Règlement DORA : obligations, secteurs concernés et mise en conformité
DORA encadre la résilience opérationnelle numérique du secteur financier européen. L’objectif : s’assurer que les entités financières peuvent résister, réagir et se remettre d’incidents liés aux technologies de l’information (TIC) sans interrompre durablement leurs services essentiels.
- Mon établissement est-il effectivement dans le périmètre du règlement DORA ?
- Comment structurer un programme DORA sans dupliquer ce qui existe déjà en sécurité, PCA et gestion de crise ?
En bref
Un règlement de résilience numérique pour la finance
DORA (Digital Operational Resilience Act) est un règlement européen qui définit un cadre commun pour la résilience opérationnelle numérique des entités financières : capacité à résister, répondre et se remettre d’incidents TIC majeurs.
Un périmètre large : entités financières et prestataires TIC
Le règlement couvre une grande variété d’acteurs : banques, assurances, entreprises d’investissement, PSAN, sociétés de gestion, infrastructures de marché… ainsi que certains prestataires tiers de services TIC critiques pour ces entités.
Un levier pour structurer votre résilience opérationnelle
Au-delà de la conformité, DORA est l’occasion de consolider vos pratiques de gestion des risques TIC, de continuité d’activité, de gestion de crise et de pilotage de la chaîne fournisseur, dans une logique de résilience opérationnelle globale.
1. DORA, de quoi parle-t-on ?
Le règlement (UE) 2022/2554, dit DORA (Digital Operational Resilience Act), établit un cadre européen pour la résilience opérationnelle numérique du secteur financier. Il vise à s’assurer que les entités financières sont capables de résister, de répondre et de se remettre d’incidents liés aux technologies de l’information (TIC), qu’il s’agisse de cyberattaques, de pannes majeures ou d’incidents chez des prestataires clés.
DORA harmonise et renforce des exigences jusqu’ici dispersées dans plusieurs textes sectoriels. Il ne traite pas seulement de cybersécurité : il couvre l’ensemble du cycle de vie des risques TIC, de la gouvernance à la gestion de crise, en passant par la relation avec les prestataires externes.
2. Êtes-vous concerné par le règlement DORA ?
2.1. Entités financières visées
DORA s’applique à un grand nombre d’entités du secteur financier : établissements de crédit, entreprises d’assurance et de réassurance, entreprises d’investissement, établissements de paiement et de monnaie électronique, sociétés de gestion, dépositaires, infrastructures de marché, prestataires de services sur crypto-actifs (PSAN/crypto-asset service providers), etc.
L’idée est de couvrir les acteurs dont les services sont jugés critiques pour le bon fonctionnement du système financier et la confiance des clients, de détail comme institutionnels.
2.2. Prestataires tiers de services TIC
DORA vise aussi les prestataires tiers de services TIC lorsque leurs services sont critiques ou importants pour les entités financières (cloud, infogérance, services de sécurité managés, prestataires de données, etc.). Ces prestataires font l’objet d’un cadre de surveillance spécifique, coordonné au niveau européen.
Pour une entité financière, cela implique de recenser précisément ses prestataires TIC critiques, de comprendre leur rôle dans la fourniture de services essentiels et d’intégrer cette dimension dans la gestion des risques.
2.3. Articulation avec vos autres chantiers de conformité
DORA ne remplace pas vos autres cadres (gestion des risques, sécurité informatique, PCA, RGPD, NIS2, etc.). Il les recombine autour d’un objectif central : la continuité et la résilience opérationnelle numérique des services financiers. L’enjeu est donc moins de « refaire » que de mettre en cohérence l’existant avec les exigences DORA.
3. Les grands principes du règlement DORA
Les régulateurs mettent en avant quelques axes structurants qui se retrouvent dans l’ensemble du texte :
- Un cadre de gestion des risques TIC unifié : les risques liés aux technologies de l’information doivent être gérés dans un cadre structuré, intégré dans la gouvernance globale des risques.
- La notification des incidents majeurs liés aux TIC : obligation de détecter, classifier et notifier les incidents significatifs aux autorités compétentes, selon des critères harmonisés.
- Des tests de résilience opérationnelle numérique : campagnes de tests (incluant, pour certains acteurs, des tests avancés fondés sur la menace) pour éprouver la robustesse des dispositifs.
- Une gestion renforcée des prestataires tiers de services TIC : exigences sur le choix des prestataires, le contenu des contrats, la tenue d’un registre et la supervision des services critiques.
- Une coopération accrue entre autorités et acteurs financiers : partage d’informations, supervision coordonnée et cadre commun en Europe.
4. Vos obligations DORA clés, concrètement
Le règlement se traduit par un ensemble d’obligations pour les entités financières, qui couvrent la gouvernance, la gestion des risques TIC, la préparation aux incidents et la relation avec les prestataires. Voici les principaux blocs à prendre en compte.
4.1. Gouvernance et pilotage des risques TIC
La direction doit être clairement responsable de la résilience opérationnelle numérique : définition de l’appétit au risque TIC, validation des politiques, revue régulière de la situation et des rapports. La gestion des risques TIC est intégrée à la gouvernance globale des risques et suit une logique d’amélioration continue.
4.2. Cadre de gestion des risques TIC
Les entités doivent mettre en place un cadre de gestion des risques lié aux TIC couvrant l’identification, l’évaluation, la prévention, la détection et le traitement des risques : sécurité des systèmes, journalisation, contrôle d’accès, sauvegardes, protection des données, formation et sensibilisation des équipes, etc.
