Le Digital Operational Resilience Act (DORA) est un règlement européen qui établit un cadre complet pour la résilience opérationnelle numérique dans le secteur financier. Adopté en novembre 2022 et applicable depuis janvier 2025, DORA harmonise les exigences de gestion des risques TIC pour tous les types d'entités financières dans l'UE. Contrairement a une directive, DORA est directement applicable dans tous les Etats membres sans transposition nationale. Il couvre la gestion des risques TIC, le signalement des incidents, les tests de résilience opérationnelle numérique, la gestion des risques TIC tiers et les accords de partage d'informations.

A qui s'applique DORA ?

DORA s'applique a pratiquement toutes les entités financières reglementees dans l'UE, notamment : les etablissements de credit (banques), les etablissements de paiement, les etablissements de monnaie electronique, les entreprises d'investissement, les prestataires de services sur crypto-actifs, les entreprises d'assurance et de reassurance, les fonds de pension, les agences de notation, les plates-formes de negociation, les depositaires centraux de titres et les contreparties centrales. De manière cruciale, DORA s'applique également aux fournisseurs de services TIC tiers designes comme critiques par les Autorites europeennes de surveillance (AES), y compris les fournisseurs de services cloud, les fournisseurs d'analyse de données et les éditeurs de logiciels au service du secteur financier.

Quelles sont les exigences de signalement des incidents de DORA ?

Les articles 17-19 de DORA exigent des entités financières qu'elles etablissent des processus de gestion des incidents et signalent les incidents majeurs liés aux TIC. Le calendrier de signalement comprend : une notification initiale dans les 4 heures suivant la classification de l'incident comme majeur (ou 24 heures apres la detection) ; un rapport intermédiaire dans les 72 heures fournissant des informations mises à jour ; et un rapport final dans le mois suivant le dernier rapport intermédiaire avec l'analyse des causes profondes et les mesures de remédiation. Les incidents sont classes comme majeurs en fonction de critères incluant : le nombre de clients affectés, la durée, l'etendue geographique, les pertes de données, la criticité des services affectés et l'impact economique.

Que requiert DORA pour les tests de résilience ?

L'article 24 de DORA exige de toutes les entités financières qu'elles etablissent et maintiennent un programme de tests de résilience opérationnelle numérique proportionne a leur taille et leur profil de risque. Les tests de basé comprennent les évaluations de vulnérabilités, les analyses open source, les évaluations de sécurité réseau, les analyses d'ecart, les revues de sécurité physique, les revues de code source, les tests basés sur des scénarios, les tests de compatibilite et les tests de performance. Pour les entités financières significatives, l'article 25 impose des tests avances par le biais de tests d'intrusion pilotes par les menaces (TLPT) au moins tous les trois ans, suivant le cadre TIBER-EU et menes par des testeurs externes qualifies.

Comment DORA gere-t-il le risque TIC tiers ?

Les articles 28-44 de DORA etablissent des exigences complètes de gestion des risques TIC tiers. Les entités financières doivent : maintenir un registre de tous les accords avec les tiers TIC ; mener des évaluations des risques pre-contractuelles ; inclure des dispositions contractuelles obligatoires (descriptions de services, localisation des données, mesures de sécurité, notification des incidents, droits d'audit, stratégies de sortie) ; assurer une surveillance continue de la performance et de la sécurité du fournisseur ; et disposer de stratégies de sortie pour les fonctions critiques. Pour les fournisseurs de services TIC tiers designes comme critiques par les AES, DORA établit un cadre de surveillance directe avec des pouvoirs de demande d'information, de conduite d'inspections et d'emission de recommandations.

Qu'est-ce que le cadre de surveillance DORA pour les fournisseurs TIC critiques ?

DORA cree un cadre de surveillance novateur pour les fournisseurs de services TIC tiers critiques (CTPP). Les Autorites europeennes de surveillance (AES) designent les CTPP en fonction de l'importance systemique, de la substituabilite et du degre de dependance des entités financières. Un Superviseur principal est nomme pour chaque CTPP avec des pouvoirs pour : demander des informations et de la documentation ; mener des enquetes generales et des inspections ; emettre des recommandations sur les mesures de sécurité et de qualite TIC ; et surveiller la conformité aux recommandations. Bien que le Superviseur principal ne puisse pas directement imposer d'amendes aux CTPP, la non-conformité peut aboutir a l'obligation pour les entités financières de mettre fin ou de modifier leurs accords avec le fournisseur.

