Avis d'experts | DORA : Retour d’expérience et enseignements pour les assureurs français

Dix mois après sa pleine application, le règlement DORA (Digital Operational Resilience Act) se confirme comme un « accélérateur de résilience opérationnelle numérique »¹ et un cadre « harmonisé » pour plus de vingt catégories d’entités financières. Le règlement agit comme « lex specialis » de NIS2 pour la gestion du risque cyber et la notification des incidents. Il constitue plus généralement un levier stratégique pour renforcer la continuité des activités, la confiance des clients et la compétitivité.

Depuis le 17 janvier 2025, ce cadre européen impose aux acteurs financiers, dont les assureurs, des exigences renforcées pour garantir la résilience opérationnelle numérique face aux cybermenaces et incidents technologiques. Loin d’être une simple obligation réglementaire, DORA constitue une opportunité stratégique pour repenser la gouvernance et intégrer les risques numériques dans la gestion globale des risques. Les retours d’expérience issus des projets menés auprès de nos clients mettent en lumière des avancées significatives mais aussi des défis persistants. Forvis Mazars vous propose d’en tirer les enseignements clés et de partager ses constats à travers l’analyse des cinq piliers du règlement.

Pilier 1 – Gestion des risques en lien avec les TIC²

L’objectif premier du pilier 1 est d’intégrer pleinement la gestion des risques TIC dans la stratégie globale de gestion des risques, ce qui impose une approche transversale et une articulation avec les autres risques opérationnels. La mise en conformité a entraîné une transformation profonde des processus internes et une implication directe de l’organe de direction, qui doit désormais approuver et superviser le cadre de gouvernance et les politiques associées.

Les assureurs ont dû formaliser un cadre de gouvernance robuste et des politiques de gestion des risques TIC, intégrant une stratégie de résilience opérationnelle numérique et des responsabilités clairement définies^3.

Les constats réalisés par l’ACPR confirment une gouvernance renforcée avec une implication directe des dirigeants, ainsi que la mise en place de formations spécifiques pour sensibiliser les équipes aux enjeux de sécurité et de conformité⁴. Par ailleurs, un renforcement du cadre procédural a été engagé pour se conformer aux exigences du règlement DORA, garantissant une meilleure résilience opérationnelle face aux risques numériques. Actuellement, les efforts portent davantage sur la mise en place des mesures de gestion des risques, ce qui témoigne d’une volonté d’anticiper et de maîtriser les vulnérabilités liées aux TIC⁵.

Cependant, la mise en œuvre a révélé une complexité documentaire importante, avec des obligations telles que les analyses de risques détaillées, les registres des tiers et les rapports annuels de réexamen.

Les difficultés rencontrées tiennent principalement au manque de compétences spécialisées en cybersécurité et à la coordination entre les fonctions métiers et IT, afin de garantir l’indépendance des contrôles⁶.

Enfin, la mise en place d’un cadre validé par la direction et d’un rapport annuel de réexamen des risques constitue un jalon essentiel pour démontrer la maturité du dispositif et répondre aux attentes des autorités⁷.

Pilier 2 – Gestion des incidents TIC⁸

Le Pilier 2 de DORA impose aux entités financières de détecter, classer et notifier les incidents liés aux TIC dans des délais stricts : notification dans les 4 heures après classification et au plus tard 24 heures après détection, avec des rapports intermédiaires et finaux⁹. L’objectif est de renforcer la capacité à réagir rapidement et à assurer la traçabilité des incidents majeurs auprès des autorités et des parties prenantes (FAQ ACPR)¹⁰.

Les premiers retours de supervision ACPR-AMF montrent un volume élevé de notifications : 44 déclarations initiales dont 32 incidents majeurs confirmés, avec 53 % d’indisponibilité des services TIC, 31 % d’exfiltration de données, 10 % de pannes SI et 6 % de phishing¹¹. Plus de la moitié impliquent des prestataires, et 82 % relèvent du champ DORA. Bien que l’AMF rappelle que la notification des incidents majeurs est une obligation centrale du règlement, assortie de critères stricts de qualification¹², l’ACPR constate que les délais réglementaires sont rarement respectés. Des erreurs persistent dans la complétude des champs obligatoires et la méthodologie de classification¹³.

Les projets menés par Forvis Mazars chez des assureurs français confirment ces difficultés : écarts significatifs dans les délais de notification et dans la classification des incidents, ainsi que des cellules de crise insuffisamment préparées¹⁴.

La traçabilité et le reporting demeurent des sujets critiques, souvent limités par des outils inadaptés et un manque de formation des équipes. La formalisation d’une politique claire de gestion des incidents, la tenue d’un registre exhaustif et la préparation de scénarios de crise sont désormais des impératifs pour renforcer la réactivité et la cohérence des réponses¹⁵.

