Ressources

DORA et assurance : ce que la réglementation change vraiment

24/2/2026
Sommaire

Qu'est-ce que la directive DORA ?

L'acronyme DORA signifie Digital Operational Resilience Act. Il désigne un règlement européen (UE 2022/2554) publié en décembre 2022 et entré en vigueur le 17 janvier 2025. Dans les grandes lignes, DORA vise à garantir que les acteurs du secteur financier (dont les assureurs et les intermédiaires d'assurance) sont capables de résister, de réagir et de se remettre de tout type d'incident lié aux systèmes d'information.

Avant DORA, la résilience opérationnelle numérique était encadrée par des textes sectoriels hétérogènes, souvent peu précis sur les obligations concrètes. DORA met fin à cette fragmentation en posant un cadre de règles unifié, directement applicable dans tous les États membres de l'Union européenne.

DORA ne remplace pas Solvabilité II, la DDA ou le RGPD. Il s'y superpose en ajoutant une couche de nouvelles exigences spécifiques sur le risque informatique, la cybersécurité, la dépendance aux fournisseurs de service technologiques et la déclaration des incidents. C'est une réglementation complémentaire, pas substitutive.

Le règlement fait référence à la notion de TIC (Technologies de l'Information et de la Communication) pour désigner l'ensemble des systèmes, outils et infrastructures numériques qu'une organisation utilise pour traiter, stocker et transmettre de l'information. Concrètement, cela recouvre les logiciels métier, les infrastructures cloud, les réseaux, les bases de données, les API et les interconnexions avec des partenaires externes. C'est intentionnellement large : dès lors qu'un outil numérique joue un rôle dans le fonctionnement opérationnel d'un assureur ou d'un courtier, il entre dans le périmètre TIC de DORA.

Qui est concerné dans le secteur de l'assurance ?

Le périmètre de DORA est large. Dans le secteur finance et assurance, sont concernés :

  • Les entreprises d'assurance et de réassurance soumises à Solvabilité II
  • Les intermédiaires d'assurance dont la taille ou le volume d'affaires les place dans le périmètre du règlement
  • Les courtiers grossistes et délégataires qui s'appuient sur des systèmes d'information pour la gestion des contrats, des sinistres ou des données clients
  • Toute société de gestion dont l'activité s'appuie sur des systèmes TIC critiques pour ses opérations quotidiennes

Les microentreprises, moins de 10 salariés et moins de 2 M€ de chiffre d'affaires annuel, bénéficient d'un régime allégé, mais elles ne sont pas totalement exemptées. Pour les acteurs de taille intermédiaire, comme la plupart des courtiers grossistes et des délégataires, le règlement s'applique dans sa forme standard. C'est sur eux que pèse la plus grande pression opérationnelle : ils ne disposent pas toujours des ressources d'une grande compagnie, mais sont soumis aux mêmes obligations de fond.

Les 5 piliers de DORA que vous devez comprendre

1. La gestion du risque informatique

DORA exige la mise en place d'un cadre de gestion du risque informatique documenté, testé et révisé régulièrement. Ce cadre doit couvrir l'identification des actifs critiques, la protection, la détection des incidents, la réponse et la restauration. La direction générale est directement impliquée : DORA exige que les organes de direction valident ce cadre et en assurent le suivi — ce n'est plus une question uniquement technique, c'est une question de gouvernance.

Pour un courtier ou un assureur, cela signifie concrètement :

  • Cartographier tous les systèmes critiques (CRM, outils de souscription, plateformes de gestion des contrats, espaces clients)
  • Définir des procédures claires en cas de panne ou de cyberattaque
  • Mettre à jour ce cadre au minimum une fois par an

Un logiciel de gestion de portefeuille centralise l'ensemble des données contractuelles, des flux entre courtiers et assureurs, et des événements liés à la vie du contrat. Cette centralisation est un point de départ indispensable pour la cartographie des actifs critiques exigée par DORA. Les courtiers et assureurs qui s'appuient sur une plateforme structurée disposent d'une base déjà documentée, traçable et auditable — un atout de confiance fort vis-à-vis de leurs partenaires et du régulateur.

