DORA et cabinets patrimoniaux : guide complet du règlement pour les CGP en 2026

Le règlement européen DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025 et structure désormais la résilience opérationnelle numérique de toutes les entités financières de l'Union européenne. Pour un cabinet patrimonial, qu'il exerce sous statut CIF, courtier d'assurance ou PSI, DORA n'est pas un texte de plus : c'est un cadre opérationnel qui impose de cartographier ses prestataires informatiques, d'organiser la gestion des incidents cyber et de prouver sa capacité à fonctionner même en cas d'attaque ou de panne majeure. Ce guide détaille le périmètre exact, les obligations concrètes et la méthode pour vous mettre en conformité — en 2026, l'ACPR a placé DORA parmi ses priorités de supervision et les premiers contrôles thématiques sont en cours.

Qu'est-ce que le règlement DORA ?

DORA, pour Digital Operational Resilience Act, est un règlement européen (UE 2022/2554) adopté en décembre 2022 et applicable depuis le 17 janvier 2025. Son objectif : harmoniser au niveau européen les exigences de résilience opérationnelle numérique du secteur financier. Avant DORA, chaque autorité nationale (ACPR, AMF, autorités étrangères) imposait ses propres règles cyber, ce qui créait un patchwork difficile à appliquer pour les acteurs transfrontaliers.

DORA pose un cadre unique articulé autour de cinq grands chantiers : la gouvernance et la gestion des risques TIC (Technologies de l'Information et de la Communication), la notification des incidents, les tests de résilience, la gestion des risques liés aux prestataires tiers et le partage d'informations sur les cyber-menaces. Ces obligations sont calibrées selon un principe de proportionnalité : un cabinet patrimonial de 5 collaborateurs n'a pas les mêmes exigences qu'une grande banque systémique.

Pour le secteur patrimonial, l'enjeu est concret : un CGP gère des données ultra-sensibles (identités, patrimoines, RIB, documents notariés) et dépend d'une chaîne de prestataires numériques (logiciel métier, agrégateur financier, signature électronique, messagerie, hébergement cloud). Une rupture sur l'un de ces maillons peut paralyser l'activité ou exposer les clients à un vol de données. DORA structure la prévention de ces risques.

Quels cabinets patrimoniaux sont concernés par DORA ?

DORA s'applique à un périmètre large : établissements de crédit, entreprises d'investissement, prestataires de services sur actifs numériques, sociétés de gestion, intermédiaires d'assurance, assureurs et réassureurs. La traduction pour les cabinets patrimoniaux français est la suivante :

Le règlement prévoit un cadre simplifié pour les microentreprises (moins de 10 salariés, chiffre d'affaires inférieur à 2 millions d'euros et bilan inférieur à 2 millions d'euros) et pour les petites entreprises non interconnectées. Concrètement : ces cabinets doivent toujours documenter leurs risques TIC, mais avec des exigences proportionnées (pas de tests de pénétration avancés, registre simplifié, gouvernance allégée). La majorité des cabinets de CGP indépendants entrent dans cette catégorie.

Attention : être sous régime allégé ne veut pas dire être exempté. L'ACPR contrôle systématiquement la cohérence entre la taille du cabinet, sa dépendance numérique et la documentation produite. Un cabinet de 3 personnes qui gère 200 millions d'euros sous mandat n'est pas une microentreprise au sens prudentiel et reste pleinement soumis. Pour qualifier votre situation, croisez les critères avec votre tableau des obligations réglementaires CGP.

Les 5 piliers de DORA appliqués à un cabinet patrimonial

DORA structure ses exigences autour de cinq piliers. Pour un cabinet patrimonial, voici comment chacun se traduit en pratique :

