'%3e%3cpath%20id='Tracé_681'%20d='M33.8,5.7a7.914,7.914,0,0,0-1.861-.441,6.307,6.307,0,0,0-3.795.81,9.391,9.391,0,0,0-3.255,3.29c-.156.249-.3.505-.444.762a.149.149,0,0,1-.185.1.15.15,0,0,1-.043-.021c-1.208-.525-2.383-1.117-3.547-1.732a11.571,11.571,0,0,0-3.816-1.391,5.621,5.621,0,0,0-5.579,2.385,6.072,6.072,0,0,0-1.187,3.738c0,.294.016.589.013.883,0,.153.066.189.2.174q1.478-.165,2.957-.326c.2-.022.409-.052.613-.066.122-.008.168-.02.153-.176a2.923,2.923,0,0,1,.253-1.613A1.878,1.878,0,0,1,16.524,11a9.888,9.888,0,0,1,2.381.98c1.2.638,2.418,1.248,3.669,1.784.144.062.181.107.12.267a75.489,75.489,0,0,0-2.332,7.366q-1.083,4.046-1.842,8.164c-.25,1.358-.453,2.724-.628,4.094-.02.152.013.213.19.231q1.753.179,3.5.393c.21.025.224-.092.238-.235.094-.928.244-1.849.4-2.768.385-2.305.875-4.588,1.433-6.858.659-2.684,1.416-5.34,2.333-7.949.124-.353.267-.7.385-1.055.051-.154.117-.176.267-.129a13.73,13.73,0,0,0,2.71.59,7.082,7.082,0,0,0,5.58-1.521,5.6,5.6,0,0,0,1.964-3.21,5.254,5.254,0,0,0,0-1.955,19.244,19.244,0,0,1,3.356,8.642,19.688,19.688,0,0,1-.948,9.255A19.938,19.938,0,0,1,21.736,40.362a3.1,3.1,0,0,0,.245-1.225,2.719,2.719,0,0,0-5.437.149c0,.088.009.175.02.262a2.39,2.39,0,0,0,.051.281c.052.224.053.229-.184.181a19.5,19.5,0,0,1-3.069-.889A20.038,20.038,0,0,1,2.615,29.433,19.465,19.465,0,0,1,.633,22.818c-.038-.337-.061-.673-.089-1.01,0-.036,0-.074-.044-.09V19.243a.1.1,0,0,0,.044-.094A16.5,16.5,0,0,1,.811,16.9a19.635,19.635,0,0,1,2.12-6A20.038,20.038,0,0,1,14.08,1.56,19.111,19.111,0,0,1,19.7.544c.049,0,.106.012.138-.044h1.239c.033.056.089.043.138.044a19.3,19.3,0,0,1,6.341,1.274A19.682,19.682,0,0,1,33.473,5.34a1.991,1.991,0,0,1,.354.327L33.8,5.7'%20transform='translate(23.636%20390.972)'%20fill='%236d4ae7'/%3e%3cpath%20id='Tracé_682'%20d='M52.059,18.758a8.849,8.849,0,0,1-2.209-.346c-.091-.025-.132-.045-.071-.142a5.5,5.5,0,0,1,1.979-2.06,2.42,2.42,0,0,1,2.41.023.876.876,0,0,1,.267,1.393,2.469,2.469,0,0,1-1.8,1.079C52.413,18.736,52.185,18.747,52.059,18.758Z'%20transform='translate(2.305%20384.2)'%20fill='%236d4be7'/%3e%3c/g%3e%3c/svg%3e){kind=small}
Article rédigé en janvier 2026 à destination des dirigeants de cabinets de courtage et de leurs responsables conformité. Les références réglementaires reflètent l'état du droit applicable à la date de publication.
Le Digital Operational Resilience Act, plus connu sous l'acronyme DORA, est entré en application le 17 janvier 2025. Issu du règlement UE 2022/2554 du 14 décembre 2022, ce texte impose à toute entité financière européenne — y compris les courtiers et courtiers grossistes en assurance — une discipline opérationnelle nouvelle sur la sécurité de leur système d'information.