Pilier 3 – Tests de résilience numérique¹⁶

Le Pilier 3 de DORA impose aux entités financières de réaliser des tests réguliers de résilience opérationnelle pour évaluer leur capacité à résister à des perturbations majeures. Deux niveaux sont prévus : des tests basiques pour toutes les entités et des TLPT (Threat-Led Penetration Tests) pour les fonctions critiques des entités systémiques. Ces TLPT, inspirés du cadre TIBER-EU¹⁷, simulent des attaques réalistes basées sur des scénarios de menace et vont bien au-delà des pentests classiques¹⁸.

Les constats ACPR-AMF montrent que la documentation progresse plus vite que la mise en œuvre opérationnelle. La mobilisation des ressources et l’implication des métiers conditionnent l’efficacité des exercices¹⁹.

Les retours des projets menés par Forvis Mazars chez des assureurs français confirment que la mise en œuvre des TLPT est particulièrement complexe. Les plans de continuité et de reprise, souvent incomplets ou non testés, révèlent des lacunes organisationnelles. Les contraintes de ressources et la coordination entre équipes IT et métiers peuvent constituer des freins majeurs à la réalisation des exercices avancés. Forvis Mazars recommande la mise en place d’un programme structuré de tests, incluant des scénarios réalistes, la validation régulière des plans de continuité et la préparation des équipes via des exercices de crise. Ces tests exigent une préparation longue (jusqu’à 12 semaines pour la phase Red Team) et des livrables détaillés²⁰.

Pilier 4 – Gestion des prestataires tiers²¹

Le Pilier 4 de DORA impose aux entités financières de garantir que les fournisseurs de services TIC critiques respectent les normes de sécurité et de résilience. Les obligations incluent la constitution d’un registre complet des prestations de service TIC, la mise en place de politiques de gestion des risques de tiers et l’intégration de clauses contractuelles spécifiques (auditabilité, localisation de la donnée, notification, réversibilité, plan de sortie).

Les constats ACPR-AMF montrent que la remise du registre d’information (ROI) demeure complexe : 84 % des entités ont déposé sur OneGate, mais seulement 39 % ont été traités au niveau européen, en raison d’un calendrier serré, de règles de validation non stabilisées et d’une faible anticipation des tests de remise²². Les autorités recommandent l’alignement des règles OneGate/AES, l’automatisation des contrôles et l’anticipation via potentiellement des outils internes.

En lien avec la contractualisation, les constats ACPR-AMF évoquent des clauses critiques souvent manquantes (droit d’audit, localisation des serveurs du prestataire, notification de la chaîne de sous-traitance, réversibilité), alors que la phase de sélection des prestataires reste la moins maîtrisée²³.

Les retours des projets menés par Forvis Mazars confirment que la gestion des tiers constitue l’un des défis les plus sensibles. Les renégociations contractuelles pour intégrer les exigences DORA sont longues et complexes, notamment en cas de prestataires localisés à l’étranger ou encore systémiques (liste des fournisseurs tiers TIC désignés - CTPP). Au-delà des délais, la conformité impose de renforcer des clauses essentielles telles que le droit d’audit sur sites et systèmes, la localisation des données et la maîtrise des transferts, la notification des incidents dans des délais stricts, la réversibilité et les plans de sortie garantissant la portabilité des données, la transparence sur la chaîne de sous-traitance et la prévention des risques de concentration, ainsi que des mécanismes d’indemnisation et des pénalités alignées sur les SLA et les objectifs de continuité (RTO/RPO). Ces exigences contractuelles, souvent absentes ou insuffisamment formalisées, constituent désormais un socle incontournable pour sécuriser la relation avec les prestataires critiques et répondre aux attentes des autorités.

Par ailleurs, la constitution d’un registre complet reste complexe en raison de données restant dispersées et non structurées ; la majorité des acteurs s’appuie encore sur des outils comme Excel, malgré l’émergence de solutions automatisées²⁴.

Forvis Mazars recommande de piloter la trajectoire de remédiation contractuelle avec rigueur, d’intégrer des clauses robustes dès la sélection des prestataires et de mettre en place des audits réguliers pour éviter les risques systémiques liés à la concentration des services numériques²⁵.

Pilier 5 – Partage d’informations²⁶

Le Pilier 5 de DORA introduit la possibilité pour les entités financières de partager volontairement des informations sur les cybermenaces, vulnérabilités et bonnes pratiques. Ce partage n’est pas obligatoire, mais fortement encouragé par les autorités pour renforcer la résilience collective du secteur. Il doit se faire dans des communautés de confiance, respecter la confidentialité, le RGPD et les règles de concurrence, et être encadré par des accords formalisés définissant les conditions de participation²⁷.

