Pour le secteur financier, l’heure est au premier bilan. Si l’année passée a permis de poser les bases de la gestion des risques TIC, 2026 marque le début d’une supervision européenne renforcée. Les obligations réglementaires DORA sont désormais ancrées : les tests de résilience annuels deviennent récurrents et la notification des incidents est entrée dans les mœurs. Dans ce paysage exigeant, des solutions comme Custy Adhoc ont prouvé leur valeur en automatisant la collecte des données et en sécurisant les flux critiques.
Qu’est-ce que la réglementation DORA impose concrètement aux courtiers ?
DORA définit cinq piliers d’obligations pour toutes les entités financières, dont les courtiers et assureurs. Voici ce que le règlement impose concrètement à votre cabinet :
- Gérer les risques liés aux TIC de manière structurée et documentée
- Signaler les incidents majeurs aux autorités de supervision dans des délais stricts
- Tester régulièrement la résilience opérationnelle (tests de pénétration, simulations de crise)
- Encadrer strictement les prestataires tiers de services TIC (cloud, hébergement, SaaS)
- Partager les informations sur les cybermenaces entre acteurs du secteur financier.
‘‘ La résilience numérique n’est pas une option — c’est une condition d’exercice. ’’
Ces cinq piliers s’appliquent selon un principe de proportionnalité : les grandes entités financières sont soumises aux exigences les plus strictes, mais même les cabinets de moins de 10 salariés doivent pouvoir justifier de mesures de sécurité de base et d’une continuité des services essentiels.
⚠️ À ne pas confondre avec la DDA : le devoir de conseil (issu de la Directive sur la Distribution d’Assurance) est une réglementation distincte, qui encadre la relation commerciale avec le client final. DORA, lui, porte exclusivement sur la sécurité et la résilience des systèmes informatiques.
Les obligations DORA en pratique : ce que votre cabinet doit mettre en place
Concrètement, DORA impose à votre cabinet de tenir à jour un registre d’information (ROI) listant tous vos prestataires TIC, de documenter vos procédures de gestion des risques et de formaliser un plan de continuité d’activité. La traçabilité est la colonne vertébrale de la conformité : chaque incident, chaque test et chaque mise à jour doit être horodaté(e) et conservé(e).
La dépendance aux TIC est désormais totale, ce qui oblige les distributeurs à surveiller de très près leurs prestataires de services TIC. Un cabinet qui ne maîtrise pas sa chaîne d’approvisionnement numérique s’expose à un risque de contagion en cas d’attaque sur l’un de ses fournisseurs. En 2026, la « maîtrise du tiers » est le premier rempart de votre cabinet.
Nota Bene : Le principe de proportionnalité dans la régulation reste en vigueur en 2026. Les micro-entreprises de moins de 10 salariés bénéficient toujours de règles simplifiées, mais l’ACPR rappelle régulièrement que « simplifié » ne signifie pas « exempté » en matière de sécurité de base.
Les conséquences du non-respect : le temps des premières sanctions
Après une année 2025 placée sous le signe de la pédagogie, 2026 voit les autorités de contrôle passer à une phase de supervision plus stricte. L’absence de mesures de continuité ou le retard dans la déclaration des incidents majeurs font désormais l’objet de rappels à l’ordre, voire de premières sanctions administratives.
| Risque métier | État des lieux en 2026 |
| Juridique | L’ACPR vérifie désormais l’effectivité des registres d’information TIC. |
| Financier | Les cyber-assurances exigent une preuve de conformité DORA pour couvrir un sinistre. |
| Image | La publication des sanctions sur le site du régulateur peut dégrader la confiance en 24h. |
| Opérationnel | Un incident non maîtrisé peut entraîner une déconnexion des flux assureurs. |
Comment les outils digitaux facilitent-ils la conformité DORA au quotidien ?
Le cadre imposé par DORA a accéléré l’adoption d’outils numériques adaptés. En 2026, les solutions modernes permettent aux courtiers de répondre aux exigences du règlement sans alourdir leur quotidien :
- Une traçabilité « by design » : Chaque action, chaque incident et chaque mise à jour de procédure est archivé(e) dans un environnement sécurisé et horodaté.
- Une mise à jour en temps réel : Les évolutions réglementaires et les nouvelles normes techniques (RTS/ITS) sont intégrées au fil des mises à jour, sans intervention manuelle de votre équipe.
