Guide complet sur le Règlement DORA et plan d'action (PDF - mars 2025)

Résumé

Le Digital Operational Resilience Act (DORA) est un règlement de l'Union européenne visant à renforcer la résilience opérationnelle numérique des entités financières, notamment les banques, les assurances et les prestataires de services financiers. Entré en vigueur le 16 janvier 2023, DORA s'applique depuis le 17 janvier 2025. Il impose des exigences strictes en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC), incluant la mise en place de cadres robustes de gestion des risques, la notification des incidents majeurs liés aux TIC, la réalisation de tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC et le partage d'informations sur les cybermenaces. L'objectif est d'assurer la continuité et la sécurité des services financiers face aux cybermenaces croissantes.

🔗 Téléchargez notre Guide complet sur le Règlement DORA  🔗

🔗 Téléchargez notre plan d'action de mise en oeuvre du Règlement DORA  🔗

Objectif de la règlementation DORA

Nature de DORA

Le règlement DORA, également appelé loi sur la résilience opérationnelle numérique, représente une initiative législative majeure de l'Union Européenne. Il est centré sur la cybersécurité des entités financières, telles que les banques et les entreprises d'assurance. DORA est un texte législatif majeur de l’Union européenne sur la cybersécurité des entités financières. En français, DORA répond au nom de Règlement sur la résilience opérationnelle du numérique.

Objectif général

DORA a pour but de consolider et d'améliorer les exigences relatives au risque lié aux TIC (technologies de l'information et de la communication) dans le cadre des exigences relatives au risque opérationnel. Son objectif principal est de renforcer la résilience opérationnelle numérique au sein du secteur financier de l'UE en établissant un cadre juridique commun.

  • DORA vise à harmoniser le paysage juridique fragmenté de l'UE concernant les risques liés aux TIC.
  • Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique qui contraint toutes les entreprises à s’assurer de pouvoir résister à tous les types de perturbations et de menaces liées aux TIC, à y répondre et à s’en remettre.

Résilience opérationnelle numérique

DORA vise à garantir la capacité des entités financières à maintenir l'intégrité et la fiabilité de leurs opérations, même en cas de perturbations.

  • La résilience opérationnelle numérique est définie comme la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations.
  • L’objectif de DORA est d’atteindre un niveau élevé de résilience opérationnelle numérique pour toutes les entités financières réglementées.

Objectifs spécifiques

L'objectif est de rendre le secteur financier de l’Union plus résilient afin de garantir sa sûreté technologique et son bon fonctionnement, tout en préservant la confiance des consommateurs et des marchés.

  • DORA met l'accent sur la disponibilité et l’intégrité des services financiers, même en cas de perturbations, d’incidents ou d’attaques.
  • DORA cherche à limiter au maximum les perturbations et la durée d’indisponibilité des systèmes et des données.

Contexte et justification

Le corpus réglementaire unique, qui englobe l’ensemble de la législation de l’Union européenne relative aux établissements financiers, ne fait que survoler les risques opérationnels liés aux technologies de l’information et de la communication (TIC).

  • Le cadre législatif actuel est incomplet ou harmonisé de manière incohérente, ce qui entrave le marché unique des services financiers.
  • Le secteur financier de l’Union européenne est régi par un corpus réglementaire unique harmonisé, mais celui-ci traite à peine de la résilience opérationnelle numérique ou de la sécurité des TIC.

Champ d'application

Large éventail d'entités concernées

DORA s'applique à 21 types d'entités financières. Le règlement DORA couvre largement le secteur financier de l’UE.

  • Les établissements de crédit.
  • Les sociétés de financement.
  • Les entreprises d'investissement.
  • Les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366.
  • Les prestataires de services sur crypto-actifs agréés et les émetteurs de jetons se référant à un ou des actifs.
  • Les dépositaires centraux de titres.
    Les entreprises d'assurance et de réassurance.
  • Les gestionnaires de fonds d'investissement alternatifs (AIFM).
  • Les prestataires tiers de services TIC.
  • Les prestataires de services d’information sur les comptes.
  • Les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE.
  • Les contreparties centrales.
  • Les plateformes de négociation.
  • Les référentiels centraux.
  • Les sociétés de gestion.
  • Les prestataires de services de communication de données.
  • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire.
  • Les institutions de retraite professionnelle.
  • Les agences de notation de crédit.
  • Les administrateurs d’indices de référence d’importance critique.
  • Les prestataires de services de financement participatif.
  • Les référentiels des titrisations.