Les constats ACPR-AMF montrent que la mise en œuvre opérationnelle reste limitée : peu d’entités ont rejoint des dispositifs sectoriels tels que les ISAC (Information Sharing and Analysis Centers), et les échanges sont encore ponctuels. Les autorités rappellent que le partage d’informations est un levier essentiel pour anticiper les cybermenaces, mais qu’il doit être sécurisé (chiffrement, anonymisation) et conforme au RGPD²⁸. Les échanges doivent permettre de limiter la propagation des attaques, soutenir les capacités de défense et améliorer les techniques de détection et de réponse²⁹.

Les retours des projets menés par Forvis Mazars chez des assureurs français confirment que le partage d’informations est perçu comme stratégique mais difficile à opérationnaliser. Les principaux freins identifiés sont la crainte de divulguer des données sensibles, l’absence de processus internes pour qualifier et anonymiser les informations, et le manque de plateformes sectorielles interopérables. Forvis Mazars recommande de mettre en place des protocoles TLP (Traffic Light Protocol) pour classifier les informations (TLP:RED, AMBER, GREEN, WHITE), de formaliser des accords de partage avec des règles de gouvernance claires, et d’intégrer ces échanges dans les plans de réponse aux incidents. L’adoption d’outils collaboratifs sécurisés et la participation active aux initiatives européennes pilotées par les AES (EBA, ESMA, EIOPA) sont considérées comme des leviers prioritaires³⁰.

Conclusion

Les premiers retours montrent que DORA n’est pas une simple obligation mais un processus continu qui doit être intégré à la stratégie globale. La gouvernance des risques TIC progresse, mais la complexité documentaire et le manque de compétences spécialisées freinent la maturité. La gestion des incidents reste fragile : les délais de notification sont rarement respectés et les cellules de crise doivent être renforcées. Les tests de résilience avancent lentement, avec des TLPT particulièrement complexes pour les systèmes legacy. La gestion des tiers révèle des lacunes contractuelles et des registres parfois incomplets, tandis que le partage d’informations, bien que facultatif, demeure marginal en raison de freins liés à la confidentialité.

À partir de 2026, la supervision sera renforcée avec des contrôles sur place, des analyses transversales et des priorités fondées sur les ESR, la qualité des registres et les notifications d’incidents.

Les recommandations clés incluent la montée en compétence des équipes, l’automatisation des processus critiques (gestion des tiers, reporting incidents), et la préparation de scénarios réalistes pour les audits et stress tests³¹.

Enfin, la dimension européenne se renforce avec la mise en place des équipes d’examen conjointes (JETs) pour superviser les prestataires TIC critiques et prévenir les risques systémiques liés à la concentration des services numériques³².

Pour les assureurs, la priorité est de passer d’une logique de conformité à une approche proactive où la résilience numérique devient un levier stratégique, afin de transformer ces obligations en avantage concurrentiel durable.

Pour aller plus loin 

Feuille de route projet — 90 / 180 / 365 jours

0–90 jours : sécuriser l’assise réglementaire

1. Activer la gouvernance : mandat clair du COMEX sur la résilience numérique, responsabilités formalisées, politique TIC et appétence au risque validées. (Référentiel DORA, art. 5–16) [eur-lex.europa.eu]
2. Incident readiness : valider la chaîne de notification (4h / 24h), rôles de crise, gabarits de rapports (RTS/ITS), entraînements table‑top. [centralbank.ie]
3. ROI tiers : consolider le registre d’information des contrats TIC, identifiants des prestataires (LEI/EUID), champs critiques (audit, localisation, réversibilité). [acpr.banqu...-france.fr]

90–180 jours : industrialiser et tester

1. Programme de tests de résilience : calendrier annuel, scénarios réalistes, pré‑TLPT sur fonctions critiques ; alignement TIBER‑EU. [ecb.europa.eu]
2. Automatiser les flux : pipeline de reporting incidents (données, horodatages, pièces), registre ROI synchronisé avec référentiels achats/contrats. [amf-france.org]
3. Contrats & clauses DORA : clauses d’audit, localisation des données, notification, réversibilité, plan de sortie ; suivi des renégociations cloud.

180–365 jours : viser la résilience mesurable

1. TLPT (si in‑scope) : cadrage avec autorité TLPT, préparation TI/Red Team, livrables et evidences (RTS TLPT). [ecb.europa.eu]
2. Concentration & CTPP : analyse d’exposition aux prestataires critiques ; préparation aux examinations JET (gouvernance, test & reprise, traçabilité). [eba.europa.eu], [eiopa.europa.eu]
3. Partage d’informations : protocole TLP (AMBER/GREEN/WHITE), intégration dans la réponse aux incidents et communautés de confiance.

