DORA

1. Objectifs de la réglementation : renforcer la résilience opérationnelle des entités financières

DORA vise à renforcer la résilience du secteur financier européen face à l’augmentation des cybermenaces et incidents technologiques. Contrairement aux réglementations précédentes, elle ne se limite pas à la cybersécurité, mais adopte une approche globale en intégrant la gestion des risques liés aux technologies de l’information et de la communication (TIC) ainsi que la continuité des services financiers en cas d’incident.

DORA instaure ainsi un cadre unique applicable à toutes les entités financières et à leurs prestataires, garantissant une régulation harmonisée, cohérente et renforcée au sein de l’UE.

En plus de cette harmonisation, la directive vise à améliorer la capacité des entreprises à prévenir et gérer les incidents technologiques. La stabilité du secteur financier repose de plus en plus sur des infrastructures numériques fiables, et les perturbations informatiques peuvent avoir des conséquences économiques et opérationnelles majeures. En imposant des exigences strictes, DORA cherche à limiter l’impact de ces incidents et à assurer la continuité des services financiers en toute circonstance.

Cette réglementation marque une évolution stratégique en intégrant la résilience numérique comme un pilier essentiel de la stabilité financière en Europe. Elle oblige les entreprises du secteur à adopter une approche proactive face aux risques, garantissant ainsi une meilleure protection des acteurs économiques et des consommateurs.

2. Date d’entrée en application de DORA ? Jusqu’à quelle date peut-on se mettre en conformité ?

Le Règlement DORA est entré en application le 17 janvier 2025, soit 24 mois après sa publication au Journal Officiel de l’UE. Les entreprises doivent être conformes dès son entrée en application.  

Pour consulter le texte officiel de la réglementation, vous pouvez accéder à ce lien vers le Journal Officiel de l'UE.

À noter : bien que le règlement soit directement applicable, sa transposition dans le droit français (notamment via l’ACPR et l’AMF) est encore en cours de finalisation, ce qui peut impliquer certains ajustements opérationnels.

3. Secteurs concernés  

Le règlement DORA s’applique à l’ensemble des acteurs du secteur financier ainsi qu’à leurs prestataires de services TIC. L’objectif est d’assurer une résilience numérique homogène au sein de l’écosystème financier européen, en couvrant aussi bien les institutions traditionnelles que les nouveaux acteurs technologiques.

Les principales entités concernées par DORA sont :

• Les institutions financières traditionnelles
  → Banques, compagnies d’assurance, entreprises d’investissement et infrastructures de marché financier. Ces acteurs sont en première ligne face aux cybermenaces et doivent garantir la continuité de leurs services.

• Les fintechs et néo-banques
  → Ces entreprises innovantes, qui dépendent fortement des technologies numériques, doivent également se conformer à DORA pour sécuriser leurs opérations et protéger les données de leurs clients.

• Les prestataires de services TIC critiques
  fournisseurs de cloud, services de paiement et hébergeurs de données devront mettre en place des mesures robustes pour assurer à leur client la résilience et la robustesse de leurs services (tests d’intrusion, tests de restauration,...)

Toutefois, un enjeu clé réside dans l’identification de ces prestataires : chaque institution doit définir elle-même lesquels sont critiques en fonction de leur impact sur la continuité d’activité, impliquant des obligations accrues et une gestion rigoureuse des risques numériques.

‍

4. Les 5 piliers de DORA :

Ces piliers visent à assurer une résilience homogène et proactive face aux cybermenaces, garantissant la stabilité du secteur financier européen.

5. Quels contrôles et quels risques en cas de non-conformité à DORA ?

En cas de non-respect des exigences de DORA, les autorités de contrôle, telles que l’ACPR et l’AMF, peuvent imposer des sanctions financières importantes. Ces amendes peuvent atteindre jusqu’à 10 millions d’euros ou représenter 5 % du chiffre d’affaires annuel de l’entreprise. Par ailleurs, les entreprises non conformes s’exposent à des contrôles renforcés et à des audits réguliers. Dans les cas les plus graves, une suspension temporaire de l’activité peut également être décidée.

Outre les sanctions, le non-respect des obligations de résilience numérique accroît la vulnérabilité des entreprises face aux cybermenaces, ce qui peut entraîner des attaques et des interruptions de service, avec un impact négatif sur leur réputation.

Il est important de noter que la législation reste en cours de validation par le Parlement français, ce qui laisse la possibilité à des ajustements avant sa mise en œuvre définitive.

6. Comment DORA impacte-t-elle les entreprises du secteur financier ?

L’entrée en vigueur de DORA impose aux entreprises du secteur financier à renforcer la gouvernance de leurs risques liés aux technologies de l’information et de la communication (TIC). Elles doivent désormais intégrer la cybersécurité au cœur de leurs processus métiers, réaliser des tests de résilience réguliers, et améliorer la surveillance de leurs prestataires tiers. L’objectif est d’éprouver leur capacité à faire face à des incidents majeurs et d’assurer la sécurité de leur écosystème externe. Ces adaptations visent à accroître la résilience face aux cybermenaces et à garantir la continuité des services financiers.

Principales actions à mettre en œuvre :

• Évaluer le niveau de maturité en résilience numérique et définir une feuille de route adaptée.