Exceptions possibles

Les États membres ont la possibilité d'exclure certaines entités nationales spécifiques du champ d'application de DORA.
Les États membres peuvent choisir d’exclure du scope de DORA certaines entités nationales de crédit ou d’investissement très spécifiques, telles que visées à l’Article 2(5) de la directive 2013/36/UE. En France par exemple, l’État pourrait choisir d’épargner la Caisse des dépôts et consignations.

Entités exclues du champ d'application

  • les gestionnaires de fonds d’investissement alternatifs visés à l’Article 3(2) de la directive 2011/61/UE.
  • les entreprises d’assurance et de réassurance en fonction de leur taille, telles que visées à l’Article 4 de la directive 2009/138/CE.
    les institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze affiliés au total.
  • les personnes physiques ou morales exemptées en vertu des Articles 2 et 3 de la directive 2014/65/UE.
  • les intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des micro-entreprises ou des PME. La définition est donnée dans l’article 4(60) de DORA : qui emploie moins de dix personnes et dont le CA annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros.
  • les offices des chèques postaux visés à l’article 2(5.3), de la Directive 2013/36/UE.

Obligations clés

Cadre de gestion des risques liés aux TIC

Pour assurer leur résilience face aux risques numériques, les entités financières doivent instaurer un cadre de gestion des risques liés aux TIC (technologies de l’information et de la communication) à la fois solide, structuré et documenté. Ce cadre ne doit pas fonctionner de manière isolée, mais s’intégrer pleinement au système global de gestion des risques de l’organisation.
Il repose sur plusieurs piliers essentiels : stratégies, politiques, procédures, protocoles et outils TIC, qui doivent garantir la protection des actifs informationnels et des infrastructures technologiques. Pour être efficace, ce dispositif doit être régulièrement mis à jour et réexaminé au moins une fois par an, afin d’intégrer les enseignements tirés des incidents passés et des évolutions technologiques.
L’objectif est d’assurer une gestion proactive des risques, en anticipant les vulnérabilités et en mettant en place des mécanismes de contrôle rigoureux. Cela inclut notamment un suivi formel des risques, avec des règles claires pour identifier, corriger et prévenir toute faille critique détectée lors des audits TIC.
En adoptant une approche dynamique et évolutive, les entités financières renforceront non seulement leur cybersécurité, mais aussi leur capacité à réagir efficacement en cas de menace numérique.

Stratégie de résilience opérationnelle numérique

Pour faire face aux risques numériques et garantir la continuité de leurs activités, les entités financières doivent élaborer une stratégie de résilience opérationnelle numérique claire et efficace. Cette stratégie définit les méthodes et dispositifs à mettre en place pour anticiper, gérer et limiter l'impact des incidents liés aux TIC (technologies de l’information et de la communication).
Elle ne doit pas être figée : son efficacité repose sur une amélioration continue, basée sur les enseignements tirés de plusieurs sources :

  • Les analyses post-incident, réalisées après un événement majeur,
  • Les retours d’expérience, notamment sur les difficultés rencontrées lors des tests ou des activations des plans de continuité,
  • La veille sur les cybermenaces, pour anticiper les nouvelles vulnérabilités,
  • Les tests réguliers, qui permettent d’évaluer la robustesse des dispositifs en place.

Chaque année, un compte-rendu détaillé doit être présenté aux organes de direction pour assurer un suivi rigoureux et ajuster les mesures si nécessaire. Concrètement, la stratégie de résilience doit :
✅ Aligner les mesures de cybersécurité avec la stratégie globale de l’entreprise,
✅ Définir un niveau de tolérance au risque TIC, afin de calibrer les efforts de protection,
✅ Fixer des objectifs précis en matière de sécurité de l’information,
✅ Cartographier l’architecture des TIC et planifier les ajustements nécessaires,
✅ Mettre en place des mécanismes de détection et de prévention des incidents,
✅ Évaluer la résilience numérique sur la base des incidents passés et des mesures mises en place,
✅ Tester régulièrement la solidité des dispositifs de sécurité,
✅ Prévoir un plan de communication de crise en cas d’incident majeur, afin d’informer rapidement les parties prenantes concernées.