Quel est le lien entre DORA et NIS2 ?

DORA est un règlement sectoriel (lex specialis) qui prevaut sur NIS2 pour les entités financières. Lorsque les exigences de DORA sont au moins aussi strictes que celles de NIS2, les entités financières se conforment a l'exigence NIS2 en satisfaisant l'equivalent DORA. Les exigences de signalement des incidents de DORA (notification initiale de 4 heures) sont plus strictes que celles de NIS2 (alerte precoce de 24 heures). Cependant, pour les domaines non couverts par DORA, NIS2 peut encore s'appliquer. Les fournisseurs de services TIC tiers qui ne sont pas designes comme critiques au titre de DORA mais qui entrent dans le périmètre de NIS2 doivent se conformer a NIS2 indépendamment.

Conformité DORA : ce que le règlement exige, qui est concerné et comment se préparer

Published 7 mars 2026

By Emre Salmanoglu

Conformité DORA : ce que le règlement exige, qui est concerné et comment se préparer

Q: Quels sont les cinq piliers de DORA ?

DORA est structure autour de cinq piliers : (1) Gestion des risques TIC (articles 5-16) — etablir des cadres complets de gestion des risques TIC, incluant l'identification, la protection, la detection, la réponse et la reprise ; (2) Gestion et signalement des incidents liés aux TIC (articles 17-23) — classifier et signaler les incidents majeurs liés aux TIC aux autorités competentes ; (3) Tests de résilience opérationnelle numérique (articles 24-27) — mener des tests de basé et avances incluant les tests d'intrusion pilotes par les menaces (TLPT) ; (4) Gestion des risques TIC tiers (articles 28-44) — gerer les risques liés aux fournisseurs de services TIC tiers par des exigences contractuelles et une surveillance ; et (5) Partage d'informations (article 45) — partage volontaire de renseignements sur les cybermenaces entre entités financières.

Guide pratique de la conformité DORA — ce que le Digital Operational Resilience Act exige, quelles entités financières et fournisseurs TIC sont concernes, obligations cles concernant la gestion des risques TIC, le signalement des incidents, les tests de résilience et la gestion des risques tiers.

DORA

Resilience operationnelle numérique

Services financiers

Reglementation UE

Gestion des risques TIC

Conformite

Conformité DORA : ce que le règlement exige, qui est concerné et comment se préparer

Le Digital Operational Resilience Act (DORA) est le règlement de l'UE pour la résilience opérationnelle numérique dans le secteur financier. Applicable depuis janvier 2025, il établit des exigences harmonisees pour la gestion des risques TIC, le signalement des incidents, les tests de résilience et la gestion des risques tiers pour tous les types d'entités financières.

Pour les entreprises SaaS B2B au service du secteur financier, DORA a des implications significatives. Si vous etes designe comme fournisseur TIC tiers critique, vous relevez d'une surveillance directe de l'UE. Même sans cette designation, les clients entités financières imposeront des exigences contractuelles alignées sur DORA a leurs fournisseurs TIC. Comprendre DORA est essentiel pour toute entreprise technologique faisant affaire avec des institutions financières europeennes.

Ce guide couvre ce que DORA exige, a qui il s'applique, les cinq piliers de la conformité et comment se préparer en tant que fournisseur de services TIC.

