Sous-traitance : L’ACPR alerte sur les risques liés à l’externalisation

Les assureurs ont un fort recours à l’externalisation de leurs activités critiques, selon une enquête de l'ACPR qui alerte sur les risques opérationnels et de pilotage.

L’Autorité de contrôle prudentiel et de résolution (ACPR) souhaite sensibiliser le secteur de l’assurance sur les risques liés à l’externalisation. En effet, le règlement Dora (Digital Operational Resilience Act) qui entrera en vigueur le 17 janvier 2025 renforcera leurs obligations en matière de la gouvernance et de gestion des risques informatiques. Les acteurs devront déclarer les incidents majeurs liés aux technologies. Mais aussi soumettre leurs entreprises à des tests de résilience informatique. Ces derniers intègrent la gestion du risque de tiers.

Un an avant l'entrée en vigueur de Dora, l'ACPR a mené une enquête auprès du secteur afin de dresser un état des lieux. 96% des organismes assureurs interrogés par l'Autorité de contrôle recourent à des sous-traitants pour des fonctions importantes ou critiques. Cela leur permet de rationaliser les coûts de fonctionnement et de se recentrer sur leur cœur de métier. Mais l’externalisation « accroît les risques opérationnels et complexifie le pilotage », écrit l’ACPR.

La gestion des contrats en tête des activités déléguées

L’enquête du régulateur permet de constater que les activités les plus sous-traitées par les assureurs sont la gestion des contrats et des sinistres, les investissements, la gestion d’actifs et la gestion des systèmes d’information. Au contraire, la réassurance, la conformité ou l'actuariat sont peu déléguées à des tiers.

L’ACPR rappelle dans son document les obligations de conformité en matière de sous-traitance. Les assureurs doivent ainsi disposer d'une procédure de sélection des sous-traitants, avoir une politique écrite de sous-traitance, informer l’ACPR sur les activités sous-traitées, intégrer la sous-traitance au dispositif de contrôle interne ou de gestion des risques. Ou encore veiller à la mise en place d’un plan de continuité chez le prestataire.

Détailler le plus possible le contrat de sous-traitance

L’ACPR insiste pour que le contrat de sous-traitance soit le plus précis possible. Il doit détailler « les devoirs des différentes parties », aborder la question de la « gestion des informations confidentielles » ou encore « la sous-traitance en chaîne ».

Par ailleurs, l’ACPR constate que les acteurs n’ont pas anticipé l’éventuel transfert des prestations externalisées vers un autre sous-traitant ni la réintégration de l'activité sous-traitée en interne. « Les capacités de substituabilité ou de réversibilité s’avèrent difficilement applicables ou dans des délais excessifs », signale l’ACPR.

L’étude consacre enfin un chapitre à l’exposition des services en nuage (cloud) en lien avec des acteurs situés en dehors de l’Europe. Et l’ACPR de pointer « des risques nouveaux dont la maîtrise est à acquérir », à l’aune de l’entrée en vigueur du règlement Dora.