Intitulée « Enquête 2023 sur l’externalisation des activités critiques ou importantes », cette enquête s’inscrit dans le cadre de la préparation à l’entrée en application du règlement DORA « Digital Operational Resilience Act » n°2022/2554, prévue le 17 janvier 2025.
Il ressort de cette analyse que les organismes d’assurance ont en effet fortement recours à l’externalisation de leurs activités importantes ou critiques. Ils y trouvent de multiples avantages (rationalisation des coûts, expertise spécifique, recentrage sur des activités cœur de métier, absence ou faiblesse des ressources internes, etc.) mais ce recours à l’externalisation accroit les risques opérationnels et complexifie leur pilotage.
Les domaines d’activité les plus fréquemment sous-traités sont la gestion des contrats et des sinistres, les investissements, la gestion d’actifs, et la gestion des systèmes d’information (hors cloud). L’enquête permet également de distinguer les prestations externalisées auprès d’un tiers de celles au sein d’un même groupe.
L’enquête permet aussi de souligner la prise de conscience des principales obligations de conformité, telles que la mise en place d’une procédure de sélection des sous-traitants, la notification à l’ACPR des activités sous-traitées, l’instauration d’une politique écrite de sous-traitance, l’intégration de la sous-traitance au dispositif de contrôle interne ou au dispositif de gestion des risques ou enfin l’existence d’un plan de continuité chez le prestataire.
Par ailleurs, si dans la majorité des cas, les organismes signent de façon quasi-systématique un contrat de sous-traitance, ce dernier ne comporte pas nécessairement toutes les mentions obligatoires (devoirs des différentes parties, gestion des informations confidentielles, sous-traitance en chaine, etc.).
L’enquête révèle ainsi que si les principes généraux sont respectés, la mise en œuvre reste trop générale : une application plus granulaire ou opérationnelle est nécessaire pour une meilleure maîtrise du risque de sous-traitance. En outre, les stratégies pour organiser le transfert des prestations externalisées vers un autre tiers, ou pour ré-internaliser les prestations en interne (capacités de substituabilité ou de réversibilité) s’avèrent difficilement applicables ou dans des délais excessifs. Enfin, les faiblesses liées aux expositions des services en nuage (clouds) publics ou hybrides, ou celles liées au recours à des acteurs TIC situés hors Europe, constituent des risques nouveaux dont la maitrise est à acquérir. Ce sujet d’attention est renforcé par la perspective de l’entrée en application du règlement DORA précité.