DORA : 2026, l’ « année de supervision » de la résilience numérique
Prouver sa conformité au règlement DORA est devenu, en 2026, l’exigence centrale pour l’ensemble du secteur financier européen. Entré en application le 17 janvier 2025, le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, plus connu sous le nom de Digital Operational Resilience Act, a cessé d’être un chantier de mise en conformité pour devenir une réalité opérationnelle directement contrôlable. L’Autorité de contrôle prudentiel et de résolution, l’ACPR, a clairement annoncé la couleur : 2026 sera l’année de supervision. La question posée aux compagnies, aux mutuelles, aux institutions de prévoyance et aux courtiers n’est donc plus de savoir où ils en sont de leur trajectoire de mise en conformité, mais de démontrer, pièces à l’appui, que leur dispositif fonctionne réellement.
Ce basculement marque un changement de posture profond. Pendant l’année 2025, qualifiée d’année d’accompagnement, les autorités avaient privilégié la pédagogie, les webinaires et quelques premiers contrôles ciblés. Le ton change en 2026 : la supervision devient le mode normal de la relation entre le régulateur et les entités assujetties. Pour les organismes de formation du secteur de l’assurance et de la banque comme pour leurs publics, le message est limpide. DORA n’est pas un sujet réservé aux directions des systèmes d’information. C’est avant tout un sujet de gouvernance, de processus et de preuves, qui engage la responsabilité des organes de direction et irrigue l’ensemble des métiers de la relation client, de la vente et du management.
2026, l’année de supervision : ce que l’ACPR attend pour prouver sa conformité à DORA
L’ACPR a formalisé sa doctrine lors d’un webinaire dédié tenu le 23 janvier 2026, complété par un support de présentation et une foire aux questions publiés sur son site. Le bilan dressé après plus de six mois de reporting est clair : la phase d’accompagnement laisse place à une supervision progressivement renforcée. Concrètement, le superviseur ne se contente plus de vérifier l’existence formelle d’un dispositif. Il en examine la robustesse, la traçabilité et la capacité à résister à un incident réel. La preuve devient la matière première du contrôle.
Les services de contrôle ont annoncé concentrer leurs initiatives ciblées autour de trois thématiques principales pour l’année. La première porte sur l’amélioration du processus de gestion des incidents, jugé encore perfectible après les premiers mois de déclaration. La deuxième vise la solidité du cadre de gestion des risques liés aux technologies de l’information et de la communication, les fameux risques TIC. La troisième concerne la qualité des contrats conclus avec les prestataires, qui doivent désormais être pleinement conformes aux exigences du règlement. Cette grille de lecture donne aux entités assujetties une feuille de route précise : ce sont ces trois terrains qui seront prioritairement audités.
Pour passer un contrôle, une entité doit pouvoir présenter un cadre de gestion des risques TIC complet, c’est à dire des politiques et des procédures écrites, des dispositifs de protection, de détection, de réponse et de rétablissement, des plans de continuité, des sauvegardes testées, une gestion des vulnérabilités et une journalisation exploitable. Elle doit également documenter sa stratégie de résilience opérationnelle numérique et ses modalités de communication. Surtout, elle doit apporter les preuves : référentiels, cartographies, contrôles, revues périodiques, tests de restauration et plans de remédiation. Sans ces éléments, la conformité reste théorique et donc insuffisante aux yeux du superviseur.
Un règlement de gouvernance, pas un simple sujet cyber
L’erreur la plus fréquente consiste à réduire DORA à une problématique de cybersécurité. Le règlement va bien au-delà. Il institue un cadre de gouvernance dans lequel l’organe de direction de l’entité financière assume la responsabilité ultime de la gestion du risque lié aux TIC. Cette responsabilité ne peut être déléguée à un prestataire ni reléguée au seul service informatique. Elle suppose que les dirigeants effectifs comprennent les enjeux, valident les politiques, allouent les ressources et rendent compte. La sécurité technique n’est qu’une composante d’un édifice plus large qui mêle organisation, contrôle interne et culture du risque.
Cette logique de gouvernance rapproche DORA des grands cadres prudentiels que le secteur connaît déjà. Le principe de proportionnalité, central dans le règlement, fonctionne d’ailleurs comme dans Solvabilité II ou dans le règlement général sur la protection des données : les mesures attendues doivent être adaptées à la nature, à l’ampleur, à la complexité et au profil de risque de chaque acteur. Une grande compagnie d’assurance et un cabinet de courtage de taille intermédiaire ne sont pas soumis aux mêmes exigences détaillées, mais tous deux doivent structurer et formaliser leur démarche. DORA cible exclusivement les entités financières, là où le règlement général sur la protection des données couvre tous les secteurs et où la directive NIS 2 vise les secteurs essentiels. Le périmètre de DORA reste néanmoins remarquablement large, puisque l’article 2 du règlement couvre vingt et une catégories d’entités financières et s’étend aux prestataires tiers de services TIC considérés comme critiques.
