Illustration : DORA en assurance : l'ACPR muscle ses contrôles cyber en 2026
Assurance Pro

DORA en assurance : l'ACPR muscle ses contrôles cyber en 2026

Quinze mois après l'entrée en vigueur du règlement DORA le 17 janvier 2025, l'ACPR sort le carnet de notes. Bilan 2026, premiers tests TLPT pour les assureurs majeurs, sanctions jusqu'à 10 millions d'euros : 2026 marque le passage de la pédagogie au contrôle pour la résilience cyber du secteur.

28 avril 2026 9 min de lecture

Entré en application le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) transforme la cybersécurité du secteur financier. Pour l'assurance, le rendez-vous 2026 est désormais clair : l'Autorité de contrôle prudentiel et de résolution (ACPR) a publié mi-janvier son bilan d'application, fixé trois priorités de supervision et engagé les premiers tests d'intrusion fondés sur la menace (TLPT). Voici ce que cela change concrètement pour compagnies, mutuelles, courtiers et, in fine, pour les assurés.

DORA, le bilan ACPR à 15 mois

Le 15 janvier 2026, l'ACPR a présenté son bilan d'application DORA huit mois après l'entrée en vigueur, prolongé par un webinaire technique le 23 janvier (SRT, SMD, SAGEMOA). Le constat est nuancé : la majorité des compagnies et mutuelles soumises au règlement ont rempli leurs obligations de premier niveau — adoption d'un cadre de gestion du risque informatique et des communications (TIC), désignation d'un responsable, première remise du registre d'information (ROI) avant le 15 avril 2025 — mais la profondeur du dispositif reste très inégale, en particulier sur la maîtrise des prestataires tiers et la conduite de tests réels.

Trois axes prioritaires de contrôle ont été annoncés pour 2026 par l'ACPR :

  • Gestion des incidents TIC : qualité de la classification, respect des délais de notification, exhaustivité des rapports finaux.
  • Cadre de gestion du risque TIC : implication effective des organes de direction, intégration au dispositif de gestion des risques globaux, articulation avec l'ORSA.
  • Risques liés aux prestataires informatiques tiers : conformité contractuelle, registres ROI à jour, plans de sortie réalistes, dépendances critiques cartographiées.

Le contexte cyber justifie cette intensification. Le secteur a essuyé en 2025 deux incidents emblématiques : la fuite Harvest en février, qui a exposé les données d'environ 55 000 clients et prospects de la MAIF parmi d'autres établissements, et la vague d'attaques par rançongiciel qui a visé courtiers et bancassureurs. Selon le Cert-FR et France Assureurs, le risque cyber est désormais classé risque numéro un dans la cartographie prospective 2025 du secteur, à parité avec le risque climatique.

Les cinq piliers à connaître

Le règlement (UE) 2022/2554, publié au Journal officiel de l'Union européenne le 27 décembre 2022, structure la résilience opérationnelle numérique en cinq piliers. Tout assureur soumis à Solvabilité II — qu'il s'agisse d'une compagnie, d'une mutuelle ou d'une institution de prévoyance — est concerné, ainsi que les courtiers dépassant les seuils de 250 salariés et 50 millions d'euros de chiffre d'affaires.

  1. Gestion du risque TIC — Cadre documenté d'identification, de classification et d'atténuation des risques informatiques, sous responsabilité directe de l'organe de direction. Cartographie complète des actifs numériques et des dépendances.
  2. Notification des incidents — Signalement à l'ACPR en trois temps : 4 heures pour la notification initiale après classification d'un incident comme majeur, 72 heures pour le rapport intermédiaire et 1 mois pour le rapport final.
  3. Tests de résilience — Tests réguliers, programme annuel pour les entités significatives. Pour les acteurs majeurs : tests d'intrusion fondés sur la menace (TLPT), conduits tous les trois ans dans le cadre TIBER-FR (Banque de France/ACPR).
  4. Gestion du risque tiers TIC — Registre d'information (ROI) annuel, clauses contractuelles obligatoires (audit, sortie, sous-traitance), supervision européenne directe des prestataires critiques (cloud, SaaS) par les autorités européennes de surveillance.
  5. Partage d'informations — Échange volontaire de renseignements sur les cybermenaces entre entités financières, dans un cadre sécurisé.

Sur les sanctions, le règlement fixe un plafond de 10 millions d'euros ou 5 % du chiffre d'affaires annuel consolidé pour la personne morale, et de 5 millions d'euros pour le dirigeant personne physique en cas de violation grave. L'ACPR n'a pas encore prononcé de sanction publique fondée sur DORA, mais ses contrôles sur place ont commencé.

