Le secteur de l'assurance découvre avec DORA une réalité que les banques connaissent depuis plus longtemps : la cybersécurité n'est plus un sujet IT, c'est un sujet de gouvernance. Pour les entreprises d'assurance et de réassurance, le règlement DORA (EU 2022/2554) impose des obligations qui vont significativement au-delà de ce qu'exigeaient les guidelines EIOPA sur l'externalisation et la gestion des risques ICT.
Un directeur des risques d'une mutuelle santé résumait bien la situation : "On est passés de recommandations qu'on pouvait interpréter à un règlement qu'on doit appliquer. Nuance de taille."
Quelles entités du secteur assurantiel sont concernées ?
DORA vise explicitement plusieurs catégories du secteur :
| Type d'entité | Base légale DORA | Observations |
|---|---|---|
| Entreprises d'assurance | Article 2(1)(f) | Vie, non-vie, mixte — toutes tailles |
| Entreprises de réassurance | Article 2(1)(g) | Y compris les captives de réassurance |
| Intermédiaires d'assurance | Article 2(1)(h) | Uniquement ceux dépassant certains seuils |
| Institutions de retraite professionnelle | Article 2(1)(i) | Fonds de pension professionnels |
Point d'attention : les intermédiaires d'assurance (courtiers) ne sont pas tous concernés. Seuls ceux qui dépassent les seuils de taille définis dans la directive sur la distribution d'assurance (IDD) entrent dans le périmètre DORA. Les petits cabinets de courtage sont exclus — pour l'instant.
L'articulation DORA / Solvabilité II — deux cadres, une cohérence
Les assureurs vivent déjà sous le régime Solvabilité II, qui inclut des exigences de gouvernance et de gestion des risques opérationnels. DORA ne remplace pas Solvabilité II — il s'y ajoute comme couche spécifique sur les risques ICT.
Où Solvabilité II s'arrête et DORA commence
Solvabilité II impose un système de gouvernance incluant la gestion des risques opérationnels, la fonction actuarielle, l'audit interne et la conformité. Le risque ICT y est mentionné mais pas détaillé. DORA comble ce vide avec des exigences prescriptives sur chaque aspect du risque numérique.
Concrètement, un assureur conforme à Solvabilité II a une base — mais des écarts significatifs avec DORA sur le registre des prestataires ICT, les tests de résilience formalisés, le reporting d'incidents dans des délais stricts, et les clauses contractuelles obligatoires de l'article 30.
Les guidelines EIOPA pré-DORA
L'EIOPA avait publié des guidelines sur l'externalisation vers le cloud (2020) et sur la gouvernance de la sécurité de l'information (2021). Ces guidelines étaient "apply or explain" — les assureurs pouvaient s'en écarter en justifiant. Avec DORA, on passe au "comply or face sanctions". Les guidelines EIOPA restent pertinentes comme bonnes pratiques mais DORA constitue le standard minimal obligatoire.
Les défis spécifiques du secteur assurantiel
La dépendance aux données personnelles sensibles
Les assureurs manipulent des données médicales, des historiques de sinistres, des données patrimoniales. La combinaison DORA + RGPD crée des exigences renforcées en matière de protection et de notification. Un incident ICT chez un assureur santé qui expose des données médicales déclenche à la fois le reporting DORA (incident ICT majeur) et le reporting RGPD (violation de données personnelles). Les délais et les destinataires sont différents — mais le processus doit être coordonné.
Les systèmes legacy
Parlons-en franchement. Le secteur assurantiel traîne un héritage IT particulièrement lourd. Des systèmes de gestion de polices qui tournent sur des technologies vieilles de 20 ans. Des mainframes qui supportent des processus critiques. Des interfaces développées en interne par des équipes qui ont depuis quitté l'entreprise.
DORA exige une cartographie complète de ces systèmes et une évaluation des risques associés. Pour beaucoup d'assureurs, cette cartographie révèle des surprises — des dépendances non documentées, des systèmes en fin de vie sans plan de migration, des vulnérabilités connues mais non corrigées parce que "ça fonctionne et on n'y touche pas".
La chaîne de valeur externalisée
Les assureurs externalisent massivement : gestion des sinistres, actuariat, services clients, plateformes de souscription. Chaque maillon de cette chaîne est un prestataire ICT au sens de DORA. Le registre d'informations d'un assureur doit couvrir l'ensemble de ces prestataires, y compris les sous-traitants de sous-traitants.
Un cas typique : un assureur externalise sa gestion de sinistres automobile chez un prestataire qui utilise un outil SaaS d'expertise à distance, hébergé chez un cloud provider. Trois niveaux de sous-traitance ICT à documenter dans le registre.
Le programme de tests pour les assureurs
Tous les assureurs doivent conduire des tests de résilience annuels. Les tests TLPT s'appliquent aux assureurs significatifs — les critères de désignation relèvent de l'EIOPA en coordination avec les autorités nationales (ACPR en France).
Les assureurs qui n'avaient jamais conduit de pentest formalisé — et il y en a plus qu'on ne le pense, surtout parmi les mutuelles de taille intermédiaire — doivent rattraper un retard significatif. Un scan de vulnérabilités annuel et un pentest sur le périmètre web ne suffisent pas. DORA attend une couverture complète des systèmes supportant les fonctions critiques.
La gouvernance ICT dans les mutuelles — un défi particulier
Les mutuelles et institutions de prévoyance ont une gouvernance souvent collégiale, avec des administrateurs bénévoles issus du terrain — pas nécessairement formés aux enjeux numériques. DORA impose que le conseil d'administration (ou l'organe équivalent) assume la responsabilité du risque ICT.
Ça implique de former les administrateurs, de structurer le reporting cyber pour le rendre accessible à des non-spécialistes, et de s'assurer que les décisions stratégiques ICT (choix de prestataires critiques, budget sécurité, plan de continuité) soient réellement prises au niveau du board et non déléguées de facto à la DSI.
Calendrier spécifique pour les assureurs
| Échéance | Action |
|---|---|
| Applicable depuis janvier 2025 | Cadre de gestion des risques ICT en place |
| Avril 2025 | Premier reporting du registre d'informations à l'ACPR |
| 2025 | Premier cycle de tests de résilience de base |
| 2025-2026 | Revue des contrats majeurs (article 30) |
| D'ici janvier 2028 | Premier TLPT (si entité significative) |
FAQ — DORA pour les assurances
Les captives d'assurance sont-elles concernées ?
Oui, si elles sont agréées comme entreprises d'assurance ou de réassurance au sens de Solvabilité II. Le cadre simplifié de l'article 16 peut s'appliquer aux captives de petite taille.
Les courtiers grossistes sont-ils dans le périmètre ?
Les intermédiaires d'assurance sont soumis à DORA sous conditions de seuils. Les courtiers grossistes qui dépassent ces seuils — en nombre d'employés, chiffre d'affaires ou volume de primes intermédiées — sont concernés. Les petits cabinets en sont exemptés.
Comment DORA interagit-il avec la réglementation ORSA ?
L'ORSA (Own Risk and Solvency Assessment) de Solvabilité II devra intégrer les risques ICT de manière plus granulaire. Le cadre DORA fournit la méthodologie et les données pour alimenter la composante ICT de l'ORSA.
Le secteur assurantiel rattrape son retard sur la résilience numérique. DORA accélère ce mouvement de manière significative. Les assureurs qui investissent maintenant construisent une posture qui les protégera non seulement contre les sanctions réglementaires, mais aussi contre les incidents réels — dont la fréquence et l'impact ne cessent d'augmenter. Pour une vue d'ensemble du règlement, consultez notre guide complet DORA.