Aller au contenu

DORA : comment les assureurs doivent garantir leur résilience opérationnelle numérique

10 min

À retenir sur DORA dans l’assurance

 

Le règlement UE 2022/2554 (DORA) est en application depuis le 17 janvier 2025. Les assureurs, mutuelles et courtiers supervisés par l’ACPR sont concernés. DORA couvre 5 domaines : risque TIC, notification des incidents, tests de résilience, prestataires tiers, partage d’information. Les entités significatives doivent réaliser des tests TLPT tous les 3 ans. Un logiciel métier conforme (comme Orisha Insurance) accélère la mise en conformité opérationnelle.

 

 

 

En 2023, le coût moyen d’une violation de données pour les entreprises financières s’élevait à 5,9 millions de dollars, selon un rapport d’IBM. Un enjeu de taille pour un secteur assurantiel en pleine digitalisation, qui fait face à la montée des cyber-risques et à une dépendance croissante aux prestataires TIC. 

C’est dans ce contexte qu’intervient le règlement européen DORA dans l’assurance, avec des impacts concrets pour les DSI et les directions conformité. Orisha Insurance vous propose un tour d’horizon des piliers de cette réglementation et des actions à déployer pour garantir votre conformité.

Qu’est-ce que le règlement DORA et qui est concerné ?

DORA, c’est quoi exactement ?

Le Digital Operational Resilience Act (DORA) est un règlement européen qui établit des règles en matière de protection contre les attaques et de gestion des risques informatiques pour les entités financières. Il vise à harmoniser les exigences de cybersécurité du secteur financier dans toute l’Union européenne. 

Qui est concerné dans l’assurance ?

Le règlement DORA concerne les compagnies d’assurance et de réassurance, les mutuelles et les courtiers soumis à l’Autorité de contrôle prudentiel et de résolution (ACPR). À noter que les entreprises de petite taille et les micro-entreprises bénéficient de régimes simplifiés ou allégés.

Dates clés à retenir

  • Entrée en vigueur : 16 janvier 2023
  • Applicable depuis : 17 janvier 2025
  • Réalisation d’un test de pénétration fondé sur la menace (TLPT) : avant le 17 janvier 2028

Les 5 piliers de DORA pour l’assurance

1. Gestion du risque TIC

Le règlement UE DORA prévoit un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC), garantissant un niveau élevé de résilience numérique dans l’assurance.

Les mesures à mettre en place comprennent notamment :

  • Le déploiement d’un cadre de gouvernance et de contrôle interne, incluant des systèmes, protocoles et outils de TIC qui doivent être tenus à jour. Une stratégie de résilience opérationnelle numérique doit aussi être établie.
  • L’élaboration d’une politique de sécurité de l’information. Elle définit les règles visant à protéger l’authenticité, la disponibilité, la confidentialité et l’intégrité des données, selon une approche basée sur les risques.
  • La cartographie des actifs numériques critiques et l’identification de toutes les sources de risques liés aux TIC. Ces risques sont évalués selon une classification qui doit être revue au moins une fois par an. 
  • L’instauration d’une politique de continuité des activités de TIC, ainsi que des procédures de sauvegarde, de restauration et de rétablissement.
  • La mise en place de mécanismes d’examens à la suite d’incidents pour déterminer les améliorations à apporter et créer des programmes de formations à destination du personnel.
  • L’instauration de plans de communication de crise.

2. Gestion et notification des incidents TIC

Les entreprises d’assurance sont dans l’obligation de : 

  1. Classifier les incidents liés aux TIC et les cyber-menaces.
  2. Signaler les incidents considérés comme majeurs à l’ACPR.

 

Cette classification repose sur plusieurs critères fixés par DORA. Ainsi, pour être classé comme majeur, un incident doit :

  • Toucher des réseaux, des systèmes d’information ou des services TIC qui soutiennent des fonctions critiques de l’organisation.
  • Atteindre des services financiers qui requièrent un agrément, un enregistrement ou qui sont surveillés par l’ACPR.
  • Constituer un accès réussi, malveillant et non autorisé aux systèmes d’information et aux réseaux de l’organisation.

 

Il doit aussi remplir l’une ou l’autre des conditions suivantes : 

  • Les réseaux et les systèmes d’information sont victimes d’un accès réussi, malveillant et non autorisé, susceptible d’engendrer des pertes de données.
  • 2 seuils d’importance significative (dont les modalités sont décrites plus en détail dans le règlement) sont atteints :
    • Les clients, les contreparties financières ou les transactions de l’entreprise d’assurance sont fortement touchées par l’incident.
    • La réputation de l’entreprise est dégradée.
    • La durée de l’incident ou l’interruption de service sont conséquents.
    • L’incident a des répercussions dans au moins deux États membres de l’Union européenne.
    • Les pertes de données nuisent à la mise en œuvre des objectifs opérationnels de l’entreprise ou à sa capacité de satisfaire aux exigences réglementaires.
    • Les coûts et les pertes ont dépassé (ou sont susceptibles de dépasser) 100 000 €.

 

Lorsqu’un incident est classé comme majeur, l’organisation doit adresser à l’ACPR :

  • Une notification initiale dans les 4 heures qui suivent la classification et au plus tard 24 heures après sa détection.
  • Un rapport intermédiaire dans les 72 heures qui suivent la notification initiale.
  • Un rapport final dans un délai d’un mois.

3. Tests de résilience opérationnelle numérique

Les acteurs de l’assurance sont tenus de mettre en place des tests périodiques de résilience opérationnelle numérique, qui doivent être effectués par des parties indépendantes (internes ou externes). Ils comprennent notamment :

  • Des analyses de vulnérabilité.
  • Des examens de sécurité des réseaux.
  • Des évaluations de la sécurité physique.
  • Des tests visant à simuler une crise.