Ce que ça change pour vous

  • Compagnies et mutuelles : la gouvernance du risque TIC est désormais validée au niveau du conseil d'administration, l'ORSA doit intégrer une dimension cyber explicite, la cartographie des dépendances tierces (cloud, éditeurs SaaS, infogéreurs) doit être tenue à jour, et les contrats prestataires doivent être réécrits pour intégrer les clauses obligatoires DORA.
  • Courtiers et agents généraux : exemption pour les microentreprises et PME (moins de 250 salariés et moins de 50 millions d'euros de chiffre d'affaires). En pratique, les grands cabinets et les grossistes sont assujettis. Et même les courtiers exemptés sont rattrapés par effet de cascade contractuelle : les compagnies leur imposent désormais des clauses cyber alignées sur DORA. Pour anticiper cette mise en conformité, consultez notre guide cyber-assurance PME-TPE 2026.
  • Risque cyber des assurés professionnels : DORA renforce indirectement la qualité des polices proposées. Les contrats cyber-risques pour entreprises intègrent désormais des clauses de notification harmonisées, et la perte d'exploitation après cyberattaque est mieux encadrée.
  • Particuliers : meilleure transparence en cas d'incident chez votre assureur (information plus rapide), réduction théorique des interruptions de service en ligne (devis, déclaration de sinistre, espace client), exigences accrues sur la sécurisation des données. Coût indirect possible : la mise en conformité DORA, estimée entre 2 000 et 15 000 € pour le seul cadrage initial chez les courtiers de taille moyenne, pourrait être marginalement répercutée sur les primes.

2026, l'année du contrôle

L'ACPR l'a martelé lors de son webinaire de janvier : 2026 marque la fin de la période pédagogique. Les contrôles sur place vont s'intensifier, avec un focus particulier sur les registres d'information (ROI) dont la qualité, sur la base du dry-run de 2025, reste très hétérogène. Côté tests, la première vague de désignations TLPT pour le secteur assurance a démarré : ces tests d'intrusion conduits sur les systèmes de production réelle, par des équipes red team certifiées et coordonnées par la Banque de France via le cadre TIBER-FR (Guide V5, mars 2025), durent six à douze mois et visent à mesurer la résilience effective face à un attaquant motivé.

Au niveau européen, l'ACPR coordonne ses actions avec l'EIOPA (Autorité européenne des assurances et des pensions professionnelles) et participe à la supervision conjointe des prestataires informatiques critiques. Trois grands fournisseurs cloud, deux éditeurs de logiciels d'assurance et un infogéreur ont déjà été pré-identifiés comme critiques pour le marché financier européen — leur désignation officielle interviendra au second semestre 2026.

Pour les acteurs assurance, la feuille de route 2026 se résume en quatre chantiers : finaliser la qualité des ROI avant le 15 avril 2026 (deuxième remise annuelle), structurer un dispositif de notification opérationnel 24/7, programmer un test TLPT pour les entités significatives, et renforcer les clauses contractuelles avec les prestataires critiques. Pour les assurés professionnels, c'est l'occasion d'auditer leur propre couverture cyber et perte d'exploitation à la lumière des nouvelles attentes réglementaires.

Questions fréquentes

Le règlement DORA s'applique aux intermédiaires d'assurance, sauf s'ils relèvent de la catégorie des microentreprises et PME (moins de 250 salariés et moins de 50 millions d'euros de chiffre d'affaires annuel et un total de bilan inférieur à 43 millions d'euros). En pratique, la quasi-totalité des courtiers indépendants et agents généraux sont exemptés. Mais ils sont rattrapés par effet contractuel : les compagnies leur imposent des clauses cyber alignées sur DORA dans leurs conventions de mandat.

Les sanctions financières peuvent atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel consolidé pour une personne morale, et 5 millions d'euros pour le dirigeant personne physique en cas de violation grave (article 50 du règlement UE 2022/2554). L'ACPR peut également prononcer un blâme, une interdiction d'exercer ou une mise en demeure. Aucune sanction publique fondée sur DORA n'a encore été rendue en France à ce stade.

Le TLPT (Threat-Led Penetration Testing) est un test d'intrusion fondé sur la menace, conduit en conditions réelles sur les systèmes de production par une équipe red team certifiée. En France, il s'inscrit dans le cadre TIBER-FR piloté par la Banque de France et l'ACPR. Sont concernées les entités financières significatives désignées par les autorités sur des critères de taille, d'importance systémique et d'interconnexions. Les tests sont conduits tous les trois ans et durent généralement six à douze mois.

Articles sur le même sujet

Stoik Cyber Assurance 2026 : avis, garanties et tarifs de l'assurtech qui se deploie chez MMA

Stoik Cyber Assurance 2026 : avis, garanties et tarifs de l'assurtech qui se deploie chez MMA

Lire l'article → Simplis RC Pro : avis complet pour auto-entrepreneurs et freelances 2026

Simplis RC Pro : avis complet pour auto-entrepreneurs et freelances 2026

Lire l'article → Hiscox RC Pro 2026 : avis, garanties et tarifs pour indépendants

Hiscox RC Pro 2026 : avis, garanties et tarifs pour indépendants

Lire l'article →