Les cinq piliers de la résilience opérationnelle numérique
Le règlement s’articule autour de cinq piliers complémentaires qui forment l’ossature de toute démarche de conformité. Le premier pilier est la gestion des risques liés aux TIC. Il impose un cadre complet et documenté reposant sur la gouvernance, l’identification des actifs et des dépendances, la protection, la détection, la réponse, le rétablissement et l’amélioration continue. C’est la fondation sur laquelle reposent les autres exigences.
Le deuxième pilier concerne la notification des incidents majeurs. Les entités doivent classer leurs incidents selon des critères précis et alerter l’autorité compétente selon un calendrier strict. La caractérisation usuelle distingue une notification initiale très rapide, dans un délai de l’ordre de quatre heures après la classification d’un incident comme majeur, puis un rapport intermédiaire sous soixante-douze heures et enfin un rapport final sous un mois. Cette mécanique de signalement, désormais entrée dans les mœurs après une première année d’exercice, oblige les organisations à disposer de processus internes capables de réagir dans l’urgence et d’identifier les bons interlocuteurs avant la survenance d’une crise.
Le troisième pilier est constitué par les tests de résilience opérationnelle numérique. Toutes les entités doivent éprouver régulièrement leurs dispositifs, par des tests de pénétration et des simulations de crise. Les entités les plus significatives sont en outre soumises à des tests avancés fondés sur la menace, les tests TLPT pour Threat-Led Penetration Testing, à réaliser selon une périodicité de l’ordre de trois ans et suivis par l’autorité compétente. Le quatrième pilier vise la gestion du risque lié aux prestataires tiers de services TIC, en particulier les fournisseurs cloud critiques. Il impose un encadrement contractuel rigoureux, une cartographie des dépendances et un registre d’information détaillant l’ensemble des accords conclus. Le cinquième et dernier pilier organise le partage volontaire d’informations sur les cybermenaces entre entités financières, afin de renforcer collectivement la défense du secteur.
L’articulation avec Solvabilité II et l’ORSA
Pour les acteurs de l’assurance, DORA ne s’ajoute pas en silo : il s’imbrique dans l’architecture prudentielle existante. Une directive associée, la directive (UE) 2022/2556, a précisément été adoptée pour aligner certaines directives sectorielles, dont Solvabilité II et la directive sur les exigences de fonds propres, sur les exigences du nouveau règlement. La gouvernance du risque informatique exigée par DORA prolonge ainsi le pilier 2 de Solvabilité II, consacré à la gouvernance et à la gestion des risques. Le rôle de l’organe d’administration, de gestion ou de contrôle et celui des dirigeants effectifs y sont décrits de manière cohérente avec les obligations prudentielles déjà en vigueur.
Cette articulation se traduit concrètement dans les processus internes. L’évaluation interne des risques et de la solvabilité, l’ORSA, qui relie la gouvernance, la gestion des risques et la prise de décision sur l’horizon de planification de l’activité, constitue un point d’ancrage naturel pour intégrer le risque de résilience opérationnelle numérique. Les notices publiées par l’ACPR demandent d’ailleurs aux organismes d’assurance de communiquer des informations sur leur cadre de gouvernance des risques TIC et sur leur stratégie de résilience opérationnelle numérique dans les rapports prudentiels périodiques. Pour les directions des risques et de la conformité, l’enjeu est d’éviter la duplication des dispositifs et de faire converger DORA, Solvabilité II et la maîtrise du risque opérationnel dans un cadre unique et lisible.
Les courtiers en première ligne d’un effet de cascade
L’impact organisationnel le plus spectaculaire concerne les cabinets de courtage. Le règlement s’applique aux compagnies, aux mutuelles, aux institutions de prévoyance et aux courtiers soumis à l’ACPR, au-delà des seuils de micro-entité. Les microentreprises, définies comme les entités employant moins de dix personnes et dont le chiffre d’affaires annuel ou le total de bilan n’excède pas deux millions d’euros, ainsi que les petites et moyennes entreprises, bénéficient de régimes simplifiés ou allégés, voire d’une exclusion du champ pour les plus modestes. L’ACPR a précisé que les intermédiaires d’assurance qui ne relèvent pas de ces catégories devaient établir leur premier rapport sur la revue du cadre de gestion des risques liés aux TIC au plus tard en 2026, sur la base de l’exercice 2025.
