Le renforcement d’un assureur global de sa résilience opérationnelle pour respecter l’échéance DORA
- Conformité, risque et résilience
Répondre aux exigences complexes du règlement DORA
Face au risque croissant de cyberattaques, l’Union européenne a renforcé la sécurité informatique des entités financières (telles que les banques, compagnies d’assurance et sociétés d’investissement) en introduisant le règlement sur la résilience opérationnelle numérique du secteur financier (DORA).
Ce règlement vise à accroître la résilience des organisations de services financiers afin qu’elles puissent résister, réagir et se remettre de toute perturbation liée aux technologies de l’information et de la communication (TIC). En préparation à l’échéance de conformité de janvier 2025, notre client – la division risques IARD et spécialisés d’un groupe d’assurance mondial – a dû faire face à de nombreux défis.
L’équipe Cybersécurité et Juridique & Réglementaire, en charge du programme de remédiation, devait naviguer dans un paysage réglementaire DORA complexe et en constante évolution, mener des activités de remédiation substantielles et faciliter la collaboration interfonctionnelle à travers plusieurs domaines.
Parmi les autres défis figuraient la gestion des risques liés aux tiers, le suivi des activités contractuelles de remédiation, l’élaboration de plans de réponse aux incidents efficaces, la garantie de la confidentialité et de la sécurité des données, les tests de résilience opérationnelle numérique et la mise en place de plans de continuité d’activité robustes.
Conscients de la complexité croissante de la conformité à DORA et des risques associés à la non-conformité, notre client a reconnu ne pas disposer de l’expertise nécessaire pour gérer un programme de cette envergure, ni des connaissances suffisantes sur le paysage réglementaire pour accompagner les équipes en charge des activités courantes (BAU) vers la conformité.
Bien qu’il s’agisse d’un nouveau règlement, une connaissance approfondie de la résilience opérationnelle et de la conformité réglementaire était indispensable pour adopter une approche fondée sur les risques, tout en tenant compte des contraintes de ressources et de budget existantes.
Une approche intégrée et interfonctionnelle de la conformité
Le règlement DORA introduit des exigences strictes en matière d’identification, d’évaluation, de gestion et d’atténuation des risques opérationnels.
Pour répondre à ces exigences, le client, avec le soutien de Wavestone, a planifié un programme de remédiation de 24 mois, débutant par une évaluation de maturité (via une analyse des écarts), suivie de l’élaboration d’une feuille de route de remédiation pour aligner ses opérations sur les exigences réglementaires.
Les étapes clés du programme:
Évaluer la conformité aux exigences réglementaires DORA par rapport à l’état actuel de la résilience opérationnelle ; identifier les écarts et les objectifs à atteindre.
Définir et gérer des programmes DORA complexes, couvrant plusieurs unités opérationnelles (25+ projets), incluant le renforcement des premières et deuxièmes lignes de défense via des contrôles opérationnels et l’amélioration du cadre d’assurance sécurité.
Apporter un soutien ciblé sur les exigences techniques clés, notamment les tests de pénétration dirigés par la menace, la gestion des risques tiers et la gestion des actifs informatiques.
Mettre en œuvre de nouveaux processus et intégrer les améliorations dans les activités courantes, avec un suivi exécutif robuste et des interfaces de reporting interfonctionnelles.
Le succès du programme a reposé sur l’exploitation des connaissances d’experts métiers (SME) et l’intégration des expertises en cybersécurité et en conseil technologique. Cela a permis de combler efficacement les écarts vers la conformité DORA.
La collaboration interfonctionnelle a également été essentielle, facilitée par des groupes de travail dédiés et des réunions d’amélioration des risques pour résoudre les blocages rencontrés lors de la phase de remédiation.
Enfin, des relations solides avec les équipes juridiques et de conformité ont permis une collaboration fluide dans l’analyse et la résolution des écarts de conformité.
Défis clés du projet
Étant donné que DORA est un nouveau règlement, une étape clé du programme a été l’interprétation initiale du texte. Cela a nécessité des discussions avec les parties prenantes internes pour aligner la position de l’organisation et documenter les hypothèses clés.
Ce programme impliquait la gestion de nombreuses dépendances (internes, interfonctionnelles et avec l’entité de gouvernance) car la résilience opérationnelle et la conformité impactaient toutes les fonctions (IT, sécurité, juridique, achats, etc.). L’accent mis sur les tiers a également mis en lumière la nécessité de clauses contractuelles plus strictes.
Comprendre l’impact de l’alignement avec DORA sur les processus opérationnels, au-delà de la documentation, était essentiel. La structure de gouvernance exécutive a été élargie pour assurer un suivi BAU continu sur les entités juridiques concernées.
Le programme visait à démontrer une position défendable dès le premier jour (Day 1) tout en établissant un plan d’action durable (Day 2). Le défi était de trouver le bon équilibre entre conformité réglementaire et objectifs internes.
Un cadre de résilience pour l’avenir
Le client a fait de la résilience une priorité stratégique, investissant massivement sur deux ans pour se préparer à DORA. Le programme a atteint ses objectifs : tous les écarts identifiés ont été comblés, avec des solutions tactiques pour les points restants.
Il a également renforcé la collaboration interfonctionnelle, augmentant la résilience organisationnelle globale. Des mesures proactives ont été mises en place pour assurer un suivi continu des activités BAU et une résolution rapide des risques émergents liés à DORA (ex. : tableau de bord exécutif DORA).
Enfin, le programme a posé les bases d’un cadre évolutif, permettant à l’organisation de s’adapter aux futurs défis réglementaires et opérationnels.
Se préparer aux futures exigences de conformité
Comme l’a récemment reconnu la CBI, les activités de remédiation DORA ne sont pas censées être parfaites d’ici janvier 2025. Ce travail s’étendra sur plusieurs années.
Dans cette optique, le client poursuivra l’optimisation de ses opérations interfonctionnelles pour mettre en œuvre les activités prévues en 2025-2026, renforçant ainsi sa maturité organisationnelle globale.
Cela permettra non seulement de répondre aux exigences de DORA, mais aussi de se préparer aux futures obligations réglementaires.