Périmètre et applicabilité de DORA

Entites financières dans le périmètre

DORA s'applique a pratiquement toutes les entités financières reglementees dans l'UE :

Catégorie	Entites
Banque	Etablissements de credit, etablissements de paiement, etablissements de monnaie electronique
Investissement	Entreprises d'investissement, plates-formes de negociation, contreparties centrales, depositaires centraux de titres
Assurance	Entreprises d'assurance, de reassurance, intermédiaires d'assurance
Retraite	Institutions de retraite professionnelle
Crypto	Prestataires de services sur crypto-actifs, emetteurs de jetons referencies sur actifs
Autres	Agences de notation, administrateurs d'indices de référence critiques, référentiels de titrisation, prestataires de services de financement participatif

Fournisseurs de services TIC tiers

DORA s'etend au-delà des entités financières pour couvrir les fournisseurs de services TIC tiers, notamment :

Les fournisseurs de services cloud (IaaS, PaaS, SaaS)
Les fournisseurs d'analyse de données
Les éditeurs de logiciels
Les prestataires de services de centres de données
Les fournisseurs d'infrastructure TIC

Les fournisseurs TIC tiers critiques (CTPP) designes par les Autorites europeennes de surveillance font l'objet d'une surveillance directe. Les critères de designation comprennent l'importance systemique pour le secteur financier, le degre de substituabilite et le nombre et l'importance des entités financières dependant du fournisseur.

Les cinq piliers de DORA

Pilier 1 : Gestion des risques TIC (articles 5-16)

Les entités financières doivent etablir des cadres complets de gestion des risques TIC :

Gouvernance

L'organe de direction porte la responsabilité ultime de la gestion des risques TIC
Definir, approuver et superviser le cadre de gestion des risques TIC
Allouer un budget et des ressources suffisants pour la sécurité TIC
Les membres de la direction doivent maintenir des connaissances en risques TIC par une formation reguliere

Cadre de gestion des risques TIC

Identifier toutes les fonctions et actifs metier supportes par les TIC
Classifier les actifs informationnels par criticité
Mener des évaluations des risques regulieres
Mettre en oeuvre des mesures de protection et de prevention
Établir des mécanismes de detection pour les activités anormales
Definir des procédures de réponse et de reprise
Maintenir une politique complète de gestion des risques TIC

Exigences cles :

Domaine	Exigence
Identification	Maintenir un inventaire actualise des actifs TIC, cartographier les dépendances, identifier les fonctions critiques
Protection	Mettre en oeuvre les politiques de sécurité, contrôles d'accès, chiffrement, sécurité réseau
Detection	Deployer des capacités de surveillance, d'alerte et de detection des anomalies
Réponse	Établir des procédures de réponse aux incidents, des stratégies de confinement, des plans de communication
Reprise	Definir les objectifs de reprise, les politiques de sauvegarde, les procédures de restauration
Apprentissage	Revues post-incident, évaluations des vulnérabilités, amelioration continue

Pilier 2 : Gestion et signalement des incidents liés aux TIC (articles 17-23)

Classification des incidents

Les entités financières doivent classifier les incidents liés aux TIC selon ces critères :

Critere	Description
Clients affectés	Nombre de clients ou de contreparties financières affectés
Duree	Duree de l'incident
Etendue geographique	Zones affectees, incluant l'impact transfrontalier
Pertes de données	Si des données ont été compromises, corrompues ou perdues
Criticite des services	A quel point les services affectés sont critiques
Impact economique	Couts et pertes directs et indirects

Calendrier de signalement

Etape	Delai	Contenu
Notification initiale	4 heures apres classification (24 heures apres detection)	Resume de l'incident, évaluation initiale de l'impact
Rapport intermédiaire	72 heures apres classification	Évaluation mise à jour, mesures de confinement, cause profonde (si connue)
Rapport final	1 mois apres le dernier rapport intermédiaire	Analyse des causes profondes, impact total, mesures de remédiation, lecons apprises

Signalement volontaire des menaces

Les entités financières peuvent volontairement signaler les cybermenaces significatives aux autorités competentes. Cela est encourage pour ameliorer la résilience et le partage de renseignements sur les menaces à l'échelle du secteur.

