DORA : le règlement qui transforme la cybersécurité du secteur financier

Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il représente un tournant majeur pour la cybersécurité du secteur financier européen. Pour la première fois, un cadre réglementaire unifié impose des exigences précises en matière de résilience opérationnelle numérique à l’ensemble des entités financières de l’Union européenne.

Adopté le 14 décembre 2022 par le Parlement européen et le Conseil, DORA s’inscrit dans le paquet législatif sur la finance numérique de la Commission européenne. Son objectif est clair : garantir que le secteur financier puisse résister, répondre et se remettre de tous types de perturbations et menaces liées aux technologies de l’information et de la communication (TIC).

Qui est concerné par DORA ?

Le champ d’application de DORA est exceptionnellement large. Il couvre plus de 22 000 entités financières dans l’UE et s’applique à 21 catégories d’acteurs du secteur financier :

• Établissements de crédit (banques, néobanques)
• Entreprises d’investissement et sociétés de gestion
• Établissements de paiement et de monnaie électronique
• Compagnies d’assurance et de réassurance
• Intermédiaires d’assurance (courtiers, agents généraux)
• Fonds de pension
• Agences de notation
• Prestataires de services sur crypto-actifs
• Plateformes de financement participatif
• Prestataires tiers critiques de services TIC (cloud, infogérance, éditeurs)

Point crucial : DORA s’applique aussi aux prestataires tiers de services TIC qui travaillent pour ces entités. Un hébergeur cloud, un éditeur de logiciel bancaire ou un prestataire de cybersécurité peut être désigné comme « prestataire tiers critique » et soumis à une supervision directe par les autorités européennes.

Les 5 piliers de DORA

Le règlement s’articule autour de cinq piliers fondamentaux qui couvrent l’ensemble du spectre de la résilience opérationnelle numérique.

Pilier 1 : Gestion des risques liés aux TIC

Les entités financières doivent mettre en place un cadre complet de gestion des risques TIC. Cela inclut l’identification et la classification de tous les actifs informatiques, la mise en œuvre de mesures de protection (chiffrement, contrôle d’accès, segmentation réseau), la détection des menaces en temps réel, et des procédures de réponse et de récupération documentées et testées. L’organe de direction est directement responsable de la stratégie de résilience numérique et doit suivre une formation spécifique sur les risques TIC.

Pilier 2 : Gestion, classification et reporting des incidents TIC

DORA impose un processus harmonisé de gestion des incidents. Les entités doivent classifier les incidents selon des critères définis (nombre de clients affectés, durée, impact géographique, pertes financières, criticité des services touchés). Les incidents majeurs doivent être notifiés aux autorités compétentes dans des délais stricts : notification initiale dans les 4 heures suivant la classification comme incident majeur, rapport intermédiaire dans les 72 heures, et rapport final dans un délai d’un mois.

Pilier 3 : Tests de résilience opérationnelle numérique

Le règlement impose un programme de tests complet et régulier. Toutes les entités doivent réaliser au minimum annuellement des tests de base : analyses de vulnérabilités, tests de performance, tests de bout en bout, tests de pénétration. Les entités les plus significatives doivent en outre réaliser tous les trois ans des tests avancés de pénétration fondés sur la menace (TLPT – Threat-Led Penetration Testing), similaires aux exercices TIBER-EU. Ces tests doivent couvrir les fonctions critiques et impliquer les prestataires tiers.

Pilier 4 : Gestion des risques liés aux prestataires tiers de services TIC

C’est probablement le pilier le plus transformateur. DORA impose une gestion rigoureuse de la chaîne de sous-traitance informatique. Les entités doivent tenir un registre complet de tous leurs prestataires TIC, évaluer les risques de concentration (dépendance excessive à un seul prestataire), et inclure des clauses contractuelles obligatoires : droits d’audit, niveaux de service, plans de sortie, localisation des données, notification des incidents. Les prestataires tiers critiques (désignés par les AES) seront soumis à une supervision directe par un superviseur principal européen.

Pilier 5 : Partage d’informations

DORA encourage les entités financières à échanger entre elles des informations sur les cybermenaces, les indicateurs de compromission, les techniques d’attaque et les mesures de défense. Ce partage doit se faire dans un cadre sécurisé, dans le respect du RGPD et des règles de concurrence. L’objectif est de renforcer la résilience collective du secteur en permettant une détection plus rapide des menaces émergentes.

Calendrier DORA : les dates clés

• 14 décembre 2022 : adoption du règlement par le Parlement et le Conseil
• 16 janvier 2023 : entrée en vigueur (début de la période de transition de 2 ans)
• 17 janvier 2024 : publication des premières normes techniques (RTS/ITS) par les AES
• 17 juillet 2024 : publication de la deuxième vague de normes techniques
• 17 janvier 2025 : date d’application — DORA est pleinement applicable
• 2025-2026 : premières inspections et contrôles de conformité par les autorités nationales
• 2025-2026 : désignation des premiers prestataires tiers critiques et mise en place de la supervision

Nous sommes donc dans une phase où les autorités commencent à contrôler la conformité effective des entités. Les retardataires s’exposent à des sanctions.

DORA vs NIS 2 : quelles différences ?

