Conformite DORA : ce que le reglement exige, qui est concerne et comment se preparer
Guide pratique de la conformite DORA — ce que le Digital Operational Resilience Act exige, quelles entites financieres et fournisseurs TIC sont concernes, obligations cles concernant la gestion des risques TIC, le signalement des incidents, les tests de resilience et la gestion des risques tiers.
Conformite DORA : ce que le reglement exige, qui est concerne et comment se preparer
Le Digital Operational Resilience Act (DORA) est le reglement de l'UE pour la resilience operationnelle numerique dans le secteur financier. Applicable depuis janvier 2025, il etablit des exigences harmonisees pour la gestion des risques TIC, le signalement des incidents, les tests de resilience et la gestion des risques tiers pour tous les types d'entites financieres.
Pour les entreprises SaaS B2B au service du secteur financier, DORA a des implications significatives. Si vous etes designe comme fournisseur TIC tiers critique, vous relevez d'une surveillance directe de l'UE. Meme sans cette designation, les clients entites financieres imposeront des exigences contractuelles alignees sur DORA a leurs fournisseurs TIC. Comprendre DORA est essentiel pour toute entreprise technologique faisant affaire avec des institutions financieres europeennes.
Ce guide couvre ce que DORA exige, a qui il s'applique, les cinq piliers de la conformite et comment se preparer en tant que fournisseur de services TIC.
Perimetre et applicabilite de DORA
Entites financieres dans le perimetre
DORA s'applique a pratiquement toutes les entites financieres reglementees dans l'UE :
| Categorie | Entites |
|---|---|
| Banque | Etablissements de credit, etablissements de paiement, etablissements de monnaie electronique |
| Investissement | Entreprises d'investissement, plates-formes de negociation, contreparties centrales, depositaires centraux de titres |
| Assurance | Entreprises d'assurance, de reassurance, intermediaires d'assurance |
| Retraite | Institutions de retraite professionnelle |
| Crypto | Prestataires de services sur crypto-actifs, emetteurs de jetons referencies sur actifs |
| Autres | Agences de notation, administrateurs d'indices de reference critiques, referentiels de titrisation, prestataires de services de financement participatif |
Fournisseurs de services TIC tiers
DORA s'etend au-dela des entites financieres pour couvrir les fournisseurs de services TIC tiers, notamment :
- Les fournisseurs de services cloud (IaaS, PaaS, SaaS)
- Les fournisseurs d'analyse de donnees
- Les editeurs de logiciels
- Les prestataires de services de centres de donnees
- Les fournisseurs d'infrastructure TIC
Les fournisseurs TIC tiers critiques (CTPP) designes par les Autorites europeennes de surveillance font l'objet d'une surveillance directe. Les criteres de designation comprennent l'importance systemique pour le secteur financier, le degre de substituabilite et le nombre et l'importance des entites financieres dependant du fournisseur.
Les cinq piliers de DORA
Pilier 1 : Gestion des risques TIC (articles 5-16)
Les entites financieres doivent etablir des cadres complets de gestion des risques TIC :
Gouvernance
- L'organe de direction porte la responsabilite ultime de la gestion des risques TIC
- Definir, approuver et superviser le cadre de gestion des risques TIC
- Allouer un budget et des ressources suffisants pour la securite TIC
- Les membres de la direction doivent maintenir des connaissances en risques TIC par une formation reguliere
Cadre de gestion des risques TIC
- Identifier toutes les fonctions et actifs metier supportes par les TIC
- Classifier les actifs informationnels par criticite
- Mener des evaluations des risques regulieres
- Mettre en oeuvre des mesures de protection et de prevention
- Etablir des mecanismes de detection pour les activites anormales
- Definir des procedures de reponse et de reprise
- Maintenir une politique complete de gestion des risques TIC
Exigences cles :
| Domaine | Exigence |
|---|---|
| Identification | Maintenir un inventaire actualise des actifs TIC, cartographier les dependances, identifier les fonctions critiques |
| Protection | Mettre en oeuvre les politiques de securite, controles d'acces, chiffrement, securite reseau |
| Detection | Deployer des capacites de surveillance, d'alerte et de detection des anomalies |
| Reponse | Etablir des procedures de reponse aux incidents, des strategies de confinement, des plans de communication |
| Reprise | Definir les objectifs de reprise, les politiques de sauvegarde, les procedures de restauration |
| Apprentissage | Revues post-incident, evaluations des vulnerabilites, amelioration continue |
Pilier 2 : Gestion et signalement des incidents lies aux TIC (articles 17-23)
Classification des incidents
Les entites financieres doivent classifier les incidents lies aux TIC selon ces criteres :
| Critere | Description |
|---|---|
| Clients affectes | Nombre de clients ou de contreparties financieres affectes |
| Duree | Duree de l'incident |
| Etendue geographique | Zones affectees, incluant l'impact transfrontalier |
| Pertes de donnees | Si des donnees ont ete compromises, corrompues ou perdues |
| Criticite des services | A quel point les services affectes sont critiques |
| Impact economique | Couts et pertes directs et indirects |
Calendrier de signalement
| Etape | Delai | Contenu |
|---|---|---|
| Notification initiale | 4 heures apres classification (24 heures apres detection) | Resume de l'incident, evaluation initiale de l'impact |
| Rapport intermediaire | 72 heures apres classification | Evaluation mise a jour, mesures de confinement, cause profonde (si connue) |
| Rapport final | 1 mois apres le dernier rapport intermediaire | Analyse des causes profondes, impact total, mesures de remediation, lecons apprises |
Signalement volontaire des menaces
Les entites financieres peuvent volontairement signaler les cybermenaces significatives aux autorites competentes. Cela est encourage pour ameliorer la resilience et le partage de renseignements sur les menaces a l'echelle du secteur.
