Face à l’augmentation des cyberattaques et des risques numériques dans le secteur financier, l’Union européenne a adopté le règlement DORA (Digital Operational Resilience Act). Entré en vigueur le 17 janvier 2025, il vise à harmoniser les règles de cybersécurité et à renforcer la résilience opérationnelle des entreprises financières.
Mais que signifie concrètement DORA ? Qui est concerné ? Quelles sont les obligations pour les entreprises du secteur financier, notamment les intermédiaires en assurance ? Cet article vous propose un décryptage complet du règlement et de ses implications.
DORA, c’est un peu le gilet pare-balles des institutions financières. Ce règlement vise à renforcer la résilience numérique des banques, assurances et autres acteurs du secteur en imposant des règles strictes de gestion des risques liés aux TIC (Technologies de l’Information et de la Communication).
Pourquoi ? Parce que les cyberattaques ne sont plus une hypothèse, mais une réalité quotidienne. L’objectif est donc simple : s’assurer que les entreprises financières tiennent bon face aux incidents informatiques, sans mettre en péril les données de leurs clients ni la stabilité du marché.
DORA ne fait pas dans la demi-mesure : il s’applique à 21 catégories d’entités financières. On retrouve dans le viseur :
Mais attention, les petites entreprises respirent un peu. Si vous avez moins de 10 salariés et un chiffre d’affaires inférieur à 2 millions d’euros, vous êtes hors-jeu. Même logique pour les PME de moins de 250 employés avec un CA sous les 50 millions d’euros.
Par contre, pour les gros poissons du secteur, il faudra se conformer à la nouvelle donne dès janvier 2025.
DORA ne se contente pas de donner des recommandations, il impose des obligations très précises. Voici les principales mesures que les entreprises concernées vont devoir appliquer.
Les institutions financières vont devoir cartographier et gérer leurs risques numériques avec une approche structurée. Cela passe par :
✅ Une gouvernance solide, avec des responsables clairement désignés,
✅ Une stratégie de résilience, qui prévoit comment réagir en cas de cyberattaque,
✅ Une politique de continuité d’activité, pour éviter que tout ne s’écroule en cas de crise.
Les entreprises doivent désormais signaler tous les incidents majeurs liés aux TIC en suivant un calendrier strict :
Les autorités compétentes, comme l’ACPR en France, suivront ces rapports de près pour s’assurer que les entreprises gèrent correctement leurs crises.
Pour éviter les mauvaises surprises, DORA impose des tests de résilience opérationnelle réguliers. L’idée ? Simuler des cyberattaques et des pannes majeures pour vérifier si les systèmes tiennent le coup.
Les entreprises les plus exposées devront même passer par des tests avancés, reproduisant des scénarios de cyberattaques sophistiquées.
Externaliser la gestion de ses systèmes informatiques, c’est pratique… mais ça peut aussi devenir une faille de sécurité. DORA impose donc aux entreprises de :
DORA encourage aussi les entreprises à collaborer en partageant leurs retours d’expérience sur les cyberattaques et les menaces rencontrées. L’idée est de créer un écosystème financier plus solide, où chacun peut apprendre des incidents des autres.
Bonne nouvelle pour les petites structures : les microentreprises et certaines PME ne sont pas concernées. Seuls les grands intermédiaires en assurance devront se conformer aux exigences de DORA.
Cela dit, la pression pourrait quand même retomber sur les petites structures. Pourquoi ? Parce que certains assureurs ou clients pourraient exiger une mise en conformité partielle, même pour ceux qui ne sont pas directement concernés.
-> En savoir plus sur la conformité des intermédiaires en assurance
Si vous êtes un grand courtier ou un intermédiaire d’assurance d’envergure, voici ce qui vous attend :
✅ Une analyse approfondie des systèmes informatiques,
✅ Une gouvernance renforcée sur les risques numériques,
✅ Des tests de résilience obligatoires,
✅ Un contrôle plus strict des prestataires TIC,
✅ Un rapport annuel sur la gestion des risques TIC, avec un premier rendu en 2026.
L’ACPR conseille même de réaliser un rapport "à blanc" dès juin 2025, histoire de s’entraîner avant le grand saut.
✅ Un secteur plus sécurisé : En obligeant tout le monde à se préparer, on limite les risques d’attaques catastrophiques.
✅ Une réglementation harmonisée en Europe : Plus besoin de jongler entre différentes réglementations nationales.
✅ Une meilleure protection des consommateurs : Moins de risques de vol de données ou d’interruptions de services.
❌ Un coût élevé pour les entreprises : La mise en conformité représente un investissement non négligeable.
❌ Une charge administrative supplémentaire : Encore des rapports à remplir, encore des obligations à respecter…
❌ Une complexité accrue pour les grands groupes : Entre la gestion des risques et le contrôle des prestataires, DORA demande une rigueur extrême.
DORA change la donne pour le secteur financier en imposant des règles strictes pour protéger les entreprises et leurs clients des cyberattaques. Si ce règlement représente un défi en termes de coûts et d’organisation, il a le mérite d’apporter une meilleure résilience face aux menaces numériques.
Pour les entreprises concernées, pas le choix : il faut s’y préparer dès maintenant. L’enjeu ? Ne pas se retrouver en défaut de conformité et éviter les sanctions, tout en sécurisant ses opérations.
Bref, DORA, c’est du sérieux. Et mieux vaut s’y adapter dès aujourd’hui, sous peine de subir demain.
Photo de Agence Olloweb ; John Schnobrich ; Siarhei Horbach