DORA Assurance 2026 : Obligations Compagnies, Mutuelles et Réassureurs

Le secteur de l'assurance est l'un des trois grands piliers du secteur financier soumis au règlement DORA (EU) 2022/2554, applicable depuis le 17 janvier 2025. Un an après l'entrée en application, le bilan 2026 montre que les assureurs français ont majoritairement intégré les exigences minimales, mais que l'articulation avec Solvabilité II — déjà exigeante — reste un chantier vivant. Quand le réassureur australien Medibank a été victime d'une cyberattaque massive en octobre 2022, avec les données de santé de 9,7 millions de clients exposées et un coût total estimé à 46 millions de dollars australiens, le secteur mondial de l'assurance a pris conscience de sa vulnérabilité. Les compagnies d'assurance vie et non-vie, les mutuelles, les institutions de prévoyance et les sociétés de réassurance sont toutes dans le champ d'application de DORA. Pour ce secteur, l'autorité de référence de niveau 2 est l'EIOPA (European Insurance and Occupational Pensions Authority).

Quelles entités d'assurance sont concernées par DORA en 2026 ?

Le champ d'application de DORA pour le secteur assurantiel est défini à l'article 2 du règlement. Il couvre les entreprises d'assurance et de réassurance soumises à la directive Solvabilité II, les intermédiaires d'assurance (sauf microentreprises), les mutuelles relevant du code de la mutualité, les institutions de prévoyance relevant du code de la sécurité sociale, et les entités d'assurance relevant de régimes sectoriels spécifiques. En France, cela représente environ 270 sociétés d'assurance, 380 mutuelles et une cinquantaine d'institutions de prévoyance.

Petites mutuelles et institutions de prévoyance

Les petites mutuelles et institutions de prévoyance, nombreuses en France, peuvent bénéficier du régime proportionnel de DORA. Les entités de petite taille non interconnectées, au sens de l'article 3 du règlement, peuvent appliquer un cadre de gestion des risques TIC simplifié. Cependant, toutes doivent disposer d'un processus de notification des incidents, quel que soit leur régime proportionnel. L'ACPR a clarifié en 2025 les critères de 'non-interconnexion' qui déterminent l'éligibilité au régime simplifié.

Réassureurs et groupes transfrontaliers

Les grands réassureurs (Scor, Caisse Centrale de Réassurance) présentent un profil de risque DORA élevé en raison de leur rôle systémique dans le secteur. Les groupes transfrontaliers sont supervisés par des collèges de superviseurs coordonnés par l'EIOPA, avec l'ACPR pour les entités françaises. AXA, CNP Assurances, Covéa, Allianz France et Generali France font l'objet d'une supervision prioritaire au titre de leur importance systémique.

Articulation DORA — Solvabilité II

La directive Solvabilité II impose déjà aux assureurs des exigences de gouvernance, de gestion des risques et de continuité d'activité. DORA vient préciser et renforcer ces exigences pour leur composante TIC. Le règlement DORA modifie directement la directive Solvabilité II sur plusieurs points pour assurer la cohérence. Les assureurs doivent identifier les redondances entre leurs obligations Solvabilité II existantes et les nouvelles exigences DORA, et les intégrer dans un cadre harmonisé. En 2026, l'EIOPA a publié un guide de coordination DORA / Solvabilité II qui clarifie l'imputation documentaire des obligations.

ORSA et risque TIC

L'ORSA (Own Risk and Solvency Assessment) sous Solvabilité II doit désormais intégrer une analyse du risque TIC conforme aux définitions et critères DORA. L'évaluation prospective des risques TIC, les scénarios de stress incluant des cyberattaques majeures, et l'impact sur la solvabilité d'un incident TIC prolongé doivent figurer dans l'ORSA. Les premiers ORSA 2025 conformes DORA ont mis en lumière une dispersion significative des approches selon la maturité des assureurs.

Pilier II de Solvabilité II et gouvernance TIC DORA

Le Pilier II de Solvabilité II exige un système de gouvernance efficace incluant la gestion des risques. DORA précise pour la composante TIC que cette gouvernance doit impliquer directement l'organe de direction (conseil d'administration), définir des responsabilités claires, et faire l'objet de reportings réguliers au niveau le plus élevé de l'organisation.

