Le contexte
Si la réglementation de Solvabilité II oblige déjà les organismes d’assurance à mettre en œuvre un système de gestion efficace des risques, ce dispositif est appelé à se renforcer face à la nouvelle menace cyber. L’ACPR se montrera intransigeante sur la gestion de ce risque et la mise à jour régulière des plans de continuité d’activité, rendue indispensable par le caractère évolutif des cyber-attaques.
Retour sur les dernières publications du régulateur, dont les recommandations ont vocation à aider les acteurs du monde de l’assurance à renforcer leur protection.
Une notice dédiée à la mise en place des dispositifs de gestion du risque Cyber
L’ACPR considère que le cyber risque devient un danger majeur pour le secteur assurantiel. L’EIOPA et la Banque de France ont également soulevé cet élément de menace. Ainsi, l’ACPR a publié une notice afin d’améliorer le cadre de la gestion du cyber risque. Dans un premier communiqué, l’organe de supervision présente brièvement l’objectif de cette notice destinée aux entreprises d’Assurance et de Réassurance. À la vue de la nature des activités exercées et de la complexité des opérations, un principe de proportionnalité sera appliqué à tous les acteurs de l’assurance soumis au régime Solvabilité II, au code des assurances, de la mutualité et de la sécurité sociale. La notice est détaillée dans ce document.
À noter qu’une notice équivalente est également applicable aux organismes de retraite professionnelle supplémentaire (ORPS).
La feuille de route des assureurs pour respecter les exigences du régulateur en matière de cyber risque
Une première vague de définitions liées au cyber risque est proposée par l’ACPR. On peut retrouver notamment des termes comme propriétaire de ressources, cyberattaque, ou encore vulnérabilité.
L’ACPR soumet ensuite 25 orientations ayant pour objectif de regrouper les modalités à suivre. Nombre de ces orientations suggèrent que l’AMSB (Administration, Management or Supervisory Body – à savoir le conseil d’administration ou de surveillance au sens de Solvabilité II) définisse, gouverne, et documente toutes les mesures et politiques en matière de TIC (Technologies de l’information et de la communication).
3 points sont finalement soulevés par l’ACPR :
- Mise en place des mesures de prévention
- Anticipation de la gestion des incidents et des mécanismes de reprise
- Renforcement de la gouvernance du risque
L’ACPR souhaite une transparence totale (via la documentation exigée), et impose que toutes ces mesures soient justifiées en fonction de la nature et de la complexité du risque. Une grande vigilance de la part de l’ACPR vis-à-vis du risque-cyber est de rigueur.