Un an après l'entrée en vigueur, l'ACPR a commencé à intégrer DORA dans ses contrôles thématiques cyber. Pour un cabinet de courtage, la question n'est plus « DORA me concerne-t-il ? » mais « comment démontrer ma conformité au prochain contrôle ? ». Cet article décrit les 5 piliers DORA, le registre des prestataires critiques de l'article 28 et une checklist d'audit applicable à votre extranet grossiste.
DORA : ce que ça change pour un cabinet de courtage
Le règlement UE 2022/2554 vise les entités financières au sens large : banques, assureurs, mutuelles, gestionnaires d'actifs, et — c'est la nouveauté — intermédiaires d'assurance immatriculés à l'ORIAS. Un courtier indépendant, un courtier grossiste, un agent général numérique sont tous concernés.
L'objectif du texte est de remplacer une mosaïque de recommandations sectorielles par un socle commun européen opposable. Avant DORA, la cybersécurité du courtage relevait de la recommandation ACPR 2019-R-01, du règlement Solvabilité II pour les grands acteurs, du RGPD pour les données personnelles et de bonnes pratiques de la profession. Aucun de ces textes n'imposait un standard unifié sur la résilience opérationnelle. DORA comble ce vide.
Pour un cabinet de courtage, trois changements concrets se manifestent dès 2025-2026 :
- Une obligation documentaire renforcée. Le dirigeant doit pouvoir produire à tout moment une politique de sécurité ICT, un registre des fournisseurs critiques et une procédure d'incident. Le « ça marche, je n'ai jamais eu de problème » n'est plus une défense recevable lors d'un contrôle ACPR.
- Une responsabilité directe sur la chaîne des prestataires. DORA impose au courtier de cartographier ses tiers ICT (extranet du grossiste, logiciel de gestion, hébergeur, messagerie professionnelle, signature électronique) et de s'assurer que chacun respecte un niveau de sécurité aligné.
- Un régime de notification d'incidents. Tout incident majeur lié au système d'information doit être notifié à l'ACPR dans les délais prévus par les standards techniques. La rétention silencieuse d'un incident cyber est désormais sanctionnable.
Le texte intégral est consultable sur EUR-Lex et l'ACPR publie ses orientations sectorielles sur acpr.banque-france.fr.
Les 5 piliers DORA
Le règlement s'organise autour de cinq blocs structurels. Chacun appelle des livrables précis pour un cabinet de courtage.
1. Gouvernance et organisation ICT
Définition. Le pilier gouvernance impose qu'une personne identifiée au sein de l'entité porte la responsabilité de la résilience opérationnelle. Pour un cabinet de moins de 50 salariés, cette responsabilité revient en général au dirigeant lui-même, qui peut s'appuyer sur un référent technique externe.
Livrable type. Une politique de sécurité ICT en 10 à 15 pages, datée et signée, révisée annuellement. Elle décrit la cartographie du système d'information, les niveaux d'accès, la politique de mots de passe, la gestion des sauvegardes et la chaîne de décision en cas d'incident. Sans ce document, le cabinet est en défaut formel dès le premier contrôle.
2. Gestion des risques ICT
Définition. Le pilier risques exige une identification continue des menaces pesant sur le système d'information : phishing, ransomware, vol de données, indisponibilité d'un prestataire critique, erreur humaine. Cette cartographie est révisée au moins une fois par an et après tout changement majeur.
Livrable type. Une matrice de risques classant chaque menace par probabilité et impact, associée à un plan de traitement (acceptation, réduction, transfert, évitement). Pour un courtier, les trois risques majeurs identifiés en 2025-2026 sont l'attaque ransomware sur le poste de travail, la compromission d'une messagerie professionnelle et l'indisponibilité prolongée de l'extranet grossiste.