Incidents cyber qui ont marqué le secteur de l'assurance

Le secteur assurantiel n'est pas épargné par les cyberattaques. En mars 2023, l'assureur allemand Huk-Coburg a subi une fuite de données touchant plusieurs centaines de milliers de clients. L'assureur santé Medibank (Australie) a vu les données médicales de 9,7 millions de clients publiées sur le dark web après un piratage en 2022. En France, la mutuelle MNH a été paralysée pendant plusieurs semaines en 2021 par un ransomware qui a bloqué l'accès aux dossiers de remboursement de ses adhérents. AXA Partners a également subi un ransomware Avaddon en 2021 en Asie, avec vol de 3 To de données clients.

Pourquoi les assureurs sont des cibles privilégiées

Les assureurs détiennent des données particulièrement sensibles : données de santé (assurance maladie), patrimoniales (assurance vie), comportementales (assurance auto connectée). Cette richesse informationnelle en fait des cibles à forte valeur pour les cybercriminels. Par ailleurs, la chaîne de sous-traitance des assureurs — courtiers, gestionnaires de sinistres, actuaires externes, plateformes de distribution — crée une surface d'attaque étendue que DORA vise précisément à encadrer.

Spécificités des risques TIC pour les assureurs

Les assureurs ont des risques TIC spécifiques à leur modèle d'activité. La dépendance aux systèmes actuariels pour la tarification et le provisionnement. L'exposition aux systèmes de liquidation des sinistres qui doivent traiter des volumes importants en temps courts après un événement catastrophique (tempête, inondation, pandémie). La criticité des systèmes de gestion des polices pour des millions de contrats. La sensibilité des données de santé pour les assureurs maladie, soumises à une réglementation encore plus stricte (RGPD, secret médical). En 2026, la dépendance croissante aux modèles prédictifs basés sur l'IA introduit une nouvelle catégorie de risque TIC que DORA encadre via les exigences de testing et de gouvernance.

Rôle de l'EIOPA dans la supervision DORA Assurance

L'EIOPA (European Insurance and Occupational Pensions Authority) est l'autorité de niveau 2 responsable d'élaborer les normes techniques DORA applicables au secteur de l'assurance. Elle publie des orientations spécifiques sur la gestion des risques TIC pour les assureurs, supervise la convergence des pratiques entre États membres, et constitue le superviseur direct des tiers TIC critiques dont le secteur de l'assurance est le client prédominant. L'EIOPA a publié en 2024-2025 plusieurs normes techniques réglementaires (RTS) et d'implémentation (ITS) spécifiques au secteur assurantiel.

Feuille de route de conformité DORA pour les assureurs en 2026

Les assureurs français doivent prioriser plusieurs chantiers pour 2026. La mise à jour de l'ORSA pour intégrer le risque TIC selon les critères DORA (cycle annuel). La cartographie des systèmes TIC critiques supportant les fonctions d'assurance (gestion des polices, liquidation sinistres, actuariat, distribution). La révision des contrats avec les prestataires TIC — notamment les éditeurs de logiciels d'assurance (Guidewire, Duck Creek, Prima Solutions) et les prestataires cloud (AWS, Azure, GCP). L'activation d'un processus de notification des incidents TIC majeurs à l'ACPR/EIOPA dans les délais de 4 heures. La préparation aux premiers tests de résilience en conditions DORA, y compris TLPT pour les entités significatives.

Conclusion

DORA représente pour le secteur de l'assurance bien plus qu'un exercice de conformité. Quand une mutuelle de santé se retrouve paralysée pendant trois semaines par un ransomware — comme ce fut le cas pour la MNH en 2021 —, ce sont des centaines de milliers d'adhérents qui ne peuvent plus accéder à leurs remboursements. L'articulation avec Solvabilité II, déjà exigeante, impose une intégration intelligente plutôt qu'une superposition de cadres. Le bilan 2026, un an après l'entrée en application, confirme que les assureurs les plus avancés dans leur maturité numérique ont une longueur d'avance, mais que tous doivent continuer à adapter leurs dispositifs aux exigences spécifiques du règlement (EU) 2022/2554. Les prochains 12 mois seront décisifs avec les premières campagnes TLPT pour les acteurs significatifs et l'entrée en phase de contrôle effectif par l'ACPR.