DORA et petit cabinet : par où commencer ?

Le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) est entré en application. Son objectif : renforcer la résilience numérique du secteur financier européen. Banques, assureurs, gestionnaires de fonds, mais aussi intermédiaires d'assurance et de crédit.

Quand un courtier entend "résilience numérique", "gestion des risques TIC" et "tests de pénétration", la réaction naturelle est de se demander si tout ça le concerne vraiment. La réponse courte : oui, mais avec un régime adapté à votre taille.

Êtes-vous concerné ?

La FSMA a publié une documentation pédagogique dédiée pour clarifier le sujet. Le règlement s'applique à tous les intermédiaires d'assurance, de réassurance et à titre accessoire inscrits auprès de la FSMA.

Cependant, les obligations varient considérablement selon la taille de l'entreprise. Les cabinets de moins de 250 travailleurs et dont le chiffre d'affaires est inférieur à 50 millions d'euros bénéficient d'un régime simplifié. Ce qui couvre la quasi-totalité des cabinets de courtage en Belgique.

Concrètement, les quatre piliers complets de DORA (gestion des risques TIC, gestion des incidents, tests de résilience, gestion des prestataires tiers) s'appliquent dans leur version allégée. Vous n'avez pas les mêmes obligations qu'une banque. Mais vous avez des obligations.

Ce que vous devez faire concrètement

Voici les cinq actions qui concernent directement un cabinet de 2 à 10 personnes.

1. Identifier vos prestataires TIC critiques. Listez tous les logiciels et services cloud que vous utilisez au quotidien : Portima, votre CRM, votre messagerie, votre solution de signature électronique, votre hébergeur web, votre outil de visioconférence. C'est votre registre de prestataires tIC. DORA demande que vous sachiez de qui vous dépendez.

2. Vérifier vos contrats. Chaque prestataire TIC critique devrait avoir un contrat qui mentionne les niveaux de service, la localisation des données et les conditions de résiliation. Si votre CRM tourne sur un serveur dont vous ignorez la localisation, c'est un point à clarifier.

3. Mettre en place un minimum de sécurité. Authentification à deux facteurs sur vos comptes sensibles (email, CRM, Portima). Sauvegardes régulières. Mots de passe uniques et complexes. Un antivirus à jour. Ce sont des fondamentaux, pas des luxes. BZB-Fedafin propose d'ailleurs un guide cybersécurité pour PME dans sa bibliothèque sectorielle.

4. Savoir réagir en cas d'incident. Si votre boîte mail est piratée, si vos données clients fuitent, si votre CRM est inaccessible pendant 24 heures : que faites-vous ? DORA impose de pouvoir notifier un incident majeur à la FSMA dans les 24 heures, avec un rapport intermédiaire sous 72 heures. Préparez un document simple avec les contacts, la procédure et les responsabilités.

5. Documenter le tout. Un fichier partagé avec la liste de vos prestataires, vos mesures de sécurité et votre procédure d'incident suffit pour un petit cabinet. L'objectif est de pouvoir démontrer que vous avez une approche structurée, proportionnelle à votre taille.

Le piège des dix outils

Beaucoup de courtiers utilisent un empilement d'outils : un CRM d'un côté, un logiciel de comparaison d'un autre, un outil d'emailing séparé, un hébergeur web différent, une solution de signature chez un cinquième prestataire. Chaque outil ajouté est un prestataire TIC supplémentaire à auditer, un contrat à vérifier, une surface de risque en plus.

Le principe de DORA est clair : moins vous avez de prestataires critiques, moins votre exposition est élevée. Un écosystème intégré qui couvre plusieurs fonctions (site web, email marketing, gestion de la satisfaction) réduit mécaniquement le nombre de contrats à gérer et la complexité de votre registre TIC.

C'est l'une des raisons pour lesquelles nous avons conçu l'écosystème NextMove comme une plateforme intégrée : un seul prestataire pour votre site, votre newsletter et votre mesure de satisfaction. Une seule ligne dans votre registre DORA au lieu de trois.

Les sanctions existent

DORA prévoit des sanctions pouvant aller jusqu'à 2% du chiffre d'affaires annuel mondial ou 10 millions d'euros. Pour un petit cabinet, le risque principal est plus indirect : les assureurs RC professionnelle et cyber intègrent désormais DORA dans leurs questionnaires de souscription. Une non-conformité peut entraîner des exclusions de garantie, des surprimes ou des sous-limites.

Autrement dit : le courtier qui vend de la cybersécurité à ses clients a intérêt à être lui-même en ordre.

Pas de panique, de la méthode

DORA n'a pas été conçu pour écraser les petits cabinets. Le principe de proportionnalité est inscrit dans le texte. Ce que la FSMA attend d'un bureau de trois personnes, ce n'est pas un département IT dédié. C'est une démarche structurée, documentée, adaptée à votre réalité.

Cinq actions, un fichier partagé, et la certitude de savoir qui appeler quand ça tourne mal. C'est à la portée de chaque cabinet. Et c'est le minimum pour dormir tranquille.