3. Gestion et notification des incidents
Définition. DORA impose un processus formalisé de détection, classification, traitement et notification des incidents. Tout incident majeur — défini par la perte de disponibilité, d'intégrité ou de confidentialité au-delà d'un seuil — doit être notifié à l'autorité compétente.
Livrable type. Une procédure d'incident en 4 phases : détection, qualification, traitement, retour d'expérience. Les courtiers doivent maintenir un journal des incidents daté, traçable, accessible sur demande de l'ACPR. La notification se fait via un formulaire standardisé dans les délais fixés par les normes techniques (rapport initial dans les 24 heures pour les incidents majeurs).
4. Tests de résilience opérationnelle
Définition. Toute entité financière doit tester périodiquement la robustesse de son système d'information : tests d'intrusion, exercices de bascule sur les sauvegardes, simulation de panne fournisseur. Le régime de proportionnalité allège les obligations pour les TPE de courtage, mais ne les supprime pas.
Livrable type. Un plan de tests annuel comprenant au minimum un exercice de restauration de sauvegarde, un test de continuité (que se passe-t-il si l'extranet du grossiste est indisponible 48 heures ?) et une revue des accès utilisateurs. Le compte rendu écrit de chaque test fait partie du dossier de conformité.
5. Gestion des tiers ICT
Définition. Le pilier tiers ICT est le plus structurant pour un cabinet de courtage car la majorité de son outillage est externalisée. Il impose une due diligence avant contractualisation, un contrat écrit intégrant les clauses DORA et un suivi continu de la performance du fournisseur.
Livrable type. Pour chaque fournisseur ICT, le cabinet conserve un dossier comprenant : le contrat signé avec clauses DORA (article 30 du règlement), la fiche de description du service, l'analyse de criticité, les engagements de niveau de service (disponibilité, délai de remédiation, plan de réversibilité), et la trace de la revue annuelle.
Le registre des prestataires critiques
L'article 28 du règlement DORA impose à chaque entité financière de tenir un registre des prestataires de services TIC, mis à jour en continu et communicable à l'autorité de tutelle sur demande. C'est l'obligation la plus visible — et la plus souvent défaillante — chez les cabinets de courtage français en 2025-2026.
Le registre liste tous les prestataires qui fournissent au cabinet une fonction numérique de production ou de support : extranet du grossiste, logiciel de gestion de portefeuille, hébergeur de la messagerie, solution de signature électronique, prestataire de sauvegarde cloud, antivirus professionnel, fournisseur d'authentification.
Pour chaque prestataire, le registre précise :
- la raison sociale et le numéro d'identification du fournisseur ;
- la description du service fourni et son intégration dans la chaîne de production ;
- la criticité du service : critique, important, standard. Un service est critique si son indisponibilité interrompt la souscription ou la gestion sinistre. Il est important s'il dégrade fortement la productivité sans bloquer l'activité ;
- la localisation des données (UE, hors UE, mixte) ;
- les clauses contractuelles DORA intégrées (résiliation, audit, réversibilité, notification d'incident) ;
- la date de la dernière revue annuelle.
La classification de criticité est centrale. Un extranet de grossiste sur lequel passe 80 % de la production est un prestataire critique au sens de DORA. Sa défaillance déclenche une notification ACPR et un plan de continuité. Un logiciel d'édition de courriers, lui, reste standard. Cette distinction conditionne le niveau d'exigence contractuelle et le rythme des revues.
L'ACPR recommande un registre dématérialisé, idéalement tenu sous forme de tableau structuré avec un horodatage de chaque modification. La CNIL, sur son site cnil.fr, recoupe partiellement ce registre avec celui prévu par l'article 30 du RGPD : les deux peuvent être tenus ensemble, à condition de bien distinguer les colonnes propres à chaque texte.
Cas pratique : votre extranet grossiste est-il conforme DORA ?