- Une réduction des erreurs : L’automatisation des contrôles de conformité lors de la saisie évite les oublis de documents obligatoires.
La réglementation DORA : rappel du cadre juridique en vigueur
Bien que nous soyons en 2026, il est utile de se rappeler que DORA est un règlement européen directement applicable, ce qui garantit une harmonisation totale à l’échelle de l’Union européenne.
Objectifs et champ d’application stabilisés
L’objectif premier reste de limiter l’impact systémique : éviter qu’une cyberattaque sur un prestataire TIC majeur ne paralyse l’ensemble du secteur financier. Le champ d’application couvre les banques, les assureurs et les courtiers, mais s’étend aussi aux nouveaux acteurs de l’IA financière, désormais encadrés par le Règlement IA appliqué depuis août 2025.
Pourquoi l’assurance reste une cible prioritaire?
En ce début d’année 2026, les attaques par ransomwares continuent de viser les bases de données clients des intermédiaires. La concentration des données de santé et de patrimoine dans des structures parfois modestes reste un défi pour la sécurité collective.
Les obligations DORA : où en sommes-nous un an après ?
Gestion des risques TIC et gouvernance renforcée
La gestion des risques TIC est désormais une fonction permanente au sein des cabinets. Les organes de direction ont maintenant l’habitude d’approuver et de réviser la stratégie de résilience au moins une fois par an.
- Cartographie : Elle doit être vivante et inclure chaque nouvel outil SaaS ou API intégré.
- Responsabilité : Les dirigeants sont pleinement responsables de la résilience numérique de leur entité.
- Audit : Les rapports d’audit informatique sont désormais des documents standards lors des contrôles de routine.
➡️ Toujours pas à jour? Demandez une démonstration de Custy Adhoc pour structurer vos processus.
Notification et gestion des incidents majeurs
Le portail OneGate de l’ACPR est devenu le point de passage obligé pour déclarer les incidents majeurs.
- Réactivité : Les délais (notification initiale sous 4h après classification) sont le point d’attention n°1 des régulateurs en 2026.
- Standardisation : Les rapports doivent suivre des normes techniques strictes au format JSON.
- Apprentissage : DORA impose de documenter les leçons tirées de chaque incident pour renforcer les défenses futures.
Tests de résilience opérationnelle numérique
En 2026, vous avez probablement déjà réalisé votre premier cycle complet de tests de résilience.
- Tests annuels : Ils incluent désormais des simulations de crise de bout en bout et des analyses de vulnérabilité.
- TLPT (Tests de pénétration) : Pour les entités les plus importantes, ces tests dirigés par la menace sont devenus obligatoires et très encadrés.
- Continuité : Les plans de reprise d’activité (PRA) ne sont plus de simples documents théoriques mais des dispositifs éprouvés en conditions réelles.
Pérenniser votre conformité DORA : le « Mode Run » au quotidien
Faire vivre la résilience : au-delà de la théorie
Entrer dans le « mode run », c’est accepter que la résilience est un marathon, pas un sprint. En 2026, votre veille constante n’est plus une option : les normes techniques (RTS et ITS) continuent d’évoluer au gré des nouveaux modes opératoires d’attaque. Un courtier avisé ne se contente plus de lire les textes ; il les anticipe pour éviter que son registre d’information ne devienne une archive poussiéreuse au moment de la remise annuelle à l’ACPR.
Mais la technologie ne fait pas tout. La véritable barrière contre l’impact des cybermenaces reste humaine. La culture cyber au sein de votre cabinet doit être irriguée par une formation continue. En 2026, le phishing s’est sophistiqué avec l’IA, et vos collaborateurs sont votre première ligne de défense.
Faire de la prévention une réalité quotidienne, c’est transformer chaque membre de l’équipe en un capteur de risques vigilant, capable de déceler une anomalie avant qu’elle ne devienne un incident majeur.
Custy Adhoc : votre copilote de résilience
Dans ce paysage réglementaire dense, la question pour un cabinet n’est plus de savoir s’il doit se digitaliser, mais quel outil sera capable de porter sa responsabilité. Custy Adhoc, renforcé par le rapprochement stratégique avec Bel Air Informatique en 2026, s’impose comme ce partenaire de confiance. En centralisant vos preuves de conformité, la plateforme transforme la corvée du reporting en un flux naturel : chaque test de résilience et chaque mise à jour de procédure est historisé sans effort manuel supplémentaire.
