L’ACPR incite les entreprises d’assurance à améliorer leur gestion des cyber-risques
L’Autorité de contrôle prudentiel et de résolution (ACPR) a publié, le 2 juillet 2021, une notice relative à la sécurité de l’information et à la gouvernance des Technologies de l’information et de la communication (TIC) à destination des entreprises d’assurance ou de réassurance relevant du régime « Solvabilité II » en lien avec les orientations publiées par l’Autorité européenne des assurances et des pensions (AEAPP) en octobre 2020.
Cette notice souligne que le risque informatique mérite d’être pleinement pris en compte dans le dispositif général de gestion des risques et clarifie les attributions des organes de gouvernance en matière d’élaboration d’une stratégie IT, de validation d’une politique idoine et de l’allocation de ressources permettant une prise en charge efficiente de ce risque. Il est notamment attendu que les dirigeants effectifs soient responsables de la définition, de la validation, du déploiement et du suivi de cette stratégie au titre de leur responsabilité générale sur la bonne marche de l’entreprise et de la maîtrise des risques. Celle-ci doit, par ailleurs, être soumise à l’approbation de l’organe de surveillance qui s’assure de sa mise en œuvre.
Sources :