Aller au contenu principal
Formations

Formation DDA 15 heures assurance cyber-risques entreprises 2025 en ligne ACPR : programme, conformité et attestation

11 min de lecture

Formation DDA 15 heures assurance cyber-risques entreprises 2025 en ligne ACPR : programme, conformité et attestation

La formation DDA 15 heures assurance cyber-risques entreprises 2025 en ligne ACPR répond à une double exigence : satisfaire l’obligation annuelle de développement professionnel continu imposée par la Directive sur la Distribution d’Assurances (DDA 2016/97/UE) et acquérir une expertise opérationnelle sur l’un des segments les plus dynamiques du marché IARD. En 2025, les cyberattaques coûtent en moyenne 4,5 millions d’euros par incident aux entreprises françaises selon les données sectorielles, ce qui positionne l’assurance cyber comme un vecteur de croissance incontournable pour tout courtier ou mandataire actif sur le segment entreprises. Valider ses 15 heures DDA avec une spécialisation cyber, c’est simultanément remplir une obligation réglementaire et développer un avantage concurrentiel mesurable. Cet article présente le programme, les exigences de conformité ACPR et les conditions d’obtention de l’attestation reconnue.

Pourquoi choisir la spécialisation cyber-risques pour valider vos 15 heures DDA obligatoires ?

L’obligation de formation continue DDA est inscrite à l’article L512-1 du Code des assurances, qui impose à tout intermédiaire immatriculé à l’ORIAS — courtier IAS 1, agent général IAS 2 ou mandataire IAS 3 — de justifier chaque année civile de 15 heures de formation en lien direct avec son activité de distribution. Cette obligation ne souffre aucune exception : un mandataire IAS 2 qui ne peut produire son attestation expose son mandant à une mise en cause directe auprès de l’ACPR. La spécialisation en assurance cyber-risques s’inscrit dans la catégorie des formations portant sur les produits d’assurance distribués, l’une des trois thématiques éligibles définies par la réglementation avec la connaissance du marché et la réglementation applicable.

Le marché de la cyber-assurance pour les entreprises connaît une croissance annuelle supérieure à 25 % en France. TPE, PME, ETI : la quasi-totalité des entreprises présentent une exposition aux risques numériques qui nécessite une analyse approfondie. Un courtier formé sur les garanties cyber, les exclusions contractuelles et les mécanismes d’indemnisation peut construire des préconisations documentées conformes à son devoir de conseil DDA. À l’inverse, un professionnel qui distribue des contrats cyber sans formation adéquate s’expose à un risque de mise en cause pour manquement au conseil, avec des conséquences civiles et disciplinaires. La formation DDA cyber-risques est donc à la fois une protection professionnelle et un levier de développement commercial.

Notons que les intermédiaires exerçant en multi-activité doivent ventiler leurs 15 heures selon les branches effectivement distribuées. Pour aller plus loin sur ce point technique, l’article consacré aux heures DDA par branche assurance IARD, vie et santé pour l’intermédiaire en multi-activité détaille les règles d’imputation applicables en 2025.

Programme détaillé de la formation DDA 15 heures cyber-risques entreprises 2025

Module 1 — Cartographie des cyber-risques en entreprise (3 heures)

Ce premier module pose les fondations techniques et assurantielles indispensables à tout intermédiaire abordant le segment cyber. Les apprenants étudient la taxonomie des cyber-risques : ransomwares, violations de données personnelles (RGPD), fraudes au virement, attaques DDoS, espionnage industriel et compromission de systèmes de contrôle industriel (OT/IT). Une attention particulière est portée à la chaîne de sous-traitance numérique, source de risques systémiques souvent sous-estimée par les dirigeants de PME. Le module intègre des cas pratiques tirés de sinistres réels survenus en France entre 2022 et 2024 : cyberattaque contre un hôpital, rançongiciel paralysant une PME industrielle, fuite de données chez un prestataire comptable. Cette approche par le cas concret permet au courtier de mieux qualifier le risque lors de son entretien préalable avec le prospect.

Module 2 — Garanties, exclusions et structures contractuelles des contrats cyber (4 heures)

La lecture fine d’un contrat cyber est l’une des compétences les plus différenciantes pour un courtier spécialisé. Ce module analyse en détail les garanties première partie (frais de notification, coûts de remédiation informatique, pertes d’exploitation cyber, frais de gestion de crise) et les garanties responsabilité civile (RC vis-à-vis des tiers victimes d’une propagation, atteinte aux données personnelles). Les exclusions contractuelles font l’objet d’une étude approfondie : exclusion guerre et actes de cyberguerre (clause Lloyd’s LMA5567), exclusion infrastructure critique, exclusion pour défaut de mesures de sécurité préalables. Les apprenants apprennent à comparer les conditions générales de plusieurs assureurs, à identifier les lacunes de couverture et à rédiger une note de conseil documentée. Ce savoir-faire est directement requis par l’obligation de recommandation motivée prévue à l’article L521-4 du Code des assurances.

