Les assureurs doivent mieux cadrer l’externalisation d’activités critiques ou importantes

Alors que le règlement DORA (Digital Operational Resilience Act) doit entrer en application dans un an, l’Autorité de contrôle prudentiel et de résolution (ACPR) a mené auprès des assureurs français une enquête sur les prestations critiques ou importantes qu’ils externalisent. C’est une pratique largement répandue, notamment pour la gestion des contrats et des sinistres, les investissements, la gestion d’actifs, et la gestion des systèmes d’information, hors cloud (voir graphique ci-dessous).

Le régulateur note des points d’amélioration dans la contractualisation entre les assureurs et leurs sous-traitants : une plus grande précision dans les mentions obligatoires du contrat (portant entre autres sur le respect par le prestataire d’un délai de préavis, la protection de toute information confidentielle ou l’encore accès des tiers autorisés…), une application plus granulaire et opérationnelle des lignes directrices ou encore une clarification des stratégies de retrait, de transfert vers un autre tiers ou de ré-internalisation des prestations, etc.

À noter : Dans le cadre de cette enquête, 161 organismes d’assurance ont transmis 2 516 contrats d’externalisation importante ou critique. Parmi cet inventaire, 756 mentionnent l’utilisation du cloud. Le recours au cloud privé est majoritaire (52 %), devant le cloud public (23 %), le cloud communautaire (12,5 %) et le cloud hybride (12,5 %). Le règlement DORA porte une attention toute particulière à la gestion du risque de tiers dans le cas d’une exploitation du cloud public.