Contexte (cas anonymisé). Cabinet de courtage généraliste de l'est de la France, 6 collaborateurs, 1 200 contrats actifs, principal flux de production passant par l'extranet d'un courtier grossiste partenaire. En juin 2025, le dirigeant lance un audit interne après lecture d'une note de l'ACPR annonçant un contrôle thématique cyber.
L'audit suit une checklist en 8 points applicable à toute relation cabinet-grossiste.
- Contrat écrit avec clauses DORA. La convention de courtage inclut-elle les clauses DORA (article 30) : audit, résiliation, réversibilité, notification d'incident ? Le cabinet audité a découvert que sa convention datait de 2019 et n'intégrait aucune clause de ce type. Avenant signé en septembre 2025.
- Engagements de disponibilité. L'extranet affiche-t-il un taux de disponibilité contractuel (par exemple 99,5 %) ? Y a-t-il un délai garanti de remédiation en cas d'incident ? Sans engagement écrit, le service ne peut être classé critique en confiance.
- Authentification forte. L'accès à l'extranet est-il protégé par une authentification à deux facteurs (mot de passe + code SMS ou application) ? L'authentification simple par mot de passe est insuffisante pour un service critique.
- Journalisation des accès. Le grossiste fournit-il, sur demande, l'historique des connexions et des actions sensibles (consultation d'un dossier, export de données, modification d'un contrat) ? Cette traçabilité conditionne la capacité du courtier à investiguer un incident.
- Hébergement et localisation des données. Où sont stockées les données (UE, hors UE) ? Une localisation hors UE oblige à documenter la base juridique du transfert (clauses contractuelles types, décision d'adéquation).
- Plan de continuité communiqué. Le grossiste accepte-t-il de transmettre un résumé de son plan de continuité d'activité (PCA) et de son plan de reprise (PRA) ? L'opacité totale est un signal d'alerte.
- Réversibilité technique. Le cabinet peut-il exporter son portefeuille (contrats actifs, clients, historiques de sinistres) dans un format structuré exploitable ? La clause de réversibilité doit être éprouvée par un test, pas seulement écrite.
- Revue annuelle planifiée. Une revue annuelle de la prestation est-elle inscrite au calendrier ? Elle examine les incidents survenus, les indicateurs de service et l'évolution des risques.
À l'issue de l'audit, le cabinet a regroupé ses constats dans un dossier de 22 pages et signé deux avenants — avec son grossiste principal et son éditeur de logiciel de gestion. Coût du chantier : environ 5 jours de travail interne et 3 000 € d'accompagnement juridique externe. Le dirigeant estime que le risque résiduel est tombé d'un niveau « élevé » à un niveau « maîtrisé ».
Pour aller plus loin sur la chaîne conformité courtage, lisez aussi notre checklist du devoir de conseil DDA face à un contrôle ACPR, notre guide LCB-FT pour courtier en assurance : obligations concrètes et notre article méthodologique Extranet courtier grossiste : 7 critères pour évaluer un vrai outil de production.
Comment Tutassur traite DORA pour ses partenaires
L'extranet Tutassur est dimensionné pour répondre aux exigences DORA dès la signature de la convention. Authentification forte activable, journalisation des accès, hébergement dans l'Union européenne, plan de continuité documenté, clauses DORA pré-rédigées dans la convention partenaire : chaque pilier ICT trouve sa réponse opérationnelle dans la plateforme.
La culture Tech first du back-office de Grenoble se traduit par une politique de sécurité ICT formalisée, une revue annuelle des fournisseurs et un journal des incidents partagé avec les partenaires sur demande. La formation mensuelle tracée délivrée aux courtiers partenaires intègre un module DORA et cybersécurité depuis le second semestre 2025, ce qui contribue à la conformité du partenaire face à son propre obligation de formation.
Pour découvrir le cadre partenaire et les engagements de service associés, la page Devenir partenaire détaille le parcours d'onboarding et les documents transmis dès l'ouverture de code.
