
professionnels de la finance qui veulent
scaler leur acquisition client.
Le règlement européen DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. C'est l'un des textes les plus structurants de la décennie en matière de conformité financière. Là où les autres règlementations récentes (DDA, MiFID II, PRIIPS) portent sur la commercialisation et la relation client, DORA porte sur la résilience opérationnelle numérique de l'ensemble du secteur financier européen. Concrètement : sécurité des systèmes d'information, gestion des incidents informatiques, surveillance des prestataires de technologies de l'information et de la communication (TIC), tests réguliers de résilience.
Beaucoup de cabinets de courtage, d'agences générales et de cabinets de conseil patrimonial pensent que DORA ne les concerne pas parce qu'ils ne sont ni une banque ni une compagnie d'assurance. C'est une erreur d'analyse fréquente : DORA s'applique à 20 catégories d'entités financières, dont les intermédiaires d'assurance et les conseillers en investissements financiers. La question n'est donc pas « est-ce que DORA me concerne » mais « avec quel niveau d'exigence DORA s'applique à ma structure ».
Cet article décrit précisément ce qu'est DORA, les entités concernées avec un focus sur les distributeurs financiers (courtiers, agents généraux, CGP, IFP), le calendrier précis d'application, les 5 piliers du règlement, les obligations spécifiques pour les cabinets de taille intermédiaire, le régime des prestataires TIC critiques, les sanctions encourues, les 6 étapes pratiques de mise en conformité, et les synergies avec les autres conformités déjà en place (LCB-FT, RGPD, DDA). L'article complète notre dossier conformité au sein duquel vous retrouverez aussi nos analyses sur MiFID II et CIF, PRIIPS KID, et Master compliance.
Le règlement DORA est le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022. Il harmonise au niveau européen les exigences de résilience opérationnelle numérique pour le secteur financier. Pour la première fois, l'Europe adopte un cadre unique applicable à toutes les entités financières, et pour la première fois aussi, ce cadre couvre l'ensemble du cycle numérique : prévention, détection, réponse, récupération, et amélioration continue.
Le texte est complété par 13 normes techniques de réglementation (RTS) et 4 normes techniques d'exécution (ITS) publiées progressivement entre 2024 et 2026 par les autorités européennes de surveillance (EBA, ESMA, EIOPA). Ces normes précisent les modalités opérationnelles de chaque obligation.
Trois facteurs ont conduit l'Europe à adopter ce texte :
DORA répond à ces trois enjeux en créant un cadre commun et contraignant.
À ne pas confondre avec :
DORA complète ces textes sans s'y substituer. Une entité financière peut donc être soumise simultanément à DORA + RGPD + NIS2 + LCB-FT, chacun couvrant un angle différent.
DORA suit un calendrier en plusieurs étapes que tout cabinet doit connaître précisément.

C'est la date à partir de laquelle DORA est juridiquement contraignant. Toutes les entités concernées doivent à cette date avoir mis en place le dispositif de base : gouvernance, politique de gestion des risques TIC, registre des prestataires, processus de gestion d'incidents.
Les 13 RTS et 4 ITS sont publiées et applicables sur 2025-2026. Chaque norme déclenche une obligation opérationnelle précise. Les cabinets doivent donc surveiller les publications de l'ACPR et de l'AMF, qui transposent et précisent localement.
Les entités importantes doivent réaliser leur premier cycle de tests de résilience opérationnelle avancée (TLPT, Threat-Led Penetration Testing) en 2026 ou 2027 selon leur classification.
Les autorités de surveillance (ACPR, AMF) intègreront progressivement DORA dans leurs missions de contrôle ordinaire. Les premiers contrôles ciblés sont attendus à partir du second semestre 2026.
DORA couvre 20 catégories d'entités financières listées à l'article 2 du règlement. Voici celles qui concernent les distributeurs et le conseil patrimonial.
L'article 16 du règlement prévoit un régime allégé pour les microentreprises (moins de 10 employés ET chiffre d'affaires ou bilan annuel inférieur à 2 millions d'euros). Les obligations restent applicables mais sont proportionnées à la taille de la structure. La majorité des cabinets CGP solo ou des petits courtiers tombent dans cette catégorie.
