Cette enquête permet de confirmer que les organismes d’assurance font fortement recours à l’externalisation de leurs activités importantes ou critiques. Ils y trouvent de multiples avantages (rationalisation des coûts, expertise spécifique, recentrage sur des activités coeur de métier, absence ou faiblesse des ressources internes, etc.) mais ce recours à l’externalisation accroit les risques opérationnels et complexifie leur pilotage.

Les domaines d’activité les plus fréquemment sous-traités sont la gestion des contrats et des sinistres, les investissements, la gestion d’actifs, et la gestion des systèmes d’information (hors cloud). L’enquête permet également de distinguer les prestations externalisées auprès d’un tiers et celles au sein d’un même groupe.
L’enquête permet aussi de souligner la prise de conscience des principales obligations de conformité, telles que l’existence d’une procédure de sélection des sous-traitants, la notification au SGACPR des activités sous-traitées, l’existence d’une politique écrite de sous-traitance, l’intégration de la sous-traitance au dispositif de contrôle interne ou au dispositif de gestion des risques ou enfin l’existence d’un plan de continuité chez le prestataire.

Par ailleurs, si dans la majorité des cas, les organismes signent de façon quasi-systématique un contrat de sous-traitance, ce dernier ne comporte pas nécessairement toutes les mentions obligatoires (devoirs des différentes parties, gestion des informations confidentielles, sous-traitance en chaine, etc.).
L’enquête révèle ainsi que si les principes généraux sont respectés, la mise en œuvre reste trop générale : une application plus granulaire ou opérationnelle est nécessaire pour une meilleure maitrise du risque de sous-traitance.
En outre, les stratégies pour organiser le transfert des prestations externalisées vers un autre tiers, ou pour ré-internaliser les prestations en interne (capacités de substituabilité ou de réversibilité) s’avèrent difficilement applicables ou dans des délais excessifs.
Enfin, les faiblesses liées aux expositions des services en nuage (clouds) publics ou hybrides, ou celles liées au recours à des acteurs TIC situés hors Europe, constituent des risques nouveaux dont la maitrise est à acquérir. Ce sujet d’attention est renforcé par la perspective de l’entrée en application du règlement DORA précité.