4.3. Incidents majeurs et tests de résilience
DORA impose de détecter et classifier les incidents majeurs liés aux TIC, puis de les notifier aux autorités compétentes selon des délais et formats harmonisés. Les entités doivent également planifier des tests de résilience opérationnelle numérique, en proportion de leur taille et de leur profil de risque, pour vérifier l’efficacité de leurs dispositifs.
4.4. Prestataires TIC critiques et contrats
Les relations avec les prestataires TIC critiques (cloud, infogérance, sécurité, données…) doivent être encadrées dans un dispositif formalisé : registre des contrats, évaluation des risques, clauses contractuelles obligatoires (localisation, réversibilité, sous-traitance, droits d’audit, gestion des incidents), suivi et revue régulière de la performance et des risques.
5. Quels risques en cas de non-conformité DORA ?
DORA prévoit un cadre de supervision et de sanctions confié aux autorités nationales compétentes. En cas de manquements, celles-ci peuvent prendre des mesures correctives (injonctions, limitations d’activité, exigences supplémentaires) et prononcer des sanctions administratives, qui restent définies au niveau de chaque État membre.
Au-delà de l’aspect réglementaire, les risques principaux sont :
- Risque opérationnel : indisponibilité prolongée de services, pertes financières, perturbation de la chaîne de valeur, activation de plans de continuité dans l’urgence.
- Risque réputationnel : perte de confiance des clients, des partenaires et des marchés en cas d’incident majeur mal géré ou mal communiqué.
- Risque de coordination réglementaire : incident qui met en jeu plusieurs cadres (DORA, NIS2, RGPD, Solvabilité 2, etc.) et nécessite une réponse alignée vis-à-vis de plusieurs autorités.
6. Par où commencer votre mise en conformité DORA ?
6.1. Clarifier votre périmètre et vos services essentiels
La première étape consiste à confirmer si vous êtes dans le champ DORA et pour quelles entités juridiques. Il faut ensuite cartographier les services critiques, les systèmes d’information qui les soutiennent et les prestataires TIC associés. Cette cartographie sert de base à l’analyse de risques et à la priorisation des actions.
6.2. Positionner vos pratiques actuelles face aux exigences DORA
La plupart des organisations ont déjà des éléments de gestion des risques TIC, de sécurité, de PCA/PRA, de gestion de crise. L’enjeu est de comparer ces dispositifs au référentiel DORA : gouvernance, gestion des risques, incidents, tests, prestataires TIC. Cette comparaison permet d’identifier des écarts concrets : processus à formaliser, preuves à consolider, contrats à mettre à jour, exercices à planifier, etc.
6.3. Construire une trajectoire réaliste plutôt qu’un « big bang »
DORA ne se traite pas en quelques semaines. Il est plus efficace de planifier une trajectoire sur 12 à 24 mois, en distinguant :
- les quick wins (clarification de la gouvernance, premières mises à jour contractuelles, revues ciblées) ;
- les chantiers structurants (cadre de gestion des risques TIC, intégration avec les dispositifs de PCA et de gestion de crise) ;
- les investissements à étaler (évolutions d’architecture, montée en puissance des capacités de tests et de supervision, etc.).
Notre approche Niutime de DORA
- Point d’entrée par vos services essentiels et vos processus métiers, pas par une simple grille de conformité.
- Une trajectoire unique : diagnostic DORA → priorisation des risques TIC → plan d’actions sur 12–24 mois, articulé avec vos dispositifs PCA et gestion de crise.
- Une vision intégrée des différentes réglementations (DORA, NIS2, RGPD, LCB-FT, ISO 27001…) pour éviter les redondances et bâtir un socle de résilience cohérent.
À retenir pour votre COMEX (DORA)
- DORA est un texte de résilience opérationnelle avant d’être un texte purement « cyber ».
- Il impose de rendre vos dispositifs TIC visibles, pilotables et testables, notamment pour les services essentiels et les prestataires critiques.
- La priorité n’est pas de repartir de zéro, mais de structurer et documenter ce que vous faites déjà, puis de combler les écarts les plus risqués.
Aller plus loin :
Ressources officielles
Pour vérifier certains points ou aller dans le détail réglementaire, vous pouvez consulter :
- Dossier “DORA” de l’AMF – synthèse des objectifs, des principales mesures (gestion des risques TIC, incidents, tests, prestataires) et du calendrier.
- Page “Digital Operational Resilience Act (DORA)” de l’ESMA – présentation du champ d’application et des entités concernées.
- Texte officiel du règlement (UE) 2022/2554 sur EUR-Lex – version consolidée du règlement DORA.
Structurer votre démarche DORA avec Niutime
- Directive NIS2
- ISO 27001
- Article : PCA : 9 étapes pour réussir
- Évaluez votre maturité DORA
Un questionnaire structuré pour situer votre organisation et obtenir une trajectoire priorisée. - Conformité réglementaire
Vue d’ensemble de vos principaux chantiers (RGPD, NIS2, DORA, ISO 27001, LCB-FT…).
Prêt à clarifiervotre position vis-à-vis de DORA ?
Vous devez vous mettre en conformité avec DORA ou vous n’êtes pas certain d’être dans le périmètre ?
Niutime peut vous aider à clarifier votre situation, à prioriser les risques TIC et à construire une feuille de route DORA réaliste, articulée avec vos dispositifs de continuité d’activité et de gestion de crise.