Pilier 3 : Tests de résilience opérationnelle numérique (articles 24-27)

Tests de basé (toutes les entités)

Toutes les entités financières doivent mener des tests proportionnes :

Évaluations et analyses de vulnérabilités
Analyses open source
Évaluations de sécurité réseau
Analyses d'ecart
Revues de sécurité physique
Questionnaires et solutions d'analyse logicielle
Revues de code source lorsque c'est faisable
Tests basés sur des scénarios
Tests de compatibilite
Tests de performance
Tests de bout en bout
Tests d'intrusion (au moins annuellement)

Tests avances — TLPT (entités significatives)

Les entités financières significatives doivent mener des tests d'intrusion pilotes par les menaces (TLPT) :

Exigence	Détail
Frequence	Au moins tous les 3 ans
Cadre	Doit suivre TIBER-EU ou un cadre national equivalent
Périmètre	Fonctions critiques ou importantes sur des systèmes de production en activité
Testeurs	Fournisseurs externes qualifies avec une expertise specifique
Renseignement sur les menaces	Base sur le paysage actuel des menaces specifique a l'entite
Reporting	Resultats rapportes a l'autorite competente avec plan de remédiation

Pilier 4 : Gestion des risques TIC tiers (articles 28-44)

Exigences pre-contractuelles

Mener une évaluation des risques avant de conclure des accords TIC
Evaluer les capacités de sécurité de l'information du fournisseur
Evaluer le risque de concentration (dependance envers un fournisseur unique)
Assurer une diligence raisonnable sur les fournisseurs supportant des fonctions critiques

Dispositions contractuelles obligatoires

Les contrats avec les fournisseurs de services TIC tiers doivent inclure :

Disposition	Description
Description de service	Description claire des fonctions, incluant les conditions de sous-traitance
Localisation des données	Lieux de traitement et de stockage des données, notification des changements
Mesures de sécurité	Niveaux de service, exigences de sécurité, contrôles d'accès
Objectifs de disponibilité	Disponibilite garantie, objectifs de delai et de point de reprise
Notification des incidents	Obligation de signaler les incidents liés aux TIC
Continuité d'activité	Plans pour assurer la continuité pendant les perturbations
Droits d'audit	Droits de mener des audits et inspections
Resiliation et sortie	Periodes de transition, restitution des données, exigences de suppression
Sous-traitance	Conditions de sous-traitance supplementaire a des sous-traitants

Surveillance continue

Surveiller la performance du fournisseur par rapport aux obligations contractuelles
Maintenir un registre de tous les accords avec les tiers TIC
Rapporter le registre aux autorités competentes annuellement
Evaluer et gerer le risque de concentration regulierement

Strategies de sortie

Développer des plans de sortie pour les accords TIC tiers critiques
S'assurer que les plans incluent des periodes de transition adéquates
Planifier la portabilite et la migration des données
Tester les procédures de sortie periodiquement

Pilier 5 : Partage d'informations (article 45)

Les entités financières peuvent participer a des accords volontaires de partage de renseignements sur les cybermenaces et d'informations concernant :

Les tactiques, techniques et procédures (TTP)
Les indicateurs de compromission (IoC)
Les alertes de sécurité et outils de configuration
Les renseignements sur les cybermenaces

La participation est volontaire mais encouragee. Les informations partagees doivent être traitees conformement aux exigences de confidentialité et au droit de la concurrence.

DORA pour les fournisseurs de services TIC

Impact direct

Si vous etes un fournisseur de services TIC tiers pour les entités financières :

Obligations contractuelles : Les clients entités financières exigeront des conditions contractuelles conformes a DORA couvrant les mesures de sécurité, la notification des incidents, les droits d'audit, la localisation des données et les stratégies de sortie.

Diligence raisonnable renforcee : Attendez-vous a des évaluations de sécurité plus approfondies lors des achats, incluant des revues de votre cadre de gestion des risques TIC, de vos capacités de réponse aux incidents et de vos plans de continuité d'activité.

Notification des incidents : Vous devrez notifier les clients entités financières des incidents liés aux TIC selon des délais qui soutiennent leur propre obligation de signalement sous 4 heures.

Droits d'audit et d'inspection : Les entités financières et leurs autorités competentes doivent avoir le droit d'auditer et d'inspecter vos systèmes, operations et mesures de sécurité.

