DORA : la résilience opérationnelle numérique entre en vigueur dans l'assurance

Le règlement européen DORA (Digital Operational Resilience Act) est pleinement applicable depuis le 17 janvier 2025. Il instaure un cadre harmonisé de résilience opérationnelle numérique pour l'ensemble du secteur financier européen — banques, assureurs, mutuelles, gestionnaires d'actifs et prestataires TIC critiques.

Pour le secteur de l'assurance, DORA marque un tournant. Les compagnies d'assurance, mutuelles et institutions de prévoyance doivent désormais démontrer leur capacité à prévenir, absorber et se remettre des incidents liés aux technologies de l'information et de la communication (TIC). Le règlement s'articule autour de cinq piliers : la gouvernance des risques TIC, la gestion des incidents, les tests de résilience, la maîtrise du risque lié aux prestataires tiers, et le partage d'informations.

Concrètement, les assureurs doivent cartographier l'ensemble de leurs actifs TIC, formaliser leurs politiques de continuité, mettre en place un processus de notification des incidents majeurs aux autorités compétentes (ACPR, EIOPA), et conduire régulièrement des tests de pénétration avancés (TLPT) pour les acteurs les plus significatifs.

L'un des enjeux majeurs concerne la gestion des prestataires TIC critiques (cloud, SaaS, éditeurs métiers). DORA impose des clauses contractuelles renforcées, un registre détaillé des contrats, et une capacité à changer de fournisseur sans rupture de service. Les autorités européennes peuvent désormais superviser directement les prestataires désignés comme critiques.

Pour les assureurs français, la mise en conformité exige souvent une refonte de la gouvernance IT, un renforcement des équipes cyber et RSSI, et une collaboration étroite entre les fonctions risques, conformité, juridique et métiers. L'ACPR a clairement indiqué que DORA sera un axe prioritaire de ses contrôles en 2025 et 2026.

Chez Innovis Expertise Risk & Consulting, nous accompagnons les acteurs de l'assurance dans l'ensemble du chantier DORA : diagnostic de maturité, cartographie des risques TIC, revue contractuelle des prestataires, conception des tests de résilience et préparation aux contrôles réglementaires. Notre approche combine expertise réglementaire pointue, connaissance fine du secteur assurance et pragmatisme opérationnel.