Foire aux questions
DORA s'applique-t-elle aux TPE de courtage ? Oui, avec un principe de proportionnalité (article 4). Les cabinets de moins de 10 salariés relèvent du régime allégé : pas de tests TLPT, gouvernance ICT portée par le dirigeant, registre simplifié. La traçabilité des incidents, la gestion des accès et le contrat écrit avec les fournisseurs ICT critiques restent obligatoires.
Quels documents préparer pour un contrôle ACPR ? Sept documents minimum : politique de sécurité ICT, registre des prestataires (article 28), cartographie des risques, procédure d'incident, preuves des tests de résilience, plan de continuité et contrats fournisseurs avec clauses DORA.
Quelles sanctions ACPR en cas de non-conformité ? Avertissement, blâme, interdiction temporaire ou sanction pécuniaire jusqu'à 10 M€ ou 5 % du CA annuel mondial. Pour un cabinet moyen, la fourchette réelle observée se situe entre 50 000 € et 500 000 €, avec publication sur le site de l'ACPR.
RGPD et DORA : différences pour un courtier ? Le RGPD (UE 2016/679) protège les données personnelles ; DORA (UE 2022/2554) protège la résilience opérationnelle. Les deux se recoupent sur l'article 32 RGPD (sécurité du traitement), mais DORA va plus loin sur la chaîne fournisseurs et impose des tests que le RGPD n'exige pas. Les deux conformités se traitent en parallèle.
Vous êtes courtier ? Rejoignez le réseau Tutassur
Accédez à une plateforme multi-compagnies, des parcours digitaux par ligne de produit et un accompagnement DDA pour développer votre cabinet en 2026.
Questions fréquentes
DORA s'applique-t-elle aux TPE de courtage ?
Oui, mais avec un principe de proportionnalité. L'article 4 du règlement UE 2022/2554 prévoit une application graduée selon la taille, le profil de risque et la nature des services. Les courtiers de moins de 10 salariés relèvent du régime allégé : pas d'obligation de tests de pénétration TLPT, gouvernance ICT pouvant être portée par le dirigeant lui-même, registre des prestataires simplifié. La traçabilité des incidents, la gestion des accès et le contrat écrit avec les fournisseurs ICT critiques restent en revanche obligatoires, quelle que soit la taille du cabinet.
Quels documents préparer pour démontrer la conformité DORA ?
Sept documents forment le socle minimum : la politique de sécurité ICT signée par le dirigeant, le registre des prestataires ICT (article 28 DORA), la cartographie des risques numériques, la procédure de gestion des incidents avec délai de notification, les preuves des tests de résilience annuels, le plan de continuité d'activité incluant un scénario cyber, et les contrats fournisseurs intégrant les clauses DORA. L'ACPR demande systématiquement ces pièces lors d'un contrôle thématique cyber.
Quelles sanctions ACPR en cas de non-conformité DORA ?
L'ACPR peut prononcer un avertissement, un blâme, une interdiction temporaire d'activité ou une sanction pécuniaire. Le plafond aligné sur les standards européens monte jusqu'à 10 millions d'euros ou 5 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour un cabinet de courtage de taille moyenne, le risque réel se situe dans la fourchette 50 000 à 500 000 euros selon la gravité, auquel s'ajoute la publication de la décision sur le site de l'ACPR — un coût réputationnel souvent supérieur au coût financier.
RGPD et DORA : quelles différences pour un courtier ?
Le RGPD (règlement UE 2016/679) protège les données personnelles : finalité du traitement, base légale, droits des personnes, notification à la CNIL en cas de violation. DORA (règlement UE 2022/2554) protège la résilience opérationnelle du système d'information : continuité, intégrité, disponibilité, sécurité des prestataires ICT. Les deux textes se recoupent sur l'article 32 RGPD (sécurité du traitement), mais DORA va plus loin sur la chaîne fournisseurs et impose des tests de résilience que le RGPD n'exige pas. Un courtier doit traiter les deux conformités en parallèle, pas en substitution.
