements de crédit, les entreprises d’investissement, les plates-formes de négociation, les sociétés de gestion, les prestataires de services de financement participatif, les organismes d’assurance ou encore les intermédiaires d’assurance, qu’ils exercent leur activité à titre principal ou accessoire.

Avec ce champ d’application très large, DORA harmonise la réglementation et met fin à la fragmentation qui existait, voire à une absence de réglementation.

Conformément au principe de proportionnalité, certaines entités financières sont toutefois exemptées de ce régime ou bénéficient d’un régime simplifié. C’est notamment le cas des CIF et des acteurs de petite taille, puisque les microentreprises et les petites et moyennes entreprises sont hors du champ de DORA. Par conséquent, les courtiers en assurances et, de manière générale, les intermédiaires d’assurance qui sont des microentreprises, petites ou moyennes entreprises n’entrent pas dans le champ d’application de DORA.

Sont considérées comme microentreprises les entités qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros.

De la même manière, les intermédiaires d’assurances qui sont des petites entreprises, c’est-à-dire des entités qui emploient moins de cinquante personnes ou dont le chiffre d’affaires ou le bilan n’excède pas 10 millions d’euros, ne sont pas concernés par DORA.

Tout comme les moyennes entreprises définies comme des entités qui ne sont pas une petite entreprise et qui emploient moins de 250 personnes et dont le chiffre d’affaires n’excède pas 50 millions d’euros ou dont le bilan n’excède pas 43 millions d’euros.

Ainsi, seuls les « grands » intermédiaires d’assurance sont concernés par DORA et devront mettre en œuvre les mesures prévues par ce règlement.

Les mesures prévues

Parmi les principales mesures prévues par ce règlement, l’on retrouve le signalement des incidents, les tests de résilience opérationnelle et la classification des tiers fournisseurs critiques.

Ces piliers de DORA visent à renforcer les mesures de sécurité informatique et à favoriser une meilleure collaboration entre les acteurs du secteur financier et les autorités de régulation.

DORA met ainsi à la charge des courtiers en assurance qui ne sont pas des microentreprises, petites ou moyennes entreprises différentes obligations.

La mise en œuvre d’un cadre de gestion du risque lié aux TIC

Ce cadre doit, notamment, comprendre la mise en place de règles de gouvernance et de contrôle interne, l’élaboration d’une stratégie de résilience opérationnelle numérique et l’instauration d’une politique complète de continuité des activités de TIC.

La notification aux autorités nationales compétentes (ACPR pour les courtiers en assurance) des incidents identifiés comme majeurs et liés aux TIC

Les courtiers en assurance devront ainsi transmettre à l’ACPR leurs reportings d’incidents liés aux TIC majeurs. La notification initiale devra se faire dans les quatre heures après la classification de l’incident comme majeur et sous vingt-quatre heures après sa détection. Un rapport intermédiaire devra être envoyé au plus tard soixante-douze heures après la notification initiale, puis le rapport final au plus tard un mois après le dernier rapport intermédiaire. L’incident majeur est considéré comme résolu quand le service affecté revient à la normale.

La réalisation des tests de résilience opérationnelle numérique

Certaines entités financières identifiées par les autorités compétentes, notamment sur la base du caractère systémique de l’entité ou du profil du risque lié aux TIC, devront également mettre en place des tests avancés au moyen de tests de pénétration fondés sur la menace, c’est-à-dire simulant le mode opératoire de véritables attaques cyber.

La gestion du risque lié au recours à des prestataires tiers de services TIC, avec notamment de nouvelles exigences au niveau contractuel

Les entités financières doivent identifier et intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques, et demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers. DORA confirme donc la responsabilité ultime de l’entité financière en cas d’externalisation. Par conséquent, le courtier qui a recours à des prestataires tiers de services TIC est responsable de ses prestataires. L’acteur financier doit également enregistrer tous les contrats de prestations TIC externalisés.

DORA confirme aussi l’application d’un cadre de gestion du risque d’externalisation de service TIC portant sur des fonctions métier critiques ou importantes.

Les intermédiaires en assurance ont également l’obligation de disposer d’une stratégie en matière de risques liés aux prestataires tiers de services TIC et une politique liée aux services TIC supportés par des tiers portant sur des fonctions critiques ou importantes.

Le partage de façon volontaire des informations opérationnelles relatives aux menaces d’origine cyber et les vulnérabilités entre acteurs du secteur financier

Le règlement impose également un cadre de supervision au niveau européen pour les prestataires tiers de services TIC considérés comme « critiques », c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers.

En résumé, pour être en conformité avec le règlement DORA, les intermédiaires d’assurance devront notamment analyser leur système informatique, mettre à jour leur gouvernance du risque informatique, conduire des tests de résilience et gérer les risques liés au recours à des prestataires tiers de services de TIC, lorsqu’ils ont recours à de tels prestataires. L’ACPR indique que les intermédiaires en assurance qui ne sont pas des microentreprises, petites ou moyennes entreprises devront établir leur premier rapport sur la revue du cadre de gestion des risques liés aux TIC au plus tard en 2026, sur la base de l’exercice 2025. Toutefois, elle incite les organismes à s’y préparer dès 2025, notamment pour les plus importants, auxquels il est recommandé de réaliser un rapport « à blanc » pour juin 2025.

En conclusion, les courtiers en assurance qui ne sont pas des microentreprises, petites ou moyennes entreprises et qui n’auraient pas anticipé l’entrée en application de DORA doivent se mettre en ordre de marche. Il est incontestable que les obligations prévues par ce règlement vont constituer une charge importante pour les intermédiaires en assurance, mais elles sont nécessaires à leur bon fonctionnement et leur sécurité informatique.