Illustration : Cyber-résilience : l'accord ANSSI-ACPR-Banque de France et le DORA
Assurance Pro

Cyber-résilience : l'accord ANSSI-ACPR-Banque de France et le DORA

L'ANSSI, l'ACPR et la Banque de France ont formalisé un accord de coopération cyber articulé en 4 axes. Décryptage de ses implications pour les assureurs et leurs clients professionnels sous le règlement DORA.

L'ANSSI, l'Autorité de contrôle prudentiel et de résolution (ACPR) et la Banque de France viennent de formaliser un accord destiné à muscler leur coopération face à la cybermenace visant le secteur financier et assurantiel. Un signal fort pour les assureurs, mais aussi pour toutes les entreprises qui dépendent d'eux pour se couvrir contre le risque cyber.

Les faits

L'accord entre les trois institutions vise à renforcer l'échange d'informations et la coopération dans le respect de la directive NIS 2 et de la règlementation DORA. Selon Solutions Numériques, qui cite Vincent Strubel, directeur général de l'ANSSI, « face à une menace toujours plus prégnante, l'ACPR, la Banque de France et l'ANSSI renouvellent par cet accord leur coopération, débutée dès 2018 » — ce texte s'inscrit donc dans la continuité d'un partenariat déjà ancien entre les trois autorités.

Le dispositif s'articule autour de quatre axes de collaboration. Le premier couvre les incidents de sécurité d'origine cyber et cybermenaces. Les deux suivants portent sur les contrôles et l'assistance mutuelle ainsi que sur la gestion de crise cyber. Le quatrième axe, le plus technique, concerne les tests d'intrusion avancés fondés sur la menace (TLPT) visant à tester la robustesse des systèmes d'information des entités les plus critiques.

Cet accord s'inscrit dans le cadre du règlement européen DORA (Digital Operational Resilience Act), dont le considérant de principe rappelle que les entités financières devraient disposer de capacités globales permettant une gestion solide et efficace du risque lié aux TIC.

Mise en perspective

Le règlement DORA s'applique à partir du 17 janvier 2025 pour la plupart des dispositions concernant la gestion du risque lié aux TIC, ce qui en fait un cadre déjà pleinement opérationnel au moment de cet accord de coopération. Le champ d'application du texte concerne largement le secteur assurantiel, avec toutefois des exclusions ciblées : sont notamment exclues les entreprises d'assurance et de réassurance visées à l'article 4 de la directive 2009/138/CE (Solvabilité II), lorsqu'elles gèrent des régimes de retraite qui, ensemble, n'ont pas plus de quinze affiliés au total. De même, les intermédiaires d'assurance considérés comme des microentreprises ou des petites ou moyennes entreprises ne devraient pas relever du présent règlement.

Pour les entités qui restent dans le champ de DORA — la grande majorité des compagnies d'assurance et des courtiers de taille significative —, le texte pose une obligation de notification rapide : les entités financières notifient sans tarder et au plus tard les incidents majeurs liés aux TIC à leurs autorités compétentes, principe rappelé par le fait que toutes les entités financières devraient être tenues de notifier des incidents de cette nature. DORA prévoit également, parmi ses catégories de tests de résilience opérationnelle numérique, des tests de pénétration fondés sur la menace — les fameux TLPT évoqués dans l'accord ANSSI-ACPR-Banque de France — qui sont requis pour les entités financières qui sont suffisamment matures du point de vue des TIC.

Le texte impose enfin une discipline documentaire sur la chaîne de sous-traitance informatique : les entités concernées doivent tenir un registre d'informations contenant tous les accords contractuels relatifs à l'utilisation des services TIC. Ce registre alimente un cadre de supervision spécifique, puisque le cadre de supervision s'applique aux prestataires tiers critiques de services TIC, y compris les fournisseurs de services en nuage.

Ce que ça change pour vous

  • Dirigeants de PME et ETI : si votre entreprise est assurée pour le risque cyber, attendez-vous à ce que votre assureur — lui-même tenu par DORA — devienne plus exigeant sur vos propres pratiques de sécurité (authentification, plan de réponse aux incidents, documentation des prestataires informatiques) au moment de la souscription ou du renouvellement de votre contrat.
  • Courtiers et intermédiaires : si votre structure ne relève pas de la qualification de microentreprise ou de PME, vérifiez votre positionnement au regard du champ d'application de DORA avant de considérer que le texte ne vous concerne pas.
  • Entreprises clientes de services cloud ou SaaS : la vigilance accrue des régulateurs sur les prestataires tiers critiques, cloud compris, peut se traduire par des clauses contractuelles renforcées côté assureurs et donneurs d'ordre du secteur financier.

Concrètement, cet accord ne crée pas de nouvelle obligation directe pour les entreprises assurées : il renforce la capacité des trois régulateurs à coordonner leur action de contrôle et de réponse aux crises cyber affectant le secteur financier et assurantiel. Pour évaluer si votre contrat de responsabilité civile professionnelle couvre correctement ce type de risque, il est utile de comparer les garanties proposées selon votre secteur d'activité, en particulier si votre métier ou statut relève de secteurs déjà identifiés comme sensibles.

En cas d'incident, la déclaration à votre assureur suit les mêmes principes que pour tout sinistre professionnel : notre rubrique sur la gestion de contrat et de sinistre en assurance pro détaille les démarches à connaître.

Perspectives

La convergence entre régulateurs financiers et agence de cybersécurité nationale illustre une tendance de fond : la cyber-résilience n'est plus traitée comme un sujet purement technique, mais comme un enjeu de stabilité financière à part entière, suivi au même titre que la solvabilité des acteurs. Cette approche coordonnée entre l'ANSSI, l'ACPR et la Banque de France devrait se traduire, dans les mois qui viennent, par des contrôles croisés plus fréquents et par une doctrine plus homogène sur l'application des exigences DORA aux acteurs de l'assurance.

Pour les assurés professionnels, l'enjeu principal reste d'anticiper : mieux vaut documenter dès maintenant ses prestataires informatiques critiques et ses procédures de réponse aux incidents que de découvrir ces exigences au moment d'un renouvellement de contrat d'assurance cyber ou, pire, au moment d'un sinistre. Notre page méthodologie et critères de comparaison des assurances permet d'identifier les points de vigilance à examiner avant de souscrire ou renouveler une couverture cyber, en complément de nos conseils par type d'assurance.

Questions fréquentes

DORA (Digital Operational Resilience Act) est un règlement européen relatif à la résilience opérationnelle numérique du secteur financier. Il s'applique depuis le 17 janvier 2025 pour la plupart de ses dispositions concernant la gestion du risque lié aux technologies de l'information et de la communication (TIC).

DORA couvre largement les entreprises d'assurance et de réassurance. Des exclusions ciblées existent toutefois : notamment certaines entités gérant de très petits régimes de retraite (au plus quinze affiliés au total), ainsi que les intermédiaires d'assurance qualifiés de microentreprises ou de PME, qui ne relèvent pas du règlement.

Il s'agit d'une catégorie de tests de résilience opérationnelle numérique prévue par DORA, consistant en des tests de pénétration fondés sur la menace. Ils sont requis pour les entités financières suffisamment matures du point de vue des TIC, et constituent l'un des quatre axes de l'accord de coopération entre l'ANSSI, l'ACPR et la Banque de France.

Sources officielles