Un cabinet courtier IARD avec 4 collaborateurs et 800 K€ de chiffre d'affaires entre dans la catégorie « microentreprise » au sens DORA. Il est néanmoins assujetti aux obligations de base : politique de gestion des risques TIC, registre des prestataires, processus simplifié de notification d'incident majeur. Les exigences les plus lourdes (tests avancés, fonction de gestion des risques dédiée) ne s'appliquent pas.
DORA s'articule autour de 5 piliers complémentaires. Chaque pilier impose un dispositif spécifique à mettre en œuvre.
C'est le cœur du règlement. Toute entité concernée doit disposer d'une politique formalisée de gestion des risques liés aux technologies de l'information et de la communication. Cette politique couvre :
Pour les microentreprises, la politique peut être simplifiée mais doit exister par écrit, être validée par la direction et révisée annuellement.
Les entités doivent disposer d'un processus structuré de gestion des incidents informatiques : détection, classification, escalade, résolution, retour d'expérience. Les incidents qualifiés de « majeurs » doivent être notifiés à l'autorité compétente (ACPR ou AMF selon le statut) dans des délais précis :
Les seuils précis de qualification d'un incident comme « majeur » sont fixés par le RTS sur la classification des incidents TIC.
Les entités doivent réaliser des tests réguliers de leur dispositif. Le niveau d'exigence dépend de la classification :
Pour un cabinet de courtage de taille moyenne, les tests de base suffisent. Pour une grande banque ou compagnie d'assurance, les TLPT sont obligatoires.
C'est sans doute le pilier le plus structurant pour les distributeurs financiers. Toute entité doit :
Concrètement, un CGP qui utilise HubSpot, Pipedrive ou un progiciel patrimonial doit avoir évalué la criticité de chacun de ces prestataires et stocké les contrats correspondants dans un registre traçable.
Les entités sont encouragées (mais pas obligées pour les microentreprises) à participer à des dispositifs de partage d'informations sur les cybermenaces et vulnérabilités, avec leurs pairs et avec les autorités. En France, le CERT-FR et la cellule Tracfin sont les principaux points de coordination.

Au-delà des 5 piliers généraux, voici les obligations qui s'imposent concrètement à un courtier, un agent général ou un CGP en 2026.
Toute entité doit désigner une personne responsable de la fonction de gestion des risques TIC. Pour une grande structure, c'est généralement un poste dédié (CISO, RSSI, responsable cybersécurité). Pour un cabinet de courtage ou un CGP, c'est typiquement le dirigeant lui-même ou un associé, qui peut s'appuyer sur un prestataire externe.
Cette personne doit être en mesure de répondre aux questions de l'ACPR ou de l'AMF en cas de contrôle. Elle est l'interlocuteur unique pour les obligations DORA.
Le cabinet doit avoir une cartographie écrite et tenue à jour de l'ensemble de ses actifs TIC : matériel (ordinateurs, serveurs, téléphones professionnels), logiciels (CRM, progiciel, suite bureautique, messagerie), services cloud (espace de stockage, sauvegardes), données sensibles stockées.
Pour chaque actif, le cabinet identifie le niveau de criticité (en pratique, sa capacité à continuer à fonctionner si l'actif est indisponible 1 jour, 1 semaine ou 1 mois).
Document interne d'1 à 5 pages décrivant : la définition d'un incident TIC, qui détecte, qui escalade, qui décide, qui notifie l'autorité, qui communique aux clients le cas échéant. Cette politique doit être revue annuellement et testée au moins une fois par an (exercice de simulation d'incident).
Le document le plus structurant à mettre en place. Pour chaque prestataire, le registre indique :
Ce registre est exigible en cas de contrôle ACPR. L'absence ou la pauvreté du registre est l'une des principales sources d'observation prévue lors des premiers contrôles 2026-2027.
Les contrats avec les prestataires TIC critiques doivent contenir 14 clauses obligatoires listées à l'article 30 du règlement, dont les principales :
Beaucoup de contrats existants avec des éditeurs de logiciels ou des hébergeurs cloud ne contiennent pas tout ou partie de ces clauses. La mise en conformité passe par la renégociation de ces contrats ou par le recours à des avenants standardisés.
Au-delà des entités financières elles-mêmes, DORA crée un régime spécifique pour les prestataires TIC tiers critiques, désignés directement par les autorités européennes. Ces prestataires (typiquement les grands fournisseurs de cloud, certains éditeurs de logiciels critiques) sont placés sous surveillance directe des autorités européennes.
