DORA : obligations, piliers et mise en conformité pour le secteur financier

Qu'est-ce que DORA ?

DORA (Digital Operational Resilience Act) est un règlement européen (UE 2022/2554) entré en application le 17 janvier 2025. Il vise à renforcer la résilience opérationnelle numérique du secteur financier européen — sa capacité à résister, répondre et se remettre des perturbations liées aux TIC.

DORA est un règlement (directement applicable dans tous les États membres) et non une directive. Il s'impose donc uniformément à toutes les entités concernées en Europe, sans transposition nationale.

Qui est concerné par DORA ?

Entités financières

• Établissements de crédit (banques)
• Établissements de paiement et monnaie électronique
• Sociétés de gestion et fonds d'investissement
• Entreprises d'assurance et de réassurance
• Entreprises d'investissement et PSI
• Contreparties centrales (CCP) et dépositaires centraux
• Fournisseurs de services sur crypto-actifs
• Agences de notation de crédit

Prestataires TIC tiers critiques (TPSP)

DORA étend son champ aux prestataires de services TIC qui servent les entités financières : fournisseurs cloud, éditeurs de logiciels core banking, hébergeurs, fournisseurs de cybersécurité. Les prestataires jugés "critiques" par les autorités européennes font l'objet d'une surveillance directe.

Les 5 piliers de DORA

1. Gestion des risques TIC

Cadre de gestion des risques TIC documenté, approuvé par l'organe de direction. Cartographie des actifs, classification, analyse des risques, contrôles adaptés. Stratégie de résilience numérique et plans de continuité TIC.

2. Gestion et notification des incidents TIC

Processus de détection, gestion et classification des incidents TIC. Notification obligatoire aux autorités pour les incidents "majeurs" : rapport initial sous 4 heures, rapport intermédiaire sous 72 heures, rapport final sous 1 mois.

3. Tests de résilience opérationnelle numérique

Programme de tests réguliers : tests de vulnérabilité, tests de pénétration. Pour les entités significatives : TLPT (Threat-Led Penetration Testing) au moins tous les 3 ans selon le cadre TIBER-EU.

4. Gestion du risque TIC des prestataires tiers

Politique de gestion du risque tiers, registre des contrats TIC, due diligence renforcée, clauses contractuelles obligatoires, plans de sortie pour les prestataires critiques.

5. Partage d'informations

DORA encourage le partage d'informations sur les cybermenaces entre entités financières, dans le cadre d'accords supervisés par les autorités compétentes.

Focus : la gestion des prestataires TIC tiers

C'est le pilier le plus structurant et le plus sous-estimé de DORA. Les entités financières doivent :

• Tenir un registre complet de tous leurs contrats avec des prestataires TIC.
• Réaliser une due diligence avant toute contractualisation.
• Inclure des clauses contractuelles obligatoires (droits d'audit, localisation des données, SLA de sécurité, plans de sortie).
• Surveiller en continu les prestataires critiques.
• Disposer de stratégies de sortie documentées pour réduire la dépendance.

Ce pilier implique souvent une révision en profondeur des contrats existants et un travail coordonné avec les services juridiques, achats et informatiques.

Plan de conformité DORA en 4 phases

1. Diagnostic et gap analysis (1 à 2 mois) — évaluation de l'existant au regard des 5 piliers, inventaire des contrats TIC, cartographie des prestataires critiques, scoring de maturité par pilier.
2. Construction du cadre (2 à 4 mois) — élaboration du cadre de gestion des risques TIC, politiques et procédures obligatoires, registre des contrats, modèles de clauses contractuelles.
3. Déploiement et mise en conformité (3 à 6 mois) — processus de détection et notification, programme de tests, révision des contrats avec les prestataires, formation des équipes.
4. Surveillance continue — revues périodiques, retours d'expérience des incidents, maintien du registre TIC, rapports annuels à l'organe de direction.