DORA n'est pas simplement une directive de plus sur la cybersécurité. C'est le premier texte européen à traiter la résilience numérique comme une exigence prudentielle, au même titre que les ratios de fonds propres pour les banques. Depuis le 17 janvier 2025, le non-respect de DORA est supervisé directement par les autorités financières nationales (ACPR, AMF pour la France) et par les AES (ABE, AEMF, AEAPP) au niveau européen.
Qu'est-ce que DORA ?
Le règlement (UE) 2022/2554, dit DORA (Digital Operational Resilience Act), a été publié au Journal officiel de l'UE le 27 décembre 2022 et est devenu directement applicable le 17 janvier 2025. Il s'applique sans transposition nationale — contrairement à une directive — dans les 27 États membres.
Son objectif : garantir que les entités financières peuvent maintenir leurs activités critiques en cas d'incident ICT grave (cyberattaque, panne de prestataire, incident de cloud). DORA exige qu'elles puissent tester leur résilience, gérer leurs fournisseurs technologiques critiques et notifier les incidents aux autorités.
Qui est concerné par DORA ?
DORA couvre un périmètre très large d'entités financières : établissements de crédit et banques, établissements de paiement et de monnaie électronique, entreprises d'investissement, gestionnaires de fonds d'investissement alternatifs (AIFM), sociétés de gestion d'OPCVM, entreprises d'assurance et de réassurance, intermédiaires d'assurance (dont les courtiers), institutions de retraite professionnelle, agences de notation de crédit, prestataires de services de cryptoactifs (PSC sous MiCA), dépositaires centraux de titres, contreparties centrales, plateformes de négociation, référentiels centraux.
Le principe de proportionnalité (article 4) s'applique : les petites entités (notamment les petits intermédiaires d'assurance) bénéficient d'un régime simplifié. Mais le socle minimal reste exigeant.
Les 5 piliers de DORA
Pilier 1 — Gestion des risques ICT : toute entité doit disposer d'un cadre de gestion des risques ICT documenté, avec cartographie des actifs critiques, politiques de sécurité, plan de continuité et de reprise ICT, et gouvernance claire (implication du conseil d'administration exigée).
Pilier 2 — Gestion et notification des incidents ICT : classification des incidents selon des critères harmonisés (nombre de clients affectés, durée, impact géographique, pertes financières), notification aux autorités nationales selon un calendrier strict (alerte initiale, rapport intermédiaire, rapport final), et rapport annuel au superviseur sur les incidents majeurs.
Pilier 3 — Tests de résilience opérationnelle numérique : tests de base annuels pour toutes les entités (scan de vulnérabilités, tests de résistance). Tests TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives désignées, conduits selon le cadre TIBER-EU. Les TLPT impliquent des équipes de hackers éthiques mandatés par les autorités de supervision.
Pilier 4 — Gestion des risques liés aux tiers ICT : inventaire de tous les prestataires ICT, classification en "critiques" et "non critiques", clauses contractuelles obligatoires pour les prestataires critiques (droit d'audit, plans de sortie, SLA de continuité). Les prestataires ICT critiques (Big Tech cloud notamment) sont directement supervisés par les AES.
Pilier 5 — Partage d'informations : DORA encourage les entités financières à participer à des communautés de partage d'informations sur les cybermenaces (ISAC du secteur financier). Ce n'est pas obligatoire mais fortement valorisé dans l'évaluation par les superviseurs.
Les sanctions prévues
Les sanctions sont définies par les États membres dans leurs textes de transposition, mais DORA impose des minimums. En France, l'ACPR (pour les banques et assureurs) et l'AMF (pour les sociétés de gestion) supervisent la conformité. Les amendes peuvent atteindre 10 % du CA annuel mondial pour les manquements les plus graves. Les prestataires ICT critiques directement supervisés par les AES sont exposés à des astreintes journalières jusqu'à 1 % de leur CA mondial moyen quotidien.
Ce que DORA ne couvre pas — et que l'assurance cyber couvre
DORA impose de la résilience, pas de l'indemnisation. Les obligations de DORA réduisent la probabilité et l'impact des incidents, mais ne remboursent pas les pertes quand un incident survient malgré les mesures. C'est là que l'assurance cyber intervient en complément.
Pertes d'exploitation : l'arrêt de systèmes bancaires ou d'une plateforme d'investissement peut générer des pertes de plusieurs millions par heure. DORA n'indemnise pas. L'assurance cyber si. RC cyber envers les clients : si l'incident cause un préjudice aux clients (ordres non exécutés, données volées, fraudes sur comptes), la RC cyber de l'entité financière est engagée. DORA n'indemnise pas. L'assurance cyber si.
Frais de gestion de crise : forensics, communication de crise, avocat, notification des clients — ces frais s'accumulent rapidement lors d'un incident majeur. Coûts des tests TLPT : les tests Threat-Led Penetration Testing coûtent entre 50 000 et 200 000 €. Certains contrats cyber incluent une prise en charge partielle des coûts de tests réglementaires.
Ce que les fintech et néobanques doivent faire maintenant
Si vous êtes une fintech agréée ACPR ou AMF, vous êtes soumis à DORA depuis janvier 2025. Les premières étapes concrètes : cartographier vos actifs ICT critiques, documenter votre cadre de gestion des risques ICT, inventorier vos prestataires et qualifier ceux qui sont "critiques" (cloud, data center, SaaS bancaire), mettre en place un processus de classification et notification des incidents, planifier vos premiers tests de base.
En parallèle, revoir votre couverture assurance cyber pour qu'elle soit alignée avec votre exposition DORA : plafond suffisant pour couvrir les pertes d'exploitation sur vos activités critiques, RC cyber vers les clients et contreparties, assistance forensics et juridique intégrée. Certains assureurs proposent désormais des contrats spécifiques "DORA-compliant" avec des services de réponse à incident alignés sur les exigences de notification réglementaire.
FAQ — DORA et assurance cyber
Qui est concerné par DORA ?
Toutes les entités financières réglementées dans l'UE : banques, établissements de paiement, assureurs, réassureurs, sociétés de gestion, PSI, plateformes de crowdfunding, émetteurs de cryptoactifs (MiCA), et leurs prestataires ICT critiques. Les fintech et néobanques sont concernées dès leur agrément ACPR/AMF.
DORA remplace-t-il l'assurance cyber dans le secteur financier ?
Non. DORA impose des obligations de résilience mais ne couvre pas financièrement les sinistres. L'assurance cyber reste indispensable pour absorber les pertes d'exploitation, les frais de gestion de crise, la RC cyber et les coûts de reconstruction post-incident.
Quels tests DORA impose-t-il sur la résilience ICT ?
Tests de base annuels pour toutes les entités. Tests TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités significatives, conduits selon le cadre TIBER-EU. Ces tests coûtent entre 50 000 et 200 000 €.
DORA concerne-t-il les courtiers en assurance ?
Oui, les intermédiaires d'assurance sont explicitement dans le champ de DORA. Le principe de proportionnalité (article 4) s'applique aux petits courtiers. MonAssureur (ORIAS 26002459) applique les mesures de gestion des risques ICT adaptées à sa taille.