En adoptant une approche proactive et structurée, les entités financières renforcent leur capacité à résister aux cyberattaques et aux perturbations tout en assurant la stabilité et la confiance du marché.

Politique de continuité des activités TIC

Pour garantir la continuité de leurs opérations face aux incidents numériques, les entités financières doivent mettre en place une politique de continuité des activités TIC robuste et bien structurée. Cette politique vise à assurer que les fonctions critiques et essentielles de l’organisation restent opérationnelles, même en cas de perturbation majeure, et que toute anomalie soit rapidement détectée, analysée et résolue.

🔍 Un cadre structuré et évolutif
Cette politique repose sur un ensemble de dispositifs, plans, procédures et mécanismes adaptés qui doivent être documentés, mis à jour et testés régulièrement. L’objectif est d’anticiper les risques et d’assurer une réaction rapide et efficace en cas d’incident.

📊 Une approche méthodique et rigoureuse

  • Tests annuels obligatoires : Chaque entité doit tester au moins une fois par an la solidité de ses plans de continuité et de reprise d’activité. Ces tests permettent d’évaluer l’efficacité des dispositifs en place et d’identifier d’éventuelles failles.
  • Suivi et documentation : Un registre des perturbations doit être tenu afin de consigner tous les incidents et les mesures correctives mises en œuvre.
  • Analyse d’impact : Les entités financières doivent évaluer les conséquences potentielles des interruptions de service sur leurs opérations et adapter leur politique en conséquence.
  • Gestion des prestataires tiers : Si certaines fonctions critiques sont externalisées, leur continuité doit être garantie via des accords et des tests spécifiques avec les prestataires de services TIC.

Pourquoi cette approche est essentielle ?
En structurant et testant régulièrement leur politique de continuité des activités TIC, les entités financières renforcent leur capacité à résister aux cyberattaques, aux pannes et aux incidents techniques, garantissant ainsi la sécurité des opérations et la confiance des clients et des partenaires.

Procédures de sauvegarde et de restauration

Les entités financières doivent prévoir des procédures de sauvegarde, de restauration et de rétablissement des données et des systèmes, ainsi que les politiques associées.
Les entités financières définissent et documentent des politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du niveau de confidentialité des données.

Plans de communication en situation de crise

Les entités financières doivent préparer des plans de communication en situation de crise pour informer les clients, les contreparties et le public en cas d’incidents majeurs liés aux TIC ou de vulnérabilités majeures.
Elles doivent désigner un responsable des communications de crise.
En cas de cybermenace importante, les entités financières informent, le cas échéant, leurs clients susceptibles d’être affectés de toute mesure de protection appropriée que ces derniers pourraient envisager de prendre.
Les entités financières mettent en place des plans de communication en situation de crise qui favorisent une divulgation responsable, au minimum, des incidents majeurs liés aux TIC ou des vulnérabilités majeures aux clients et aux contreparties ainsi qu’au public, le cas échéant.
Les entités financières mettent en œuvre des politiques de communication à l’intention des membres du personnel interne et des parties prenantes externes.

Gestion des incidents

Les entités financières doivent mettre en œuvre un processus de gestion des incidents pour enregistrer toutes les cybermenaces importantes et tous les incidents, et classer les incidents selon des critères définis.
Ce processus doit permettre d’enregistrer toutes les cybermenaces importantes et tous les incidents.
Le processus de gestion des incidents doit mettre en place des indicateurs d’alerte précoce et instaurer des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents en fonction de leur priorité et de leur gravité, et en fonction de la criticité des services touchés.
Il doit attribuer les rôles et les responsabilités qui doivent être activés pour différents types et scénarios d’incidents et établir des plans pour la communication à l’intention du personnel, des parties prenantes externes et des médias.
Il doit permettre de notifier au minimum les incidents majeurs aux membres de la direction concernés, et de communiquer leurs incidences, la réponse à leur apporter et les contrôles supplémentaires à mettre en place par la suite et définir des procédures de réponse en cas d’incident, afin d’en atténuer les effets et de garantir que les services redeviennent opérationnels et sécurisés en temps utile.
Les entités financières mettent en place des procédures et des processus adéquats pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents liés aux TIC, pour veiller à ce que les causes originelles soient identifiées et documentées et qu’il y soit remédié pour éviter que de tels incidents ne se produisent.