Designation comme fournisseur TIC tiers critique (CTPP)

Si vous etes designe comme CTPP par les AES, des obligations supplementaires s'appliquent :

Surveillance directe par un Superviseur principal (l'une des trois AES)
Obligation de répondre aux demandes d'information et de se conformer aux recommandations
Soumis a des enquetes generales et des inspections sur site
Doit nommer une filiale UE pour les fournisseurs hors UE
Les recommandations ne sont pas juridiquement contraignantes mais la non-conformité peut aboutir a l'obligation pour les entités financières de mettre fin aux accords

DORA et autres référentiels

DORA et NIS2

Aspect	DORA	NIS2
Périmètre	Secteur financier	Intersectoriel (18 secteurs)
Nature	Reglement (directement applicable)	Directive (nécessite une transposition)
Signalement des incidents	Notification initiale 4 heures	Alerte precoce 24 heures
Tests	TLPT obligatoire pour les entités significatives	Évaluation de l'efficacite requise
Gestion des tiers	Cadre complet avec surveillance	Obligations de sécurité de la chaîne d'approvisionnement
Relation	Lex specialis (prevaut)	S'applique la ou DORA ne s'applique pas

DORA et ISO 27001

Aspect	ISO 27001	Ajouts DORA
Gestion des risques	SMSI complet	Aligne, avec specificites du secteur financier
Signalement des incidents	Procedures internes	Signalement externe obligatoire sous 4/72 heures
Tests	A.8.8 Gestion des vulnérabilités	TLPT obligatoire tous les 3 ans
Tiers	A.5.19-A.5.23 Sécurité des fournisseurs	Registre, dispositions contractuelles, surveillance
Continuité d'activité	A.5.29-A.5.30	Exigences detaillees de continuité TIC

Se préparer a la conformité DORA

Pour les entités financières

Analyse des ecarts — Cartographier le cadre actuel de gestion des risques TIC par rapport aux exigences DORA
Gouvernance — S'assurer que l'organe de direction est implique dans la surveillance des risques TIC et la formation
Gestion des risques TIC — Renforcer les capacités d'identification, de protection, de detection, de réponse et de reprise
Gestion des incidents — Établir les critères de classification et les processus de signalement respectant les délais DORA
Tests de résilience — Développer un programme de tests, planifier les TLPT si applicable
Registre des tiers — Creer et maintenir le registre de tous les accords avec les tiers TIC
Revue des contrats — Mettre à jour les contrats avec les fournisseurs TIC pour inclure les dispositions obligatoires DORA
Strategies de sortie — Développer des plans de sortie pour les accords TIC tiers critiques

Pour les fournisseurs de services TIC

Comprendre votre exposition — Identifier quels clients entités financières sont soumis a DORA
Revoir les contrats — Se préparer aux exigences contractuelles conformes a DORA
Renforcer la réponse aux incidents — S'assurer de pouvoir soutenir l'obligation de signalement sous 4 heures des clients
Se préparer aux audits — Développer la préparation aux audits avec une documentation et des preuves complètes
Publier sur le Trust Center — Rendre la documentation de sécurité, les capacités de réponse aux incidents et les preuves de conformité accessibles aux acheteurs entités financières
Evaluer le risque CTPP — Evaluer si vous pourriez être designe comme critique et vous préparer en consequence

Comment Orbiq accompagne la conformité DORA

Trust Center — Publiez votre posture de conformité DORA — mesures de gestion des risques TIC, capacités de réponse aux incidents et preuves de tests de résilience pour les acheteurs entités financières
Surveillance continue — Suivez les exigences DORA a travers les cinq piliers avec un statut de conformité en temps reel
Gestion des preuves — Centralisez la documentation des risques TIC, les registres d'incidents, les rapports de tests et les registres des accords tiers cartographies aux articles DORA
Questionnaires alimentes par l'IA — Repondez automatiquement aux questions des questionnaires de sécurité liés a DORA des clients entités financières

Pour aller plus loin

Conformité NIS2 — Comprendre la relation entre DORA et NIS2
Test d'intrusion — Satisfaire les exigences de tests de résilience de DORA incluant les TLPT
Réponse aux incidents — Développer les capacités de réponse aux incidents pour le signalement sous 4 heures de DORA
Gestion des risques tiers — Gerer les risques TIC tiers comme l'exige le Pilier 4 de DORA

Ce guide est maintenu par l'équipe Orbiq. Derniere mise à jour : mars 2026.