Pilier 3 : Tests de resilience operationnelle numerique (articles 24-27)
Tests de base (toutes les entites)
Toutes les entites financieres doivent mener des tests proportionnes :
- Evaluations et analyses de vulnerabilites
- Analyses open source
- Evaluations de securite reseau
- Analyses d'ecart
- Revues de securite physique
- Questionnaires et solutions d'analyse logicielle
- Revues de code source lorsque c'est faisable
- Tests bases sur des scenarios
- Tests de compatibilite
- Tests de performance
- Tests de bout en bout
- Tests d'intrusion (au moins annuellement)
Tests avances — TLPT (entites significatives)
Les entites financieres significatives doivent mener des tests d'intrusion pilotes par les menaces (TLPT) :
| Exigence | Detail |
|---|---|
| Frequence | Au moins tous les 3 ans |
| Cadre | Doit suivre TIBER-EU ou un cadre national equivalent |
| Perimetre | Fonctions critiques ou importantes sur des systemes de production en activite |
| Testeurs | Fournisseurs externes qualifies avec une expertise specifique |
| Renseignement sur les menaces | Base sur le paysage actuel des menaces specifique a l'entite |
| Reporting | Resultats rapportes a l'autorite competente avec plan de remediation |
Pilier 4 : Gestion des risques TIC tiers (articles 28-44)
Exigences pre-contractuelles
- Mener une evaluation des risques avant de conclure des accords TIC
- Evaluer les capacites de securite de l'information du fournisseur
- Evaluer le risque de concentration (dependance envers un fournisseur unique)
- Assurer une diligence raisonnable sur les fournisseurs supportant des fonctions critiques
Dispositions contractuelles obligatoires
Les contrats avec les fournisseurs de services TIC tiers doivent inclure :
| Disposition | Description |
|---|---|
| Description de service | Description claire des fonctions, incluant les conditions de sous-traitance |
| Localisation des donnees | Lieux de traitement et de stockage des donnees, notification des changements |
| Mesures de securite | Niveaux de service, exigences de securite, controles d'acces |
| Objectifs de disponibilite | Disponibilite garantie, objectifs de delai et de point de reprise |
| Notification des incidents | Obligation de signaler les incidents lies aux TIC |
| Continuite d'activite | Plans pour assurer la continuite pendant les perturbations |
| Droits d'audit | Droits de mener des audits et inspections |
| Resiliation et sortie | Periodes de transition, restitution des donnees, exigences de suppression |
| Sous-traitance | Conditions de sous-traitance supplementaire a des sous-traitants |
Surveillance continue
- Surveiller la performance du fournisseur par rapport aux obligations contractuelles
- Maintenir un registre de tous les accords avec les tiers TIC
- Rapporter le registre aux autorites competentes annuellement
- Evaluer et gerer le risque de concentration regulierement
Strategies de sortie
- Developper des plans de sortie pour les accords TIC tiers critiques
- S'assurer que les plans incluent des periodes de transition adequates
- Planifier la portabilite et la migration des donnees
- Tester les procedures de sortie periodiquement
Pilier 5 : Partage d'informations (article 45)
Les entites financieres peuvent participer a des accords volontaires de partage de renseignements sur les cybermenaces et d'informations concernant :
- Les tactiques, techniques et procedures (TTP)
- Les indicateurs de compromission (IoC)
- Les alertes de securite et outils de configuration
- Les renseignements sur les cybermenaces
La participation est volontaire mais encouragee. Les informations partagees doivent etre traitees conformement aux exigences de confidentialite et au droit de la concurrence.
DORA pour les fournisseurs de services TIC
Impact direct
Si vous etes un fournisseur de services TIC tiers pour les entites financieres :
Obligations contractuelles : Les clients entites financieres exigeront des conditions contractuelles conformes a DORA couvrant les mesures de securite, la notification des incidents, les droits d'audit, la localisation des donnees et les strategies de sortie.
Diligence raisonnable renforcee : Attendez-vous a des evaluations de securite plus approfondies lors des achats, incluant des revues de votre cadre de gestion des risques TIC, de vos capacites de reponse aux incidents et de vos plans de continuite d'activite.
