Addactis is an InsurTech100 Company

Cybersécurité : de nouvelles règles pour l’assurance

29/07/2021

Nouvelle menace cyber : retour sur les dernière publications de l’ACPR

Si la réglementation de Solvabilité II oblige déjà les organismes d’assurance à mettre en œuvre un système de gestion efficace des risques, ce dispositif est appelé à se renforcer face à la nouvelle menace cyber. L’ACPR se montrera intransigeante sur la gestion de ce risque et la mise à jour régulière des plans de continuité d’activité, rendue indispensable par le caractère évolutif des cyber-attaques.

Retour sur les dernières publications du régulateur, dont les recommandations ont vocation à aider les acteurs du monde de l’assurance à renforcer leur protection.

Une notice dédiée à la mise en place des dispositifs de gestion du risque Cyber

L’ACPR considère que le cyber risque devient un danger majeur pour le secteur assurantiel. L’EIOPA et la Banque de France ont également soulevé cet élément de menace. Ainsi, l’ACPR a publié une notice afin d’améliorer le cadre de la gestion du cyber risque. Dans un premier communiqué, l’organe de supervision présente brièvement l’objectif de cette notice destinée aux entreprises d’Assurance et de Réassurance. À la vue de la nature des activités exercées et de la complexité des opérations, un principe de proportionnalité sera appliqué à tous les acteurs de l’assurance soumis au régime Solvabilité II, au code des assurances, de la mutualité et de la sécurité sociale. La notice est détaillée dans ce document.

À noter qu’une notice équivalente est également applicable aux organismes de retraite professionnelle supplémentaire (ORPS).

La feuille de route des assureurs pour respecter les exigences du régulateur en matière de cyber risque

Une première vague de définitions liées au cyber risque est proposée par l’ACPR. On peut retrouver notamment des termes comme propriétaire de ressources, cyberattaque, ou encore vulnérabilité.

 L’ACPR soumet ensuite 25 orientations ayant pour objectif de regrouper les modalités à suivre. Nombre de ces orientations suggèrent que l’AMSB (Administration, Management or Supervisory Body – à savoir le conseil d’administration ou de surveillance au sens de Solvabilité II) définisse, gouverne, et documente toutes les mesures et politiques en matière de TIC (Technologies de l’information et de la communication).

 

3 points sont finalement soulevés par l’ACPR

  • Mise en place des mesures de prévention
  • Anticipation de la gestion des incidents et des mécanismes de reprise
  • Renforcement de la gouvernance du risque

 

L’ACPR souhaite une transparence totale (via la documentation exigée), et impose que toutes ces mesures soient justifiées en fonction de la nature et de la complexité du risque. Une grande vigilance de la part de l’ACPR vis-à-vis du risque-cyber est de rigueur.

 

 

Découvrez d’autres contenus sur ce sujet

Addactis is an InsurTech100 Company

Maîtriser le risque opérationnel Cyber dans l’Assurance

Le risque cyber, devenu une préoccupation majeure pour les compagnies d’assurance, se caractérise par sa capacité à impacter significativement leurs opérations et leur réputation.

En savoir plus >

Solvabilité II

Comment construire la cyber résilience en Europe ?

En juin 2023, plusieurs acteurs issus des milieux de l’assurance, de la réassurance, du courtage d’assurance et de la gestion des risques, se sont réunis autour d’une table pour discuter des moyens d’améliorer la cyber-résilience en Europe.

En savoir plus >

Solvabilité II

Le cyber rentre dans le code des assurances

Ce baromètre, élaboré fin 2021 par la Commission Analyse des Risques de France Assureurs, a interrogé les directeurs métiers (assurance de biens, assurance de personnes, finance et investissement, réassurance) et les directeurs des risques.

En savoir plus >