• Former les équipes dirigeantes et opérationnelles aux enjeux de la résilience numérique.

• Formaliser les politiques et procédures relatives à la gestion des risques TIC.

• Mettre en place des campagnes de tests réguliers et des audits de type TLPT (Threat-Led Penetration Testing).

L’aspect le plus impactant et le plus complexe à mettre en œuvre concerne la gestion des fournisseurs de TIC. DORA impose une approche rigoureuse du Third Party Risk Management (TPRM) :

À mettre en place :

• Identification des fournisseurs critiques pour la continuité d’activité.

• Évaluation systématique des risques liés aux fournisseurs, à chaque nouvelle contractualisation.

• Intégration de clauses contractuelles spécifiques pour la cybersécurité et la conformité.

• Surveillance continue de la performance et de la conformité des prestataires.

Comment procéder :

• Tenue d’un registre des prestataires, à transmettre à l’autorité de contrôle conformément aux exigences DORA.

• Déploiement d’outils de TPRM pour évaluer le cyber-score, suivre la conformité et analyser les plans d’action de sécurité des fournisseurs.

• Réorganisation de la gestion des contrats et prestataires : sortir du travail en silo, renforcer la collaboration entre les métiers, la DSI, les achats et le juridique.

• Lutte active contre le shadow IT.

Impacts organisationnels

La mise en conformité avec DORA marque la fin du travail en silo : la coopération devient essentielle, notamment avec les services achats qui deviennent des acteurs clés de la résilience. Ce règlement ne concerne plus seulement la DSI, le RSSI ou la conformité, mais mobilise l’ensemble de l’organisation.

DORA transforme en profondeur la gestion des risques IT en unifiant la cybersécurité, la continuité d’activité et les processus achats autour de référentiels communs (notamment la notion de criticité). Il impose également une surveillance renforcée des tiers pour limiter les risques liés à la chaîne d’approvisionnement et encourage la réalisation d’exercices de résilience impliquant plusieurs parties prenantes. Enfin, DORA met l’accent sur le partage de l’information pour améliorer la réactivité face aux incidents.

Ainsi, DORA initie une gouvernance numérique plus proactive et résiliente, garantissant une meilleure préparation aux risques et une continuité accrue des activités dans le secteur financier.

7. Comment DORA impacte les prestataires de TIC

L’entrée en vigueur de DORA transforme les attentes et les obligations des prestataires de TIC travaillant avec le secteur financier. Ces derniers deviennent des maillons essentiels de la chaîne de résilience, et voient leur rôle considérablement renforcé dans la gestion des risques numériques.

Nouvelles obligations pour les prestataires de TIC, ils devront :

• Participer activement aux tests de résilience et de restauration organisés avec leurs clients du secteur financier, afin de démontrer leur capacité à répondre à des incidents majeurs.

• Collaborer à la gestion de crise et à la continuité d’activité lors des simulations et exercices imposés par DORA.

Comment s’adapter à DORA ?

Pour répondre aux exigences de DORA, les prestataires de TIC doivent ajuster leur organisation et leurs pratiques. Voici les principaux axes à prendre en compte :

• Déterminer si l’entreprise est considérée comme fournisseur critique par ses clients financiers et, le cas échéant, adapter la gestion contractuelle en signant des avenants spécifiques DORA validés par le service juridique.

• Intégrer les exigences DORA dans les référentiels internes déjà en place (par exemple ISO 27001, NIS2) ou créer un référentiel unifié pour centraliser toutes les obligations réglementaires pertinentes.

• Désigner un interlocuteur dédié pour piloter la conformité DORA et organiser la coordination entre les différents métiers, projets et la direction, afin d’assurer le suivi des actions (analyse de risques, gestion des sous-traitants, organisation des tests de résilience, etc.).

• Faire appel à des cabinets d’avocats ou de conseil en cybersécurité pour sécuriser la démarche de mise en conformité et garantir le respect des exigences réglementaires.

Impacts organisationnels :

L’application de DORA entraîne des changements profonds dans l’organisation et les pratiques des prestataires de TIC. Les principaux impacts sont :

• La relation client-fournisseur évolue, les fournisseurs devenant de véritables partenaires impliqués dans la stratégie de gestion des risques et la résilience des systèmes financiers de leurs clients.

• La gouvernance et les processus sont renforcés, avec la nécessité de professionnaliser la gestion de la conformité, d’impliquer de nouveaux acteurs internes (juridique, direction, métiers) et de structurer le suivi des obligations DORA.

• Les équipes doivent monter en compétence, en se formant aux exigences de DORA, aux bonnes pratiques de cybersécurité et à la gestion de crise.

8. DORA : au-delà des contraintes, des bénéfices

Si DORA impose des exigences strictes, elle constitue également un véritable levier de progression pour les entreprises du secteur financier.

Cette réglementation ne doit pas être vue uniquement comme une contrainte réglementaire, mais comme une opportunité stratégique. Elle permet de renforcer la gestion des risques et des incidents, d’améliorer la compétitivité, de renforcer la confiance des clients et d’anticiper plus efficacement les menaces actuelles et émergentes.

En structurant mieux les processus de cybersécurité, en professionnalisant la gestion des fournisseurs critiques et en encourageant une culture de la résilience, DORA devient un catalyseur d’innovation et de maturité organisationnelle.

‍