2. La gestion et la déclaration des incidents

DORA introduit une obligation de signalement des incidents informatiques majeurs à l'autorité de contrôle compétente — en France, l'ACPR pour les assureurs. Les délais sont stricts : notification initiale dans les 4 heures, rapport intermédiaire sous 72 heures, rapport final dans le mois. La notion d'incident « majeur » est définie selon des critères précis : criticité du système affecté, durée de l'interruption, nombre de clients impactés, volume de données compromises.

Ces situations d'incident sont justement celles où l'organisation interne est mise sous pression. Quand un incident survient, la première question est : quels contrats, quels clients et quels flux sont impactés ? Une plateforme d'assurance bien structurée permet de répondre à cette question en quelques minutes plutôt qu'en plusieurs heures — un avantage décisif pour respecter les délais de notification DORA. La traçabilité des accès et des actions réalisées constitue également une source de preuves précieuse pour les rapports post-incident.

3. Les tests de résilience opérationnelle numérique

DORA distingue deux niveaux d'exigence :

  • Les tests de base (revues de vulnérabilités, analyses de code, tests de continuité) : obligatoires pour toutes les entités concernées
  • Les tests avancés de pénétration guidés par la menace (TLPT) : réservés aux entités les plus critiques, désignées par les autorités de supervision

Pour la majorité des courtiers grossistes et délégataires, ce sont les tests de base qui s'appliquent. Ces tests doivent être documentés, leurs résultats analysés et des plans de remédiation mis en œuvre. Travailler avec un éditeur qui documente ses procédures de continuité, publie ses SLA et se soumet à des audits réguliers, c'est déjà cocher une partie significative des exigences DORA sur ce pilier.

4. La gestion du risque lié aux fournisseurs de service tiers

C'est probablement le pilier le plus structurant. DORA impose une gestion rigoureuse de tous les fournisseurs de service informatiques tiers : cloud, éditeurs SaaS, opérateurs de centres de données. Les obligations concrètes incluent :

  • Tenir un registre exhaustif et à jour de tous les prestataires TIC
  • Intégrer des clauses contractuelles spécifiques (droit d'audit, plan de sortie, SLA adaptés)
  • Identifier les dépendances fortes ou critiques et définir des stratégies de sortie réalistes

Votre solution de gestion des contrats fait très certainement partie de vos fournisseurs de service TIC critiques. À ce titre, l'éditeur que vous choisissez doit vous fournir les éléments nécessaires à votre conformité DORA : documentation de son architecture, politique de sécurité, plan de continuité, conditions d'audit. C'est l'un des critères sur lesquels les assureurs mandants vont évaluer leurs partenaires dans les mois à venir.

5. Le partage d'informations sur les cybermenaces

DORA encourage le partage d'informations sur les cybermenaces au sein du secteur finance. La logique est simple : plus le secteur partage ce qu'il observe, plus il est capable de renforcer sa résilience collective face aux risques numériques. Une plateforme d'assurance partagée entre plusieurs acteurs, assureurs, courtiers grossistes, délégataires, crée naturellement un environnement de confiance propice à cette remontée d'informations, sans exposer de données confidentielles.

Ce que DORA change vraiment pour les courtiers grossistes et délégataires

Les courtiers grossistes et les délégataires sont exposés à une double contrainte DORA. D'un côté, les assureurs mandants vont exiger la démonstration de leur conformité, notamment sur la sécurité des systèmes partagés, la protection des données et la capacité à notifier les incidents. De l'autre, ceux qui développent leurs propres outils technologiques doivent s'assurer que ces outils répondent aux règles du règlement.

Prenons un exemple concret : un courtier délégataire qui gère des contrats de prévoyance collective pour plusieurs assureurs mandants utilise simultanément un outil de souscription SaaS, un hébergeur cloud et une plateforme de reporting. Chacun de ces fournisseurs de service doit désormais être référencé, évalué et contractuellement encadré selon les exigences DORA. Ce n'est pas une formalité, c'est un chantier à part entière qui nécessite une organisation rigoureuse et des relations claires avec chaque prestataire.