Concrètement, AWS, Microsoft Azure, Google Cloud et quelques autres acteurs majeurs du marché ont été désignés comme prestataires critiques en 2024-2025. Cela signifie qu'ils sont surveillés en continu et doivent répondre directement aux autorités.
Pour un cabinet français qui utilise un service hébergé chez AWS ou Microsoft Azure (ce qui est le cas de la quasi-totalité des progiciels en SaaS), cela représente une sécurité supplémentaire : la conformité du prestataire est garantie par le régulateur, vous n'avez pas à la vérifier vous-même.
Le règlement DORA ne définit pas un barème de sanctions unique. Chaque État membre transpose les sanctions dans sa législation nationale. En France, les sanctions sont appliquées par l'ACPR et l'AMF selon le statut de l'entité.
Les fourchettes typiques observées sur des manquements de conformité TIC en 2025 :
Pour un cabinet patrimonial de taille moyenne, le risque réel n'est pas tant la sanction pécuniaire (peu d'amendes ACPR atteignent ces plafonds sur des structures de moins de 50 personnes) que la sanction réputationnelle d'une publication de sanction sur le site de l'autorité, qui détruit instantanément la confiance des clients existants.
Voici la feuille de route opérationnelle pour un cabinet de courtage, une agence générale ou un cabinet CGP qui n'a pas encore mis en place DORA.

Désigner par écrit la personne en charge (dirigeant ou associé en pratique). Former cette personne aux exigences DORA via une formation courte (1 à 2 jours) ou en s'appuyant sur les ressources de l'ACPR et de l'ESMA.
Lister tous les actifs TIC du cabinet : matériel, logiciels, services cloud, données sensibles. Évaluer la criticité de chacun. Cette cartographie peut tenir en 2 à 5 pages pour un cabinet de moins de 10 personnes.
Lister tous les prestataires TIC : hébergeur, éditeur du progiciel, fournisseur de messagerie professionnelle, prestataire CRM, prestataire de signature électronique, fournisseur de l'antivirus, prestataire de sauvegarde, etc. Pour chaque prestataire, collecter les éléments cités plus haut. Outil pratique : un simple tableur partagé suffit pour un cabinet de moins de 20 personnes.
Lire les contrats en cours et identifier les clauses manquantes (parmi les 14 clauses obligatoires). Demander aux prestataires des avenants standardisés (la plupart proposent un « DORA addendum » prêt à signer en 2026). Pour les contrats que les prestataires refusent de modifier, évaluer le risque et envisager un changement de prestataire à terme.
Rédiger un document interne de 2 à 5 pages décrivant la procédure de gestion des incidents : détection, classification, escalade, notification ACPR ou AMF, communication client, retour d'expérience. Réaliser un test annuel (simulation d'incident type ransomware ou panne majeure du progiciel).
Documenter une revue annuelle écrite du dispositif : ce qui a fonctionné, ce qui doit être amélioré, plan d'action pour l'année suivante. Cette revue est exigible en cas de contrôle ACPR ou AMF.
Pour un cabinet de moins de 10 personnes qui démarre la mise en conformité, comptez 30 à 60 heures de travail interne sur 2 à 3 mois, ou un budget de 5 000 à 15 000 € si vous externalisez à un prestataire spécialisé.
DORA ne s'ajoute pas en silo aux autres conformités existantes. Il s'inscrit dans un écosystème déjà chargé que les cabinets connaissent. Identifier les synergies permet de réduire la charge de mise en conformité.
Le registre des traitements de données (RGPD article 30) que vous tenez probablement déjà couvre une partie des informations exigées par le registre DORA des prestataires. Une fusion ou un référencement croisé évite de tout refaire.
La politique de classification des risques et de vigilance que vous tenez au titre de la LCB-FT prépare la culture de classification que DORA exige pour les actifs TIC et les prestataires. Les processus de classification peuvent partager les mêmes principes méthodologiques.
Les obligations de gouvernance produit et de devoir de conseil de MiFID II et DDA partagent avec DORA la même exigence de traçabilité documentaire et de revue périodique. Un cabinet qui a déjà structuré sa documentation MiFID/DDA aura moins de mal à structurer sa documentation DORA.
Les 15 heures annuelles de formation continue imposées par la DDA peuvent inclure un module DORA et cybersécurité. C'est une utilisation efficace du temps de formation obligatoire.