1. Gouvernance et gestion des risques TIC : le dirigeant du cabinet est personnellement responsable. Il doit valider une politique de sécurité des systèmes d'information, identifier les processus métier critiques (recueil patrimonial, signature, archivage, comptabilité) et formaliser le plan de continuité d'activité.
2. Gestion et notification des incidents TIC : tout incident significatif (panne du logiciel métier, perte de données, intrusion, indisponibilité du coffre-fort numérique) doit être tracé et, s'il est qualifié de majeur, notifié à l'ACPR sous 4 heures, avec un rapport de suivi à 72 heures et un rapport final à un mois.
3. Tests de résilience opérationnelle : les cabinets sous régime standard doivent réaliser des tests réguliers (vulnérabilités, plans de reprise, scénarios de crise). Les microentreprises échappent aux tests avancés mais doivent au minimum simuler un incident majeur une fois par an.
4. Gestion du risque lié aux prestataires TIC tiers : c'est le pilier le plus structurant pour les CGP. Le cabinet doit tenir un registre des prestataires informatiques, documenter la criticité de chacun, vérifier les clauses contractuelles obligatoires (réversibilité, audit, sous-traitance, localisation des données) et définir une stratégie de sortie pour les prestataires critiques.
5. Partage d'informations sur les cyber-menaces : facultatif mais encouragé. Les cabinets peuvent participer à des dispositifs de veille mutualisés (CERT sectoriel, ANSSI) pour partager indicateurs de compromission et bonnes pratiques.

Ces cinq piliers s'articulent avec les autres obligations CGP : devoir de conseil, conformité RGPD, sécurité des données clients. DORA ne remplace pas ces textes : il ajoute une couche cyber-résilience par-dessus.

Le registre des prestataires TIC : pierre angulaire de la conformité DORA

C'est l'obligation la plus visible et la plus contrôlée par l'ACPR. Chaque entité financière doit tenir à jour un registre des accords contractuels portant sur l'utilisation de services TIC. Ce registre est transmis annuellement à l'autorité compétente selon le format défini par l'instruction ACPR 2025-I-12.

Pour un cabinet patrimonial, le registre recense typiquement :

• Logiciel métier : Harvest, Wealthcome, Wizio, Suite Majors, ou tout autre outil de gestion patrimoniale.
• Agrégateur financier : Powens, Manaos, ou solution intégrée à votre logiciel.
• Signature électronique : DocuSign, Yousign, équivalent.
• Messagerie professionnelle : Microsoft 365, Google Workspace.
• Hébergement et cloud : AWS, OVH, Scaleway, Azure selon votre stack.
• Outils périphériques : CRM tiers, comptabilité, archivage, simulateurs externes.

Pour chaque prestataire, le registre doit indiquer : description du service, criticité (oui/non), localisation des données traitées, identifiant du contrat, date de début et date de renouvellement, présence d'une chaîne de sous-traitance, conditions de réversibilité, et plan de sortie si le prestataire est critique. L'ACPR peut demander cette base à tout moment et en exige la transmission annuelle.

Conseil pratique : centraliser un maximum de fonctions dans une plateforme unique réduit mécaniquement la longueur du registre et le risque de chaîne. Plutôt que dix prestataires (CRM + KYC + recueil patrimonial + signature + GED + agrégateur + simulateurs + coffre-fort + chatbot + archivage), une plateforme tout-en-un regroupe l'essentiel sous un contrat unique. C'est l'un des arguments structurants pour les cabinets qui rationalisent leur stack en 2026.

Notification des incidents cyber : la procédure à connaître

DORA impose une procédure stricte de notification des incidents TIC majeurs. Pour un cabinet patrimonial, un incident majeur peut être : intrusion confirmée dans le système d'information, exfiltration de données clients, attaque par rançongiciel paralysant l'accès aux dossiers, indisponibilité prolongée du logiciel métier, perte de l'agrégateur financier sur plusieurs jours.

La notification suit un calendrier en trois temps :

La qualification d'incident "majeur" repose sur des critères précis (nombre de clients affectés, montants financiers, durée d'indisponibilité, données exfiltrées, image et réputation). En cas de doute, l'ACPR recommande de notifier plutôt que de minimiser. Pour un cabinet de moins de 10 salariés, l'enjeu est d'avoir un référent cyber désigné et un canal de notification opérationnel à toute heure : l'incident peut survenir un dimanche soir.

Concrètement, un cabinet patrimonial doit disposer : d'un point de contact ACPR identifié, d'un modèle de notification pré-rempli, d'un journal de bord des incidents (même mineurs, pour identifier des tendances), et d'une procédure de communication clients en cas de fuite. Un audit de conformité annuel est l'occasion idéale pour vérifier que ce dispositif fonctionne.

