Le cadre réglementaire européen en matière de résilience numérique entre dans sa phase opérationnelle. Avec la publication des RTS (Regulatory Technical Standards) et ITS (Implementing Technical Standards) finalisés fin 2025, les acteurs du secteur de l’assurance n’ont plus de marge d’attente : la mise en conformité est une priorité stratégique pour 2026.
Qu'est-ce que DORA et pourquoi c'est une rupture réglementaire majeure ?
Le Digital Operational Resilience Act (Règlement UE 2022/2554) est entré en application le 17 janvier 2025. Il établit un cadre européen unifié pour renforcer la résilience opérationnelle numérique des entités financières face aux cybermenaces, aux pannes systèmes et aux défaillances de prestataires IT.
Contrairement aux directives précédentes, DORA est un règlement directement applicable dans tous les États membres de l’Union européenne. Il ne laisse pas de place à la transposition nationale partielle : les obligations sont identiques pour un assureur français, allemand ou espagnol.
Les RTS et ITS publiés par l’EBA, l’EIOPA et l’ESMA viennent préciser comment appliquer concrètement ces obligations au quotidien. Ils constituent les véritables guides opérationnels du règlement.
Qui est concerné par DORA ?
Le périmètre de DORA couvre l’ensemble de la chaîne financière et technologique :
Les assureurs et réassureurs soumis à Solvabilité II
Les intermédiaires d’assurance importants (courtiers, agents généraux de taille significative)
Les prestataires de services TIC (Technologies de l’Information et de la Communication), qu’il s’agisse d’ESN, d’éditeurs de logiciels ou de fournisseurs cloud
Cette approche globale est une nouveauté importante : DORA ne s’arrête pas aux portes de la compagnie d’assurance. Elle s’étend à tous les maillons technologiques qui soutiennent les opérations critiques.
Les principales obligations issues des RTS/ITS finalisés
1. Classification et reporting des incidents IT
Les RTS précisent les critères de classification des incidents selon leur gravité (majeur, significatif, mineur). Les assureurs doivent désormais disposer de processus documentés permettant de qualifier un incident en temps réel et de déclencher le reporting réglementaire dans les délais imposés.
Les délais de notification sont stricts : rapport initial dans les 4 heures pour les incidents majeurs, rapport intermédiaire sous 72 heures, rapport final sous 1 mois
2. Documentation de la résilience digitale
Chaque entité doit maintenir une documentation exhaustive de son cadre de résilience : politiques de sécurité, plans de continuité d’activité informatique (BCIP), cartographie des systèmes critiques, résultats de tests de résilience. Les RTS définissent le niveau de granularité attendu par les superviseurs.
3. Tests de résilience opérationnelle numérique
DORA impose un programme de tests structuré :
- Tests de base (annuels minimum) : tests de vulnérabilité, analyses de lacunes, revues de politiques
- Tests avancés TLPT (Threat-Led Penetration Testing) : pour les entités significatives, tests de pénétration basés sur des scénarios de menaces réelles, au moins tous les 3 ans
Les RTS détaillent la méthodologie TLPT, les critères d’éligibilité des testeurs tiers et les exigences de documentation des résultats.
4. Gestion du risque lié aux prestataires TIC
C’est probablement le volet le plus transformateur pour les assureurs. Les ITS imposent :
- Un registre interne exhaustif de tous les contrats avec des prestataires TIC
- Des clauses contractuelles obligatoires détaillées dans les RTS (droit d’audit, niveaux de service, localisation des données, plans de sortie)
- Des audits renforcés des prestataires hébergeant des fonctions critiques, notamment les fournisseurs cloud
- L’évaluation de la concentration des risques (dépendance excessive à un seul prestataire)
Ce que les RTS/ITS changent concrètement pour les assureurs
Les textes d’application transforment des obligations de principe en exigences opérationnelles précises. Trois chantiers s’imposent en priorité pour les directions IT et conformité :
La mise à niveau contractuelle est inévitable. Tous les contrats avec des prestataires TIC critiques doivent être revus à l’aune des nouveaux modèles contractuels DORA. C’est un travail massif pour les grandes compagnies qui peuvent compter des dizaines, voire des centaines, de fournisseurs IT.
Le renforcement de la traçabilité et de la journalisation est une exigence technique non négociable. Les preuves doivent pouvoir être produites en cas de contrôle : logs d’accès, historiques de patch management, rapports de tests de pénétration, procédures de gestion des incidents documentées.
La gouvernance du risque TIC doit être portée au niveau de la direction générale et du conseil d’administration. DORA impose une responsabilité explicite des organes de direction sur le cadre de résilience numérique.
Impacts pour les ESN et fournisseurs cloud : une nouvelle réalité commerciale
Les prestataires technologiques des assureurs entrent dans un nouveau paradigme. Leurs clients vont exiger des garanties techniques et contractuelles renforcées :
- Preuves de journalisation conforme et de patch management documenté
- Clauses d’audit et de sous-traitance conformes aux modèles DORA
- Plans de continuité et procédures de sortie formalisés
- Capacité à fournir des rapports d’incidents dans les délais réglementaires
En 2026, un registre européen des prestataires TIC critiques sera établi. Les fournisseurs classés « critiques » feront l’objet d’une supervision directe par les autorités européennes de surveillance (AES), avec des obligations supplémentaires significatives. Les fournisseurs cloud majeurs (hyperscalers) seront très probablement concernés.