Décisions prioritaires par pilier

Pilier 1 — Gestion des risques TIC

• Ce que le régulateur attend : cadre TIC documenté, supervision par l’organe de direction, continuité/reprise, classification des fonctions critiques. [eur-lex.europa.eu], [eur-lex.europa.eu]
• Décisions DG/DSI : définir l’appétence au risque numérique, inscrire des objectifs résilience (RTO/RPO) au plan stratégique, instaurer des KRI (ex. % fonctions critiques avec tests réussis).

Pilier 2 — Gestion et notification des incidents

• Exigences clés : notification initiale < 4h après classification ; au plus tard 24h après détection ; rapports intermédiaire/final RTS/ITS 2025 ; canaux AMF/ACPR. [centralbank.ie], [amf-france.org]
• Décisions DG/DSI : imposer SLA internes de déclaration, entraînements trimestriels, contrôles qualité des champs obligatoires et traçabilité end‑to‑end. [cloix-mendesgil.com]

Pilier 3 — Tests de résilience (incl. TLPT)

• Point d’attention : TIBER‑EU mis à jour pour s’aligner sur DORA TLPT ; livrables et timings harmonisés ; terminologie Control Team. [ecb.europa.eu]
• Décisions DG/DSI : lancer un programme pluriannuel (basiques + avancés), tester scénarios legacy, valider plans de reprise et évidence (journaux, scripts, rapports).

Pilier 4 — Gestion des prestataires TIC

• Obligations : registre d’information ROI, politique de Gestion du risque tiers, clauses contractuelles DORA (audit, localisation, notification, réversibilité, plan de sortie). [acpr.banqu...-france.fr]
• Décisions DG/DSI : cartographier fonctions critiques ↔ prestataires, suivre renégociations cloud, mettre en place audits réguliers et KPI (ex. % contrats conformes).

Pilier 5 — Partage d’informations

• Principe : partage volontaire et sécurisé au sein de communautés de confiance ; respect RGPD et concurrence ; protocole TLP. [eur-lex.europa.eu]
• Décisions DG/DSI : formaliser accords de partage, anonymisation outillée, intégration au plan de réponse et aux exercices de crise.

Clauses contractuelles critiques (à exiger ou renforcer)

• Droit d’audit (sur sites/systèmes/GRC, périodicité, test de reprise)
• Localisation & transferts (zones autorisées, data residency, sous‑traitants)
• Notification d’incident (délais < 1h interne / < 4h régulateur, contenu) [centralbank.ie]
• Réversibilité & plan de sortie (portabilité, formats, coûts, délais)
• Chaîne de sous‑traitance (autorisation préalable, transparence, concentration)
• Indemnisation & pénalités de service (SLA, RTO/RPO alignés au risque critique)

KPI & ROI de la résilience numérique

• KPI régulatoires : Taux de respect des délais de notification ; complétude des rapports ; couverture des tests (basiques/avancés). [centralbank.ie]
• KPI tiers : % de contrats avec clauses DORA ; complétude ROI ; auditabilité effective. [acpr.banqu...-france.fr]
• ROI attendu : réduction du temps d’indisponibilité, sécurisation des revenus récurrents, diminution du risque réputationnel et des coûts d’incident ; préparabilité aux examens JET (limitation des findings et remédiations coûteuses). [eba.europa.eu], [eiopa.europa.eu]

Checklist de maturité DORA (auto‑évaluation rapide)

• Niveau 1 – Initial : pas de gouvernance TIC formalisée, registre tiers incomplet, chaîne de notification non testée.
• Niveau 2 – Déployé : politiques TIC validées, ROI consolidé, exercices de crise table‑top trimestriels.
• Niveau 3 – Industrialisé : reporting incidents outillé (RTS/ITS), tests de continuité réguliers, clauses DORA contractualisées.
• Niveau 4 – Avancé : pré‑TLPT réalisés, métriques RTO/RPO supervisées, partage d’informations TLP.
• Niveau 5 – Résilient : evidence‑based resilience, audits réussis, préparation JET documentée. [acpr.banqu...-france.fr] [centralbank.ie] [ecb.europa.eu] [eba.europa.eu], [eiopa.europa.eu]

 Passer de la conformité à la résilience stratégique

Pour un DG/DSI d’assureur, la priorité est double :

1. Industrialiser les fondamentaux (gouvernance, incidents, ROI, contrats) avec des processus outillés et auditable. [acpr.banqu...-france.fr], [amf-france.org]
2. Monter en gamme (tests avancés, préparation JET, gestion de la concentration fournisseurs) pour transformer DORA en avantage concurrentiel. [ecb.europa.eu], [eba.europa.eu]

Annexe – Chiffres clés REX DORA ACPR-AMF