Module 3 — Analyse des besoins et questionnaire de souscription cyber (3 heures)

La souscription d’un contrat cyber repose sur un questionnaire technique dont la qualité conditionne la validité de la couverture. Ce module forme les intermédiaires à conduire un entretien de recueil des besoins cyber structuré : recensement des actifs numériques critiques, évaluation des mesures de sécurité existantes (MFA, sauvegardes hors ligne, plan de reprise d’activité), identification des données sensibles traitées, cartographie des sous-traitants IT. Les apprenants apprennent à éviter les déclarations inexactes ou incomplètes qui pourraient fonder une nullité du contrat pour fausse déclaration (article L113-8 du Code des assurances). Un exercice pratique de remplissage de questionnaire sur un cas d’entreprise fictive permet de consolider les acquis.

Module 4 — Gestion de sinistre cyber et rôle de l’intermédiaire (3 heures)

Lors d’un sinistre cyber, le courtier joue un rôle d’accompagnement crucial dans les premières heures. Ce module présente la chronologie d’un sinistre cyber : déclaration à l’assureur dans les délais contractuels, activation de la cellule de crise assureur, coordination avec les prestataires de remédiation agréés (forensics, communication de crise), notification à la CNIL dans les 72 heures pour les violations de données personnelles. Les apprenants étudient les mécanismes d’indemnisation, les franchises applicables et les plafonds de garantie. La responsabilité de l’intermédiaire en cas de conseil insuffisant avant sinistre est également abordée, notamment au regard des exigences de l’ACPR en matière de traçabilité du conseil.

Module 5 — Conformité DDA, déontologie et obligations réglementaires spécifiques cyber (2 heures)

Ce module de clôture repositionne l’ensemble des acquis dans le cadre réglementaire DDA. Il traite de la fiche d’information et de conseil (FIC), du document d’information sur le produit d’assurance (IPID) adapté aux contrats cyber, et des exigences de gouvernance produit (POG) imposées par la DDA aux concepteurs et distributeurs. Les intermédiaires distribuant des contrats cyber dans le cadre d’une assurance embarquée (proposée conjointement à un service numérique ou à un équipement informatique) doivent prêter une attention particulière aux règles spécifiques analysées dans notre article sur l’assurance embarquée et les obligations DDA pour l’intermédiaire distributeur.

Conformité ACPR et conditions de validité de la formation DDA cyber en ligne

Pour être reconnue par l’ACPR (Autorité de Contrôle Prudentiel et de Résolution), une formation DDA en ligne doit répondre à plusieurs critères cumulatifs définis par l’ACPR dans sa doctrine relative à la formation professionnelle des intermédiaires. Le contenu doit être en lien avec l’activité de distribution exercée, la durée effective doit être de 15 heures minimum par année civile, et l’organisme de formation doit disposer d’une déclaration d’activité auprès de la DREETS (anciennement DIRECCTE). La formation doit donner lieu à une attestation nominative mentionnant l’identité du stagiaire, la durée, le contenu et les dates de la formation.

Les formations 100 % en ligne sont pleinement éligibles depuis l’ordonnance n°2018-361 du 16 mai 2018 transposant la Directive DDA. L’intermédiaire doit cependant s’assurer que le format retenu garantit une présence effective : les plateformes sérieuses intègrent des mécanismes de tracking de connexion, des quiz de validation des acquis et un suivi individualisé. En cas de contrôle ACPR, l’intermédiaire doit pouvoir produire son attestation sans délai. L’immatriculation à l’ORIAS est également conditionnée chaque année au respect de ces obligations de formation continue : une défaillance peut entraîner un refus de renouvellement d’immatriculation.

