- La loi sur la résilience opérationnelle numérique (DORA) de l’Union européenne a été introduite pour protéger les sociétés financières contre les risques majeurs liés aux technologies de l’information et de la communication (TIC).
- DORA tient les groupes financiers, y compris les compagnies d’assurance, responsables de la sécurité des fournisseurs de technologies qu’ils emploient, car des tiers ont accru la vulnérabilité du secteur.
- Les cotes de cyberrisque sont une solution technologique viable, selon DORA, qui pourrait évaluer objectivement la posture de cybersécurité d’une compagnie d’assurance.
Le secteur financier européen entre dans une nouvelle ère de réglementation. Dans le cadre d’un paquet numérique visant à permettre au secteur financier européen de tirer parti des avantages de la technologie et de l’innovation, l’Union européenne a introduit la loi sur la résilience opérationnelle numérique (DORA), récemment adoptée par le Parlement européen.
La loi est une réponse à l’impact néfaste des incidents majeurs liés aux technologies de l’information et de la communication (TIC) et vise à renforcer la résilience opérationnelle numérique du secteur financier, y compris les compagnies d’assurance. En fait, sa mise en œuvre dans le secteur de l’assurance a le potentiel de révolutionner la façon dont les assureurs gèrent et atténuent les cyber-risques.
Comment fonctionne DORA ?
Il y a cinq piliers principaux de DORA :
- Gestion des risques.
- Rapports d’incidents.
- Tests de résilience opérationnelle numérique.
- Gestion des risques tiers TIC.
- Partage d’informations et de renseignements.
En substance, DORA tient les groupes financiers responsables de la sécurité des fournisseurs de technologie qu’ils emploient. Et cela s’applique aux tiers qui fournissent des services TIC essentiels au secteur de l’assurance, tels que des services d’informatique en nuage, des logiciels (par exemple, des plateformes de souscription pour les activités de commerce électronique), des services d’analyse de données et des centres de données.
Il s’agit d’une réponse réglementaire à la dépendance croissante du secteur vis-à-vis de fournisseurs de technologie tiers dans lesquels la perte d’un nœud affecte l’ensemble du système. Le Le Fonds monétaire international a noté que le recours au service commun les fournisseurs tiers signifient que les attaques ont une probabilité plus élevée d’avoir des implications systémiques et pourraient rendre des secteurs entiers vulnérables – les pertes peuvent être élevées et devenir macro-critiques.
En tant que tel, il impose certaines exigences aux entreprises du secteur, notamment la notification rapide des incidents de cybersécurité, la visibilité dans les dépendances de tiers et la capacité de répondre aux demandes d’audit.
À l’approche de la mise en œuvre de DORA en 2023 et 2024, la question cruciale est la suivante : quels outils les assureurs adopteront-ils pour se conformer à DORA, et l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) – la principale institution de réglementation du secteur – envisagera-t-elle des solutions technologiques dans le cadre de les normes techniques DORA ?
Découvrir
Que fait le Forum économique mondial sur la cybersécurité ?
Le Forum économique mondial Centre de cybersécurité stimule l’action mondiale pour relever les défis systémiques de la cybersécurité et améliorer la confiance numérique. Il s’agit d’une plateforme indépendante et impartiale favorisant la collaboration en matière de cybersécurité dans les secteurs public et privé.
- Salesforce, Fortinet et la Global Cyber Alliance, en partenariat avec le Forum, proposent des services gratuits et accessibles dans le monde entier la formation d’une nouvelle génération d’experts en cybersécurité.
- Le Forum, en collaboration avec l’Université d’Oxford – Oxford Martin School, Palo Alto Networks, Mastercard, KPMG, Europol, l’Agence européenne de sécurité des réseaux et de l’information et le National Institute of Standards and Technology des États-Unis, identifie futurs risques mondiaux liés à la technologie de nouvelle génération.