DORA et NIS 2 sont deux réglementations européennes de cybersécurité adoptées la même année. Elles partagent des objectifs similaires mais s’appliquent différemment :

• Champ d’application : NIS 2 couvre 18 secteurs (énergie, santé, transport, numérique, etc.) tandis que DORA est spécifique au secteur financier. En cas de chevauchement, DORA prévaut en tant que lex specialis.
• Obligations de notification : NIS 2 impose une notification initiale sous 24 heures et un rapport complet sous 72 heures. DORA impose une notification sous 4 heures après classification et un rapport final sous 1 mois.
• Tests : NIS 2 impose des évaluations de risques régulières mais sans cadre aussi prescriptif que les TLPT de DORA.
• Prestataires tiers : DORA est beaucoup plus exigeant avec un registre obligatoire, des clauses contractuelles imposées et une supervision directe des prestataires critiques. NIS 2 aborde la supply chain mais de manière moins détaillée.
• Gouvernance : DORA impose une responsabilité explicite de l’organe de direction avec formation obligatoire. NIS 2 impose une responsabilité de la direction mais avec moins de prescriptions.

En pratique, une entité financière soumise à DORA est considérée conforme aux exigences de NIS 2 pour les aspects couverts par DORA.

Impact concret pour une PME du secteur financier

Prenons l’exemple d’un courtier en assurance de 50 salariés. Avant DORA, ce type de structure avait des obligations limitées en matière de cybersécurité. Avec DORA, voici ce qui change concrètement :

• Gouvernance : le dirigeant doit valider et superviser la stratégie de résilience numérique. Il ne peut plus déléguer entièrement au prestataire informatique.
• Inventaire : cartographier tous les systèmes, logiciels, prestataires, flux de données. Identifier les fonctions critiques (gestion des contrats, sinistres, paiements).
• Contrats prestataires : renégocier les contrats avec l’hébergeur, l’éditeur de logiciel de gestion, le prestataire infogérance pour inclure les clauses DORA (droits d’audit, SLA de récupération, notification d’incidents).
• Tests : réaliser au minimum un test de pénétration annuel et des analyses de vulnérabilités trimestrielles.
• Incidents : mettre en place une procédure de gestion et de notification des incidents TIC auprès de l’ACPR.

Pour une fintech ou un cabinet de gestion de patrimoine, les exigences sont similaires voire plus élevées en fonction de la taille et de la criticité des services proposés.

Comment se mettre en conformité DORA : 5 étapes

Étape 1 : Gap analysis

Réaliser un diagnostic complet de l’existant par rapport aux exigences DORA. Identifier les écarts, les prioriser selon leur criticité et estimer l’effort de remédiation. C’est le point de départ indispensable de toute démarche de conformité.

Étape 2 : Gouvernance et cadre de gestion des risques TIC

Formaliser les rôles et responsabilités, créer ou mettre à jour la politique de sécurité des systèmes d’information, le cadre de gestion des risques TIC, et le plan de continuité/reprise d’activité. Former l’organe de direction.

Étape 3 : Programme de tests

Planifier et réaliser les tests obligatoires : tests de pénétration, analyses de vulnérabilités, tests de continuité d’activité, tests de restauration des sauvegardes. Documenter les résultats et les plans de remédiation.

Étape 4 : Gestion des prestataires tiers

Constituer le registre des prestataires TIC, évaluer les risques de concentration, renégocier les contrats pour inclure les clauses DORA, et mettre en place un processus de suivi continu des prestataires.

Étape 5 : Reporting et amélioration continue

Implémenter le processus de classification et de notification des incidents, mettre en place des indicateurs de suivi, et planifier des revues régulières du dispositif de résilience numérique.

Les sanctions

DORA prévoit un régime de sanctions dissuasif. Les autorités nationales compétentes (en France, l’ACPR et l’AMF) disposent de pouvoirs étendus :

• Sanctions administratives : amendes pouvant atteindre 2 % du chiffre d’affaires annuel mondial pour les entités financières, ou 1 % du chiffre d’affaires quotidien moyen mondial par jour de non-conformité.
• Sanctions individuelles : les dirigeants peuvent être personnellement sanctionnés (amendes jusqu’à 1 million d’euros).
• Prestataires tiers critiques : les amendes peuvent atteindre 1 % du chiffre d’affaires annuel mondial par jour de non-conformité, avec un maximum de 6 mois.
• Mesures correctrices : injonctions de mise en conformité, interdiction temporaire d’exercer, publication des sanctions (name and shame).

Au-delà des sanctions financières, le risque réputationnel est considérable. Une entreprise financière publiquement sanctionnée pour non-conformité DORA perdra la confiance de ses clients et partenaires.

Conclusion

DORA n’est pas qu’une contrainte réglementaire supplémentaire. C’est une opportunité de structurer et de renforcer la résilience numérique de votre organisation. Les entreprises qui auront pris ce sujet au sérieux seront mieux préparées face aux cybermenaces et disposeront d’un avantage concurrentiel.

RM3A accompagne les entités financières dans leur mise en conformité DORA : gap analysis, rédaction documentaire, accompagnement à la mise en œuvre, tests de résilience, et gestion des prestataires tiers. Contactez-nous pour un diagnostic initial.

Pour aller plus loin

• Analyse de risque EBIOS RM — La méthode ANSSI pour structurer votre gestion des risques, en cohérence avec DORA.
• Directive NIS 2 : ce qui change en 2026 — Comprenez les synergies entre DORA et NIS 2 pour votre mise en conformité.
• Conformité RGPD pour les PME — Articulez vos obligations DORA avec la protection des données personnelles.
• Cybersécurité pour les PME — Découvrez nos offres de cybersécurité adaptées aux acteurs du secteur financier.