Calendrier de mise en œuvre : où en est-on ?
| Étape | Date |
| Règlement DORA applicable | 17 janvier 2025 |
| Publication des RTS/ITS finalisés | Fin 2025 |
| Mise en œuvre opérationnelle attendue | Courant 2026 |
| Registre européen des prestataires TIC critiques | 2026 |
Les assureurs qui n’ont pas encore lancé leurs chantiers de conformité DORA sont en retard. La fenêtre pour une mise en conformité sereine se referme.
FAQ – Les questions que se posent les assureurs sur DORA et les RTS/ITS
Oui, mais avec un principe de proportionnalité. DORA prévoit que certaines obligations (notamment les tests TLPT avancés) sont réservées aux entités significatives. Les petites entités restent soumises aux obligations de base : gestion du risque TIC, reporting d’incidents, gestion des prestataires. Le superviseur national (l’ACPR en France) peut également adapter certaines modalités d’application.
DORA prévoit des sanctions administratives pouvant atteindre 1 % du chiffre d’affaires mondial quotidien moyen de l’exercice précédent, appliquées par jour de manquement. Pour les infractions graves, des sanctions pécuniaires allant jusqu’à 10 millions d’euros ou 5 % du chiffre d’affaires annuel total sont possibles. Les dirigeants peuvent également être tenus personnellement responsables.
Les contrats existants doivent être renégociés ou amendés pour inclure les clauses obligatoires définies par les RTS. Un plan de remédiation contractuelle doit être établi en priorité pour les fournisseurs hébergeant des fonctions ou données critiques. En cas d’impossibilité de renégociation, l’assureur doit envisager une stratégie de sortie et de migration.
Un prestataire TIC est qualifié de « critique » par les Autorités Européennes de Surveillance (AES) selon des critères définis : importance systémique des services fournis, degré de substitutabilité, interdépendances entre entités financières clientes. Cette désignation est réalisée au niveau européen, indépendamment de la volonté de l’assureur ou du prestataire. Les hyperscalers (AWS, Azure, Google Cloud) sont les candidats les plus évidents à cette désignation.
Non. Les tests TLPT avancés sont réservés aux entités significatives identifiées comme telles par les superviseurs. Cependant, tous les assureurs doivent mettre en place un programme de tests de résilience de base incluant des tests de vulnérabilité, des revues de configurations et des tests de scénarios de continuité. Les critères d’identification des entités soumises aux TLPT sont définis dans les RTS.
DORA est complémentaire à NIS2 et au RGPD, mais il constitue la lex specialis pour le secteur financier. En cas de chevauchement, les exigences DORA prévalent pour les entités financières. Cela ne dispense pas les assureurs de leurs obligations NIS2 et RGPD, mais les superviseurs financiers (ACPR) seront les interlocuteurs privilégiés pour les aspects DORA.
Un programme de conformité DORA efficace s’articule généralement autour de quatre phases : (1) évaluation des écarts (gap analysis) par rapport aux exigences RTS/ITS, (2) chantier contractuel avec les prestataires TIC, (3) mise en place des capacités techniques (logging, patch management, détection d’incidents), (4) déploiement du programme de tests et documentation du cadre de résilience. L’implication de la direction générale dès le départ est un facteur clé de succès.
Les RTS définissent les preuves techniques et documentaires que les prestataires doivent être en mesure de fournir. En tant qu’assureur, vous avez un droit d’audit contractuel que DORA renforce. Il est recommandé de demander à vos prestataires critiques un rapport d’audit ou d’auto-évaluation structuré selon les exigences DORA, et de prévoir des audits indépendants pour les fournisseurs hébergeant vos fonctions les plus critiques.
Conclusion : 2026, l'année de vérité pour la conformité DORA
Avec la finalisation des RTS/ITS, les règles du jeu sont désormais claires. Les assureurs, leurs prestataires IT et leurs fournisseurs cloud disposent des textes opérationnels nécessaires pour structurer leur mise en conformité. Il n’y a plus d’ambiguïté réglementaire à invoquer.
La question n’est plus de savoir si les assureurs doivent se conformer à DORA, mais comment accélérer et prioriser les chantiers pour être opérationnellement conformes en 2026. Les acteurs qui auront anticipé cette transformation en feront un avantage concurrentiel en matière de confiance clients et de solidité opérationnelle.
Le Groupe SYD vous accompagne dans votre conformité DORA
Face aux exigences des RTS/ITS, vous n’avez pas à naviguer seul. Le Groupe SYD accompagne les assureurs et leurs prestataires IT dans leurs besoins en cybersécurité et résilience numérique : audit de conformité DORA, mise à niveau contractuelle, tests de résilience, gestion du risque prestataires TIC… nos experts sont à vos côtés à chaque étape de votre mise en conformité.
En savoir plus ?
Sources officielles : Commission européenne – finance.ec.europa.eu | Règlement (UE) 2022/2554
Cet article est fourni à titre informatif. Pour toute question relative à votre conformité réglementaire spécifique, consultez vos équipes juridiques et vos superviseurs.