Veille sur les cybermenaces

Les entités financières doivent opérer une veille sur les cybermenaces et se doter de capacités pour recueillir des informations sur les vulnérabilités.
La veille doit être assidue, collective et continue.
Les entités financières disposent de capacités et d’effectifs pour recueillir des informations sur les vulnérabilités et les cybermenaces, et sur les incidents liés aux TIC, en particulier les cyberattaques, et analyser leurs incidences probables sur leur résilience opérationnelle numérique.

Tests de résilience opérationnelle numérique

Les entités financières doivent établir un programme de tests de la résilience opérationnelle numérique permettant d’évaluer l’état de préparation à la gestion d’incidents liés aux TIC et d’identifier les faiblesses, les déficiences et les lacunes de la résilience opérationnelle numérique.

Gestion des risques liés aux prestataires tiers

Les entités financières doivent adopter une stratégie en matière de risques liés aux prestataires tiers de services TIC et la réexaminer régulièrement.
Cette stratégie doit inclure une politique relative à l’utilisation des services qui soutiennent des fonctions critiques ou importantes.
L’organe de direction doit examiner régulièrement les risques identifiés pour ces mêmes services et accords contractuels.
Les entités financières devraient adopter une approche proportionnée du suivi des risques survenant au niveau des prestataires tiers de services TIC en tenant dûment compte de la nature, de l’ampleur, de la complexité et de l’importance de leurs relations de dépendance liées aux TIC.
Les entités financières devraient être tenues de disposer d’un registre d’informations contenant tous les accords contractuels relatifs à l’utilisation des services TIC fournis par des prestataires tiers de services TIC.

Gouvernance et organisation

Les entités financières doivent disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC.
L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC.
Les membres de l’organe de direction de l’entité financière maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière.

Sécurité des réseaux et des systèmes d'information

Les entités financières doivent élaborer, documenter, mettre en œuvre et tenir à disposition du superviseur les politiques de sécurité des TIC, la sécurité de l’information et les procédures, protocoles et outils y afférents qui garantissent la sécurité des réseaux et comportent des garanties contre les intrusions et les utilisations abusives des données.

Sanctions et mise en conformité

DORA laisse aux États membres et à leurs autorités compétentes le soin de déterminer les sanctions applicables.
Les autorités compétentes peuvent adopter toute mesure, y compris pécuniaire, pour assurer le respect des obligations légales par les entités financières.
Les États membres doivent s'assurer que les autorités compétentes ont le pouvoir d'imposer des sanctions administratives et des mesures correctives en cas de violation du règlement DORA. Ces sanctions doivent être efficaces, proportionnées et dissuasives.
Les autorités compétentes doivent disposer de tous les pouvoirs de surveillance, d'enquête et de sanction nécessaires à l'exécution de leurs tâches en vertu du règlement.
Les autorités compétentes devraient inclure la tâche consistant à vérifier le respect matériel des recommandations formulées par le superviseur principal dans le cadre de leurs fonctions en ce qui concerne la surveillance prudentielle des entités financières.

Mise en conformité

La mise en conformité avec DORA demandera des ressources, du temps et de la rigueur. Il est conseillé de commencer par la rédaction et la mise en œuvre des politiques obligatoires.
DORA fonctionne comme un système de politiques imbriquées, et une approche méthodique est à privilégier.
Le cadre de gestion du risque lié aux TIC doit s’accompagner d’une stratégie de résilience opérationnelle, d’une politique de continuité des activités TIC, de procédures de sauvegarde, de restauration et de rétablissement, d’un registre des activités en cas de perturbations, d’un processus de gestion des incidents, d’un plan de réponse aux incidents et de plans de communication en situation de crise.
Les entités financières sont tenues de mettre en œuvre un cadre formel de gouvernance et de gestion des risques liés aux TIC.