- Le Forum a amélioration de la cyber-résilience dans l’aviation tout en travaillant avec Deloitte et plus de 50 autres entreprises et organisations internationales.
- Le Forum développe un plateforme d’échange unique pour les leaders de la cybersécurité dans l’industrie de l’électricité en collaboration
- Le Conseil sur le monde connecté a convenu de Exigences de sécurité IoT pour les appareils destinés aux consommateurs pour les protéger contre les cybermenaces, appelant les plus grands fabricants et fournisseurs du monde à agir pour une meilleure sécurité de l’IoT.
- Le Forum est également signataire de l’Appel de Paris pour la confiance et la sécurité dans le cyberespace, qui vise à assurer une paix et sécurité numériques.
Contactez-nous pour plus d’informations sur la façon de s’impliquer.
Les solutions techniques renforcent la sécurité à grande échelle
Une option viable est cotes de cyberrisquequi évaluent objectivement la posture de cybersécurité d’une organisation en fonction de divers facteurs, notamment la sécurité du réseau, la protection des données et les capacités de réponse aux incidents. Gérer le cyber-risque tout au long de la chaîne d’approvisionnement numérique est aussi de plus en plus critique. Selon Recherche conjointe de SecurityScorecard avec l’Institut Cyentia, 98% des organisations ont une relation avec au moins un tiers qui a subi une violation au cours des deux dernières années.
Les assureurs utilisent déjà des notations de cyber-risque pour évaluer le risque d’une cyberattaque et déterminer la tarification appropriée de la couverture. L’utilisation de cet outil pour gérer leur propre risque de tiers et se conformer à DORA est une progression logique. En adoptant des notations de cyber-risque, les assureurs peuvent gérer efficacement leurs risques de tiers et prendre des décisions de souscription éclairées. Compte tenu des exigences de la DORA, l’adoption de notations des cyber-risques devient de plus en plus vitale car les assureurs doivent démontrer leur capacité à identifier, évaluer et gérer les cyber-risques.
Compte tenu des implications systémiques du cyber-risque de tiers, l’AEAPP devrait introduire des notations obligatoires du cyber-risque sous la forme de normes techniques. Ces normes peuvent fournir des directives détaillées sur les exigences en matière de TIC et les obligations de déclaration que les assureurs doivent suivre pour se conformer à DORA.
https://cdn.jwplayer.com/players/uyWNP5Uw-ncRE1zO6.html
Un précédent existe avec le Normes techniques de l’Autorité bancaire européenne (ABE) pour la directive sur les services de paiement (PSD2) – introduit pour améliorer la protection des clients lors des transactions de paiement et promouvoir l’innovation commerciale – qui décrit en détail comment les normes technologiques d’authentification doivent être gérées tout en restant neutres sur le plan technologique.
C’est une tendance mondiale; la législation imposera des notations du risque cyber en France. Par ailleurs, la loi française Cyberscore crée l’obligation d’une certification de cybersécurité pour les plateformes numériques destinées au public. Il entre en vigueur le 1er octobre 2023.
La loi française sur le cyberscore devrait servir de modèle à l’EIOPA, qui dispose d’une grande marge de manœuvre pour interpréter les normes techniques DORA. Par exemple, une étude d’IBM a révélé qu’une compromission de la chaîne d’approvisionnement était à l’origine de près d’un cinquième des violations de données, et ces compromis rendaient les violations plus coûteuses et allongeaient les cycles de vie.
La recherche a également montré qu’une violation de la chaîne d’approvisionnement prenait 26 jours de plus à identifier et à contenir que la moyenne mondiale. Ce niveau de risque est inacceptable dans les services financiers d’importance systémique, en particulier dans l’assurance.
En incitant les assureurs à adopter des outils innovants comme les notations de cyber-risque et en introduisant potentiellement des normes techniques obligatoires par le biais de l’AEAPP, DORA favorise un secteur financier plus résilient et plus sûr.