Par ailleurs, des tests doivent être effectués au moins une fois par an sur les systèmes et applications de TIC qui soutiennent des fonctions critiques.

Enfin, les entités les plus significatives doivent procéder à des tests de pénétration fondés sur la menace (TLPT) au moins tous les 3 ans, couvrant a minima plusieurs fonctions critiques ou importantes. À l’issue de ces tests avancés, les organisations concernées doivent fournir à l’ACPR une synthèse des conclusions des tests ainsi que les mesures correctives envisagées.

4. Gestion du risque lié aux tiers prestataires TIC

DORA impose une due diligence renforcée à l’égard des prestataires de services TIC. Le règlement prévoit notamment :

  • La signature de contrats comportant certaines clauses obligatoires.
  • La tenue d’un registre des accords contractuels conclus avec les prestataires, qui doit être communiqué à l’ACPR au moins une fois par an.
  • La notification à l’ACPR, au moins une fois par an, des nouveaux contrats liés à l’utilisation de services TIC.
  • La réalisation d’audits avant la conclusion d’un accord.
  • La mise en place de stratégies de sortie pour les services TIC qui soutiennent des fonctions critiques.
  • Le déploiement d’un nouveau système de supervision des prestataires « critiques » au niveau européen.

5. Partage d’informations

Enfin, DORA impose aux entreprises d’assurance de participer aux dispositifs de partage d’informations opérationnelles relatives aux menaces de cyberattaques et aux vulnérabilités entre acteurs du secteur financier.

Ce que DORA change concrètement pour les DSI et les directions conformité

La mise en application de DORA dans l’assurance a des conséquences organisationnelles concrètes, en particulier pour les DSI et les directions conformité :

  • Révision des contrats avec les prestataires TIC : fournisseurs cloud et SaaS, éditeurs de logiciels…
  • Mise en place ou renforcement d’un SIRG (Système d’Information de Gestion des Risques) intégrant les nouvelles exigences.
  • Nomination d’un responsable de la résilience TIC au sein de la direction.
  • Engager une mise à niveau ou une migration vers un nouvel éditeur de logiciel d’assurance, en cas d’utilisation d’outils métiers non conformes.

En cas de manquement, les entreprises s’exposent à des sanctions de l’ACPR pouvant atteindre 2 % du chiffre d’affaires annuel mondial. Cependant, DORA prévoit avant tout un régime de supervision, et non pas des sanctions systématiques dès sa mise en application.

Comment Orisha Insurance accompagne votre conformité DORA

 

Exigence DORA  Ce que permet Orisha Insurance
Constitution d’un registre d’information sur les prestataires TIC Gestion centralisée des contrats et prestataires
Obligation de documentation et de notification auprès de l’ACPR Reporting réglementaire automatisé
Exigence de résilience numérique dans l’assurance Fonctionnalités de continuité d’activité numérique

 

Face aux enjeux de résilience numérique et de cybersécurité dans l’assurance, Orisha Insurance vous accompagne avec des solutions digitales conçues pour garantir la conformité DORA des assureurs, mutuelles et courtiers, sans oublier les autres exigences réglementaires du secteur : DDA, LCB-FT

Assurance

Orisha Insurance

Votre logiciel de gestion est-il conforme DORA ? Demandez une démonstration personnalisée Orisha Insurance.

Demander une démo

Questions sur DORA

DORA s'applique-t-il à tous les assureurs français ?

Oui. DORA s’applique à toutes les entreprises d’assurance et de réassurance, mutuelles et institutions de prévoyance soumises à l’ACPR, dès lors qu’elles dépassent les seuils de micro-entités (bilan > 5 M€ ou effectif > 10 personnes).

Quelle est la différence entre DORA et NIS2 pour une compagnie d'assurance ?

NIS2 est une directive générale de cybersécurité (transposée en droit français), tandis que DORA est un règlement sectoriel européen directement applicable au secteur financier. DORA prime sur NIS2 et impose des obligations plus précises : tests TLPT, registre prestataires TIC, notification d’incidents à l’ACPR sous 4 heures.

Qu'est-ce qu'un test TLPT au sens de DORA ?

Un test TLPT (Threat-Led Penetration Testing) est un test de pénétration avancé basé sur des scénarios de menaces réelles. Il est obligatoire pour les entités significatives tous les 3 ans, réalisé par un prestataire certifié selon le cadre TIBER-EU.

Quelles sanctions en cas de non-conformité à DORA pour un assureur ?

L’ACPR peut infliger des sanctions proportionnées pouvant atteindre 2 % du chiffre d’affaires annuel mondial pour les manquements les plus graves. La supervision est progressive et privilégie d’abord la mise en conformité.

Comment un logiciel comme Orisha Insurance aide-t-il à répondre à DORA ?

Orisha Insurance propose des fonctionnalités de reporting réglementaire, de gestion sécurisée des données assurés et de documentation des processus TIC, facilitant directement la conformité aux piliers 1, 2 et 4 de DORA.

Par n.bernoussi@orisha.com
Vous aimez cet article ? Partagez-le !

Articles similaires

Logiciel CRM assurance : quelles sont les fonctionnalités indispensables

13 mars 2026
10min
Lire l'article

Assurance de flotte automobile : quel logiciel pour la gestion des polices et de la réglementation ?

3 février 2026
9min
Lire l'article

Logiciel de courtage en assurance : quelles sont les fonctionnalités indispensables ? 

4 décembre 2025
7min
Lire l'article

Devenir courtier en assurance : 7 étapes clés pour réussir le lancement de votre cabinet de courtage

14 novembre 2025
13min
Lire l'article
#Assurance #Réglementaire