Au-delà du périmètre juridique strict, un effet de cascade redéfinit profondément la profession. Les compagnies, soucieuses de leur propre conformité, répercutent leurs exigences sur leurs distributeurs et auditent désormais leurs courtiers délégataires. Un cabinet dont le serveur n’est pas sécurisé ou qui ne dispose pas d’un plan de reprise d’activité testé risque, en pratique, de voir ses codes et ses mandats remis en cause. La sécurité opérationnelle cesse alors d’être un sujet purement informatique pour devenir un sujet commercial, voire une condition d’exercice. Les portails et extranets des grands assureurs imposent par ailleurs des mesures concrètes, comme l’authentification renforcée systématique, le renouvellement accéléré des accès et la journalisation détaillée des sessions, qui obligent les cabinets à repenser leurs habilitations internes. Pour beaucoup de petites structures, cette montée en exigence accélère un mouvement de consolidation et de professionnalisation déjà engagé.
Échéances, sanctions et passage de la conformité documentaire à la conformité prouvée
Le calendrier 2026 comporte des jalons précis. La constitution et la transmission du registre d’information, qui documente l’ensemble des accords contractuels conclus avec des prestataires de services TIC, figurent parmi les remises majeures attendues, avec une échéance fixée au printemps. Ce registre n’est pas un reporting classique : il constitue l’outil par lequel le superviseur appréhende le risque tiers, mesure les concentrations et les dépendances et relie les incidents éventuels à leurs prestataires d’origine. Les premières remises de 2025 ont montré que des causes de rejet récurrentes, souvent techniques, pouvaient faire échouer la transmission. La rigueur formelle devient donc un facteur de conformité à part entière.
Les sanctions confèrent à l’ensemble une dimension dissuasive. En cas de manquement, une entité financière s’expose à des sanctions de l’ACPR pouvant atteindre deux pour cent de son chiffre d’affaires annuel mondial. Un prestataire tiers critique désigné peut, pour sa part, encourir une sanction allant jusqu’à un pour cent de son chiffre d’affaires mondial quotidien moyen. Le règlement privilégie néanmoins un régime de supervision plutôt qu’une logique de sanction systématique dès la moindre lacune. L’objectif affiché reste l’élévation durable du niveau de résilience du secteur, l’amende constituant l’ultime levier face à un défaut caractérisé ou persistant.
Au fond, 2026 acte le passage d’une conformité documentaire à une conformité prouvée. Disposer de politiques écrites ne suffit plus : il faut démontrer qu’elles sont appliquées, testées et améliorées. Ce changement d’échelle a des conséquences directes sur les compétences. Les dirigeants, les équipes conformité, les fonctions risques et l’ensemble des collaborateurs en contact avec les processus critiques doivent comprendre ce que DORA attend d’eux. C’est précisément le terrain de la formation continue. Sensibiliser les organes de direction à leur responsabilité, outiller les équipes pour gérer un incident dans des délais contraints, former les managers à piloter la résilience comme un objectif transversal et accompagner les courtiers dans la structuration de leur gouvernance numérique : autant de chantiers où la pédagogie devient un facteur de conformité. En faisant de 2026 l’année de la preuve, le régulateur transforme la résilience opérationnelle numérique en compétence collective, et non plus en simple obligation réglementaire à cocher.
Sources
Digital Operational Resilience Act (DORA) | ACPR, Banque de France – Webinaire du 23 janvier 2026
Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier | EUR-Lex – 14 décembre 2022
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32022R2554
DORA : ce que l’ACPR va regarder en 2026 | Maria Iaciancio – Février 2026
https://mariaiaciancio.substack.com/p/dora-ce-que-lacpr-va-regarder-en
DORA : comment les assureurs doivent garantir leur résilience opérationnelle numérique | Orisha Insurance – Avril 2026
Règlement DORA 2026 : Guide Conformité ICT | DORA Finance – 2026
DORA, PRIIPs, Solvabilité II : les défis réglementaires majeurs des assureurs à l’horizon 2026 | Hector Advisory – Février 2026
DORA : êtes-vous vraiment concernés ? | Profession CGP – 2026
Réglementation DORA : obligations des courtiers en 2026 | Custy – Avril 2026