Prestimonia est une agence d'acquisition spécialisée pour les cabinets de conseil patrimonial, les courtiers et les agents généraux. Sur le volet DORA, notre positionnement est de garantir que les outils que nous utilisons et que nous mettons à disposition de nos clients sont conformes aux exigences du règlement, et que les flux de données entre votre cabinet et notre dispositif respectent les obligations de traçabilité et de localisation des données prévues par DORA.
Nos prestataires TIC sont eux-mêmes audités, nos contrats prestataires intègrent les clauses DORA conformes, et notre infrastructure est hébergée en Union européenne avec les certifications de sécurité standard du marché.
Oui, DORA s'applique à toutes les entités d'intermédiation en assurance, quelle que soit leur taille. Toutefois, l'article 16 prévoit un régime allégé pour les microentreprises (moins de 10 employés ET CA ou bilan inférieur à 2 millions d'euros). Le cabinet doit avoir une politique de gestion des risques TIC simplifiée, un registre des prestataires et un processus de notification d'incident, mais n'est pas soumis aux tests avancés ni à la désignation d'une fonction de gestion des risques TIC dédiée.
Le règlement DORA est entré en application le 17 janvier 2025. À cette date, toutes les entités concernées devaient avoir mis en place le dispositif de base. Les normes techniques d'application (RTS et ITS) entrent en vigueur progressivement entre 2025 et 2026, et les premiers contrôles ciblés par l'ACPR et l'AMF sont attendus à partir du second semestre 2026.
Oui. Les CGP exerçant en tant que Conseillers en Investissements Financiers (CIF) entrent dans la catégorie des entreprises d'investissement au sens DORA. Ils sont donc directement assujettis aux obligations du règlement, avec le régime allégé pour ceux qui répondent aux critères de microentreprise. Sur le statut CIF voir notre article MiFID II et CIF.
Les sanctions sont définies par chaque État membre. En France, l'ACPR et l'AMF peuvent prononcer des avertissements, des blâmes, des sanctions pécuniaires jusqu'à 1 à 2 % du chiffre d'affaires annuel pour les manquements graves, et jusqu'à 10 millions d'euros pour les personnes morales selon la nature de l'entité. La sanction réputationnelle (publication sur le site du régulateur) est souvent plus dommageable que la sanction pécuniaire pour les structures de taille moyenne.
Pour chaque prestataire (CRM, progiciel, hébergeur, fournisseur de messagerie, signature électronique, sauvegarde, antivirus, etc.), collecter : nom et coordonnées, service fourni, niveau de criticité, localisation des données, référence et durée du contrat, niveau de sécurité (certifications ISO 27001, SOC 2). Un simple tableur partagé suffit pour un cabinet de moins de 20 personnes. Le registre doit être tenu à jour et révisé annuellement.
L'article 30 du règlement liste 14 clauses obligatoires : description précise des services et SLA, localisation des données, droit d'audit, obligation d'assistance en cas d'incident, coopération avec les autorités, conditions de résiliation et plan de sortie ordonnée, sécurité de l'information conforme aux normes internationales, notification d'incidents, sous-traitance encadrée, propriété intellectuelle, fin de service, accès aux logs, formation et certification du personnel du prestataire, gestion des conflits.
Pour les entités courantes (dont la majorité des cabinets patrimoniaux et courtiers), des tests de base suffisent : scans de vulnérabilités, audits de sécurité, exercice annuel de simulation d'incident. Pour les entités importantes (grandes banques, grandes compagnies d'assurance), les tests avancés (TLPT, Threat-Led Penetration Testing) sont obligatoires tous les 3 ans. Pour un cabinet de moins de 20 personnes, un audit de sécurité annuel par un prestataire spécialisé (1 500 à 4 000 € HT) suffit.
Les délais sont : notification initiale sous 4 heures après classification de l'incident comme majeur (au plus tard 24 heures après détection), rapport intermédiaire sous 72 heures, rapport final sous 1 mois. La notification se fait via les portails des autorités (ACPR ou AMF selon le statut). Le cabinet doit avoir préparé en amont les modèles de notification et identifié l'interlocuteur unique en charge.
Si vous gérez en interne, comptez 30 à 60 heures de travail réparties sur 2 à 3 mois. Si vous externalisez à un prestataire de mise en conformité spécialisé, comptez 5 000 à 15 000 € HT pour le projet initial, puis 1 500 à 4 000 € HT par an pour l'audit annuel et la mise à jour. Ce coût est faible au regard du risque réputationnel encouru en cas de non-conformité.