Comment mettre votre cabinet en conformité DORA en 2026 : méthode pas-à-pas

Voici un plan d'action en 8 étapes adapté à un cabinet patrimonial de petite ou moyenne taille :

1. Cartographier vos processus métier critiques : recueil patrimonial, génération de DER, signature électronique, archivage, comptabilité, messagerie clients. Pour chaque processus, identifier les outils utilisés et le niveau d'indisponibilité tolérable.
2. Construire le registre des prestataires TIC : recenser tous les fournisseurs informatiques, classer par criticité, collecter les contrats, vérifier la présence des clauses DORA. Cet inventaire est la base de toute la conformité.
3. Évaluer les risques : pour chaque prestataire critique, identifier les scénarios de défaillance (panne, faillite, attaque, changement réglementaire) et formaliser un plan de réponse.
4. Désigner un référent cyber : dans un petit cabinet, c'est généralement le dirigeant ou un associé. Il pilote la politique de sécurité, supervise les incidents et est le point de contact ACPR.
5. Documenter la politique de sécurité : mots de passe, double authentification, gestion des accès, sauvegardes, mises à jour. Ce document est exigé en cas de contrôle.
6. Mettre en place une procédure d'incident : qui prévenir, dans quel ordre, sous quel délai. Tester cette procédure au moins une fois par an avec un scénario fictif.
7. Former l'équipe : sensibilisation phishing, mots de passe, gestes en cas d'alerte. La majorité des incidents cyber commencent par une erreur humaine.
8. Réviser annuellement : mettre à jour le registre, retester la procédure d'incident, vérifier les renouvellements de contrats. DORA est un cycle, pas un projet ponctuel.

Pour aller plus loin sur les contrôles ACPR à venir, consultez notre guide de préparation au contrôle AMF qui couvre des problématiques croisées avec DORA. Si vous mutualisez votre conformité au sein d'un réseau (CGPI, ANCDGP), beaucoup de réseaux proposent désormais un kit DORA prêt à l'emploi : utilisez-le comme socle, mais adaptez-le aux spécificités de votre cabinet. Le texte officiel et les RTS associés sont consultables sur EUR-Lex.

DORA et la Suite Majors : une plateforme conçue pour la résilience

La Suite Majors® a été pensée dès l'origine pour répondre aux exigences réglementaires européennes — RGPD, MiFID II et désormais DORA. Concrètement, voici comment elle simplifie votre mise en conformité :

• Plateforme unique tout-en-un : CRM, KYC, recueil patrimonial, parcours de conformité, GED, signature, agrégation, simulateurs. Un seul prestataire à inscrire au registre TIC, un seul contrat à documenter, une seule chaîne de sous-traitance à tracer.
• Hébergement souverain : serveurs européens (Scaleway et OVH), données stockées en France, conformité au cadre RGPD et aux exigences DORA sur la localisation.
• Chiffrement AES-256 : données chiffrées au repos et en transit, isolation par cabinet, gestion des clés conforme aux standards bancaires.
• Traçabilité native : chaque action utilisateur est journalisée. En cas d'incident, vous disposez immédiatement du log d'audit nécessaire à la notification ACPR.
• Coffre-fort numérique 10 Go : hébergé en France, redondé, accessible même en cas de panne d'un service. Voir notre fiche sécurité des données CGP.
• Documentation contractuelle DORA-ready : vos contrats Majors incluent les clauses obligatoires (SLA, audit, sous-traitance, réversibilité, localisation). Aucun avenant à négocier.
• Continuité d'activité : infrastructure redondée, sauvegardes quotidiennes, plan de reprise testé. En cas d'incident, votre cabinet retrouve l'accès à ses données dans des délais compatibles avec vos obligations clients.

Pour les cabinets qui migrent depuis Harvest, Wealthcome ou Wizio, l'import IA Majors permet de basculer en quelques heures sans ressaisie manuelle. Cette transition est aussi l'occasion de rationaliser votre stack TIC et de réduire la longueur de votre registre DORA.