Cette transformation des pratiques ne se fait pas du jour au lendemain, mais elle est inévitable. Les points de vigilance prioritaires :

  • La cartographie précise des flux de données entre le courtier, ses partenaires assureurs et ses distributeurs
  • La revue systématique des contrats avec les prestataires de services informatiques et les hébergeurs
  • La mise en place d'un processus interne de qualification et de signalement des incidents
  • La formation des équipes, y compris non techniques, sur les procédures à suivre face aux situations d'incident
  • La documentation régulière des mesures de conformité pour répondre aux contrôles de l'autorité de contrôle

L'IA et DORA : une opportunité d'accélérer

L'IA est souvent perçue comme une complexité supplémentaire dans un contexte DORA déjà exigeant. C'est pourtant l'inverse : bien intégrée dans une plateforme de gestion, elle devient un vrai levier de conformité.

Elle permet de détecter et qualifier les incidents plus rapidement, d'automatiser la veille sur le registre des fournisseurs de service TIC, et d'alléger la charge documentaire des équipes compliance. Pour des structures à taille humaine, c'est souvent la seule façon réaliste de tenir les délais imposés par l'autorité de contrôle sans mobiliser des ressources dédiées.

La clé est d'éviter la multiplication des outils, chaque solution supplémentaire devient un fournisseur de service à encadrer au sens DORA. Une plateforme d'assurance intégrée, dotée de modules IA natifs, répond à cet enjeu : moins de dépendances, une traçabilité centralisée, et une conformité plus simple à démontrer.

Par où commencer pour se mettre en conformité ?

La mise en conformité DORA n'est pas insurmontable si elle est abordée de façon méthodique. Cette transformation de l'organisation interne peut même devenir un levier de compétitivité si elle est bien menée. Les étapes clés :

  1. Réaliser un état des lieux : systèmes critiques, fournisseurs de service TIC, processus existants
  2. Cartographier les écarts par rapport aux nouvelles exigences du règlement, pilier par pilier
  3. Prioriser les chantiers selon le niveau de risque et les délais réalistes
  4. Mettre à jour les contrats avec les fournisseurs de service tiers pour intégrer les clauses DORA
  5. Former les équipes sur les procédures d'identification et de remontée des incidents
  6. Documenter chaque étape pour démontrer la conformité à l'autorité de contrôle et aux partenaires assureurs
  7. Planifier les tests de résilience et suivre les plans de remédiation

S'appuyer sur un logiciel de gestion de portefeuille qui intègre les règles DORA dans sa conception permet de réduire significativement la charge de conformité sur les piliers les plus structurants. Rendez-vous sur notre site pour en savoir plus.

Se conformer à DORA, c'est prendre de l'avance

Pour les acteurs qui jouent le jeu, DORA est aussi une occasion de renforcer leur position sur le marché. La confiance que les assureurs accordent à leurs partenaires délégataires repose de plus en plus sur des critères objectifs de résilience opérationnelle — et DORA en fournit le cadre.

La conformité DORA devient progressivement un critère de sélection dans les appels d'offres, les renouvellements de mandats et les négociations avec les assureurs. Les premiers contrôles renforcés de l'autorité de contrôle vont rapidement donner une visibilité réelle aux enjeux du règlement — et les acteurs en retard se retrouveront dans une position difficile vis-à-vis du régulateur et de leurs partenaires.

Ce n'est plus une question de « si » mais de « quand ». Chez Korint, nous accompagnons des courtiers grossistes, des délégataires et des assureurs pour les aider à structurer leurs processus et à tirer parti des outils technologiques adaptés à leurs contraintes réglementaires. Notre plateforme est conçue pour répondre aux exigences DORA tout en restant simple à utiliser au quotidien — parce que nous sommes convaincus que la conformité, bien outillée, devient un accélérateur d'efficacité opérationnelle — et non l'inverse.