Il est important de distinguer les niveaux de capacité professionnelle pour comprendre qui est concerné par cette obligation :

CatégorieDéfinitionObligation DDA 15h/anResponsabilité formation
IAS 1 — CourtierIntermédiaire indépendant, mandataire de l’assuréOui — obligation personnellePropre responsabilité
IAS 2 — Agent général / Mandataire d’assureurMandataire d’une ou plusieurs compagnies d’assuranceOui — obligation personnelleMandant responsable solidairement
IAS 3 — Mandataire d’intermédiaireSous-mandat d’un courtier ou agent généralOui — obligation personnelleMandant (courtier/agent) responsable

Les courtiers employant des mandataires IAS 2 salariés doivent tout particulièrement veiller à la traçabilité des formations de leurs collaborateurs. Les obligations détaillées en matière de supervision et de formation des mandataires IAS 2 salariés par le courtier mandant sont précisées dans notre analyse dédiée.

Attestation de formation DDA cyber-risques : que doit-elle contenir ?

L’attestation délivrée à l’issue de la formation DDA 15 heures cyber-risques constitue la pièce justificative centrale en cas de contrôle de l’ACPR ou de demande de renouvellement ORIAS. Elle doit obligatoirement comporter : les nom, prénom et numéro ORIAS du bénéficiaire, la dénomination et le numéro de déclaration d’activité de l’organisme de formation, l’intitulé précis de la formation, la durée en heures, les dates de réalisation et la signature du représentant légal de l’organisme. Certains intermédiaires commettent l’erreur de confondre une simple participation à un webinaire avec une formation DDA certifiante : un webinaire d’une heure organisé par un assureur partenaire ne saurait valider les 15 heures annuelles réglementaires.

La formation doit également correspondre à l’activité réellement exercée. Un courtier spécialisé en cyber-risques pour les entreprises qui valide ses 15 heures sur ce sujet est dans une configuration idéale : cohérence entre la formation, les produits distribués et les besoins de la clientèle. Cette cohérence est précisément ce que l’ACPR vérifie lors de ses contrôles sur place ou sur pièces. Pour compléter votre programme annuel, une formation complémentaire en RC professionnelle pour les TPE et PME artisans peut utilement compléter votre expertise sur le segment entreprises.

Questions fréquentes

La formation DDA cyber-risques en ligne est-elle reconnue par l’ACPR en 2025 ?

Oui, une formation DDA en ligne est pleinement reconnue par l’ACPR dès lors qu’elle est dispensée par un organisme déclaré auprès de la DREETS, que la durée effective est de 15 heures, que le contenu porte sur l’activité de distribution exercée et qu’une attestation nominative conforme est délivrée à l’issue. academieconformite.fr propose des formations répondant à l’ensemble de ces critères, avec un suivi de connexion individualisé et une attestation téléchargeable immédiatement après validation du parcours.

Puis-je valider mes 15 heures DDA uniquement avec la spécialisation cyber-risques ?

Oui, sous réserve que l’assurance cyber-risques fasse partie des produits que vous distribuez effectivement. La réglementation DDA n’impose pas de répartir les 15 heures entre plusieurs thématiques : un courtier spécialisé en assurance cyber pour les entreprises peut valider l’intégralité de son obligation annuelle sur cette seule thématique. Il est néanmoins recommandé d’inclure chaque année au moins un module portant sur les évolutions réglementaires et déontologiques, qui sont l’une des trois catégories thématiques définies par la Directive DDA.

Quel est le délai pour obtenir l’attestation après la formation en ligne ?

Sur academieconformite.fr, l’attestation de formation DDA est générée automatiquement dès la validation de l’ensemble des modules et des quiz de contrôle des connaissances. Elle est disponible en téléchargement immédiat au format PDF, avec l’ensemble des mentions réglementaires requises. Il est conseillé de conserver cette attestation pendant au moins cinq ans, durée de prescription applicable aux contrôles ACPR en matière de formation continue.

Quelles sanctions encourt un intermédiaire sans formation DDA à jour sur les cyber-risques ?

L’absence d’attestation de formation DDA valide expose l’intermédiaire à des sanctions disciplinaires prononcées par la Commission des sanctions de l’ACPR : avertissement, blâme, interdiction temporaire d’exercice ou retrait d’agrément dans les cas les plus graves. Sur le plan civil, la responsabilité du courtier peut être engagée si un client prouve que l’absence de formation a contribué à un défaut de conseil. Les mandants (assureurs ou courtiers mandants) peuvent également être tenus responsables solidairement pour les mandataires qu’ils n’ont pas formés.

Validez vos 15 heures DDA 2025 en assurance cyber-risques entreprises avec une formation 100 % en ligne, certifiante et reconnue ACPR. Obtenez votre attestation nominative dès la fin de votre parcours sur academieconformite.fr et distribuez les contrats cyber en toute conformité réglementaire. Accéder à la formation DDA cyber-risques entreprises 2025

Articles qui pourraient vous intéresser