Notification des incidents : Vous devrez notifier les clients entites financieres des incidents lies aux TIC selon des delais qui soutiennent leur propre obligation de signalement sous 4 heures.
Droits d'audit et d'inspection : Les entites financieres et leurs autorites competentes doivent avoir le droit d'auditer et d'inspecter vos systemes, operations et mesures de securite.
Designation comme fournisseur TIC tiers critique (CTPP)
Si vous etes designe comme CTPP par les AES, des obligations supplementaires s'appliquent :
- Surveillance directe par un Superviseur principal (l'une des trois AES)
- Obligation de repondre aux demandes d'information et de se conformer aux recommandations
- Soumis a des enquetes generales et des inspections sur site
- Doit nommer une filiale UE pour les fournisseurs hors UE
- Les recommandations ne sont pas juridiquement contraignantes mais la non-conformite peut aboutir a l'obligation pour les entites financieres de mettre fin aux accords
DORA et autres referentiels
DORA et NIS2
| Aspect | DORA | NIS2 |
|---|---|---|
| Perimetre | Secteur financier | Intersectoriel (18 secteurs) |
| Nature | Reglement (directement applicable) | Directive (necessite une transposition) |
| Signalement des incidents | Notification initiale 4 heures | Alerte precoce 24 heures |
| Tests | TLPT obligatoire pour les entites significatives | Evaluation de l'efficacite requise |
| Gestion des tiers | Cadre complet avec surveillance | Obligations de securite de la chaine d'approvisionnement |
| Relation | Lex specialis (prevaut) | S'applique la ou DORA ne s'applique pas |
DORA et ISO 27001
| Aspect | ISO 27001 | Ajouts DORA |
|---|---|---|
| Gestion des risques | SMSI complet | Aligne, avec specificites du secteur financier |
| Signalement des incidents | Procedures internes | Signalement externe obligatoire sous 4/72 heures |
| Tests | A.8.8 Gestion des vulnerabilites | TLPT obligatoire tous les 3 ans |
| Tiers | A.5.19-A.5.23 Securite des fournisseurs | Registre, dispositions contractuelles, surveillance |
| Continuite d'activite | A.5.29-A.5.30 | Exigences detaillees de continuite TIC |
Se preparer a la conformite DORA
Pour les entites financieres
- Analyse des ecarts — Cartographier le cadre actuel de gestion des risques TIC par rapport aux exigences DORA
- Gouvernance — S'assurer que l'organe de direction est implique dans la surveillance des risques TIC et la formation
- Gestion des risques TIC — Renforcer les capacites d'identification, de protection, de detection, de reponse et de reprise
- Gestion des incidents — Etablir les criteres de classification et les processus de signalement respectant les delais DORA
- Tests de resilience — Developper un programme de tests, planifier les TLPT si applicable
- Registre des tiers — Creer et maintenir le registre de tous les accords avec les tiers TIC
- Revue des contrats — Mettre a jour les contrats avec les fournisseurs TIC pour inclure les dispositions obligatoires DORA
- Strategies de sortie — Developper des plans de sortie pour les accords TIC tiers critiques
Pour les fournisseurs de services TIC
- Comprendre votre exposition — Identifier quels clients entites financieres sont soumis a DORA
- Revoir les contrats — Se preparer aux exigences contractuelles conformes a DORA
- Renforcer la reponse aux incidents — S'assurer de pouvoir soutenir l'obligation de signalement sous 4 heures des clients
- Se preparer aux audits — Developper la preparation aux audits avec une documentation et des preuves completes
- Publier sur le Trust Center — Rendre la documentation de securite, les capacites de reponse aux incidents et les preuves de conformite accessibles aux acheteurs entites financieres
- Evaluer le risque CTPP — Evaluer si vous pourriez etre designe comme critique et vous preparer en consequence
Comment Orbiq accompagne la conformite DORA
- Trust Center — Publiez votre posture de conformite DORA — mesures de gestion des risques TIC, capacites de reponse aux incidents et preuves de tests de resilience pour les acheteurs entites financieres
- Surveillance continue — Suivez les exigences DORA a travers les cinq piliers avec un statut de conformite en temps reel
- Gestion des preuves — Centralisez la documentation des risques TIC, les registres d'incidents, les rapports de tests et les registres des accords tiers cartographies aux articles DORA
- Questionnaires alimentes par l'IA — Repondez automatiquement aux questions des questionnaires de securite lies a DORA des clients entites financieres
Pour aller plus loin
- Conformite NIS2 — Comprendre la relation entre DORA et NIS2
- Test d'intrusion — Satisfaire les exigences de tests de resilience de DORA incluant les TLPT
- Reponse aux incidents — Developper les capacites de reponse aux incidents pour le signalement sous 4 heures de DORA
- Gestion des risques tiers — Gerer les risques TIC tiers comme l'exige le Pilier 4 de DORA
Ce guide est maintenu par l'equipe Orbiq. Derniere mise a jour : mars 2026.