L’interconnexion est le second pilier de cette sérénité. Grâce à une interopérabilité sans couture avec les extranets assureurs et EDICourtage, Custy Adhoc élimine les ruptures de flux qui sont souvent sources de vulnérabilités. Enfin, la sécurité de vos données est sacralisée par un archivage certifié et des sauvegardes immuables, garantissant que votre conformité DORA reste traçable, même après une tempête numérique. En déléguant la complexité technique à Adhoc, vous récupérez jusqu’à 12 heures par semaine pour vous consacrer à l’essentiel : la relation avec vos assurés.
DORA, contrainte ou opportunité : le verdict de 2026
Un an après, le constat est clair : DORA a été l’accélérateur de maturité dont le secteur financier avait besoin. Certes, le cadre juridique est exigeant, mais il a permis d’assainir le marché et de protéger les assurés contre des menaces qui auraient pu être dévastatrices.
En utilisant des outils comme Custy Adhoc, les courtiers ont transformé une obligation légale en un moteur d’efficacité. Gagner 40 % de temps sur l’administratif tout en étant 100 % résilient n’est plus un rêve de 2025, c’est la norme de 2026.
Continuez à faire de la sécurité votre force.
FAQ : La résilience numérique au quotidien en 2026
Question d’un courtier : « Mon cabinet compte moins de 10 salariés. Suis-je vraiment concerné par toute la lourdeur administrative de DORA ou existe-t-il une forme de souplesse pour les petites structures? »
La réponse de l’équipe Custy :
C’est une question que nous posent souvent les cabinets de proximité. La réponse est oui, vous êtes concerné, mais avec une nuance de taille : le principe de proportionnalité. Le règlement prévoit effectivement un cadre simplifié pour les micro-entreprises (moins de 10 collaborateurs et moins de 2 millions d’euros de CA). Cependant, « simplifié » ne signifie pas « exempté ». Vous devez tout de même être en mesure de prouver la sécurité de vos accès et la continuité de vos services essentiels. Notre rôle avec Custy Adhoc est précisément d’absorber cette complexité pour vous : l’outil est déjà paramétré pour répondre à ces exigences, ce qui vous évite de devenir un expert en cybersécurité pour rester en conformité.
Question d’un courtier : « J’utilise plusieurs outils en ligne (SaaS) pour ma gestion et mes comparatifs. Comment puis-je m’assurer que ces prestataires sont bien conformes à DORA sans avoir à auditer chaque contrat moi-même? »
La réponse de l’équipe Custy :
C’est le cœur du Pilier 4 de DORA sur la gestion des risques tiers. En 2026, vous avez l’obligation de tenir à jour un registre d’information (ROI) répertoriant tous vos prestataires TIC. Pour vous simplifier la vie, chez Custy, nous avons anticipé cette exigence. En choisissant une solution comme la nôtre, qui a d’ailleurs renforcé son assise historique par le rapprochement avec Bel Air Informatique, vous bénéficiez d’un environnement nativement résilient. Nous mettons à votre disposition toute la documentation nécessaire (clauses contractuelles types, rapports de tests) pour alimenter votre registre et réduire significativement la charge administrative liée à cette obligation.
Question d’un courtier : « En cas de cyberattaque, on nous demande de notifier l’ACPR sous 4 heures. Entre la panique et la gestion du sinistre, comment est-ce techniquement possible pour un cabinet de ma taille? »
La réponse de l’équipe Custy :
C’est effectivement le défi le plus stressant du règlement : la réactivité face aux incidents majeurs. Le délai de 4 heures court à partir du moment où l’incident est classifié comme « majeur ». Pour tenir ce timing « impitoyable », il est impossible de s’appuyer sur des processus manuels. Custy Adhoc intègre des fonctions de journalisation et d’historisation des actions qui vous permettent de retracer les événements. En cas de pépin, notre plateforme vous aide à extraire les données nécessaires au format exigé par le portail OneGate de l’ACPR, vous permettant de rester serein et de vous concentrer sur la relation avec vos clients pendant que l’outil gère la preuve technique.