Impacts et enjeux de DORA

Le règlement DORA marque un changement de paradigme dans la gestion des risques numériques du secteur financier. Son adoption représente une évolution majeure, imposant aux entités financières une approche plus rigoureuse et proactive face aux cybermenaces.

Un cadre réglementaire renforcé pour plus de sécurité
✅ Amélioration de la sécurité et de la stabilité financière : En réponse à l’augmentation des cyberattaques, DORA impose des exigences strictes pour renforcer la résilience des institutions financières et préserver la stabilité du système financier européen.
✅ Uniformisation des normes de cybersécurité : Jusqu’ici fragmenté, le cadre réglementaire devient harmonisé à l’échelle de l’UE. Les règles et standards en matière de cybersécurité sont désormais communs à tous les acteurs financiers, garantissant une cohérence dans la gestion des risques liés aux TIC.
✅ Un contrôle accru des prestataires TIC : Les entreprises ne sont pas seulement responsables de leur propre cybersécurité, elles doivent aussi s’assurer que leurs prestataires de services TIC respectent ces nouvelles normes. Cela permet de réduire les risques liés à la sous-traitance et aux dépendances critiques.

Des investissements et une gouvernance adaptée aux nouvelles exigences
💡 Un effort technologique nécessaire : Pour répondre aux exigences de DORA, les institutions financières devront renforcer leurs infrastructures, mettre à jour leurs systèmes et investir dans des solutions de cybersécurité avancées.
💡 Maîtrise du risque lié aux TIC : Une simple réaction aux cybermenaces ne suffit plus. Les entités financières doivent adopter une gestion proactive et continue des risques liés aux technologies de l’information. Cela inclut la mise en place de politiques spécifiques pour anticiper, détecter et répondre efficacement aux incidents.
💡 Vers une harmonisation complète des exigences en matière de résilience : DORA impose aux institutions financières de structurer un cadre formel de gouvernance et de gestion des risques TIC. Ce cadre doit inclure des stratégies de surveillance, de contrôle et d’intervention adaptées aux menaces numériques actuelles et futures.

Une stratégie de résilience opérationnelle numérique incontournable
🔎 Pour se conformer à DORA, les entreprises doivent documenter et communiquer leur stratégie de résilience opérationnelle. Cette démarche implique d’identifier les vulnérabilités, d’adopter des plans d’action adaptés et de mettre en œuvre des tests réguliers pour garantir une sécurité optimale.
En renforçant la gestion des risques TIC et la résilience numérique, DORA transforme profondément le secteur financier et impose une nouvelle culture de cybersécurité, où prévention, contrôle et réaction rapide deviennent la norme.

Date d'entrée en vigueur et état d'application

  • Entrée en vigueur : DORA est entré en application le 17 janvier 2025.
  • Obligation de conformité : Les entités financières doivent être conformes à DORA à partir de cette date.
  • Supervision : L’ACPR (Autorité de contrôle prudentiel et de résolution) et les autorités européennes de surveillance (EBA, ESMA, EIOPA) supervisent l’application du règlement.
  • Première année d’entrée en vigueur : Le rapport établi au titre de la première année d’entrée en vigueur du cadre réglementaire DORA (2025) décrit les éléments du cadre de gestion des risques liés aux TIC et souligne les sujets encore en développement ou qui restent à approfondir.
  • Adresse de contact : À partir du 17 janvier 2025, les entités financières devront s’adresser à leur service de contrôle habituel.
ProDPO

Le logiciel RGPD du DPO

Les DPO internes, vous disposez de documentations et d’outils intuitifs, permettant la collaboration avec vos équipes.

Les DPO mutualisés et externes (consultants freelance, cabinets d'avocats ou de conseil, institutions publiques), en plus de disposer des mémes fonctionnalités que les DPO internes pour tous vos clients, vous gérez ensemble sur une seule plateforme.

En savoir plus

Pour partager cet article sur les réseaux sociaux

Je souhaite réserver un appel !