DORA · Réglementation du secteur financier de l'UE

DORA : prouver la résilience opérationnelle numérique dans le secteur financier

Le Digital Operational Resilience Act (DORA, règlement (UE) 2022/2554) s'applique directement dans toute l'UE depuis le 17 janvier 2025. Il impose aux entités financières et à leurs prestataires TIC non seulement d'établir une résilience opérationnelle numérique, mais de la démontrer en continu — de la gestion du risque TIC et du signalement des incidents jusqu'à un registre d'information couvrant tous les contrats TIC. Cette page explique ce qu'exige DORA, à qui il s'applique (et à qui non), comment les cinq piliers s'articulent, et comment mettre en œuvre les exigences avec Sightadel de manière structurée et prête pour l'audit.

Qu'est-ce que DORA ?

DORA est un règlement de l'UE et s'applique donc directement — sans loi de transposition nationale. Il harmonise les exigences de résilience opérationnelle numérique dans l'ensemble du secteur financier européen. En Allemagne, la BaFin est l'autorité de surveillance compétente ; au niveau de l'UE, les trois autorités de surveillance EBA, EIOPA et ESMA supervisent en outre directement les prestataires tiers TIC critiques.

L'idée sous-jacente : les entités financières dépendent aujourd'hui fortement des TIC — de leurs propres systèmes autant que des fournisseurs cloud et des éditeurs de logiciels. DORA déplace l'attention de la seule adéquation des fonds propres vers la question de savoir si un établissement peut résister, signaler et se remettre de perturbations TIC graves. Pour les entités financières, DORA est le régime plus spécifique par rapport à NIS2 (lex specialis) : les organisations relevant de DORA remplissent leurs obligations de cybersécurité principalement dans ce cadre.

Le règlement est précisé par des normes techniques de réglementation et d'exécution (RTS/ITS) des ESAs — par exemple sur le cadre de gestion du risque TIC, la classification des incidents et le registre d'information.

À qui DORA s'applique-t-il — et à qui non ?

DORA s'applique à vous si …

… votre organisation appartient à l'une des quelque 20 catégories d'entités financières couvertes par le règlement. Cela inclut, entre autres :

  • Les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique.
  • Les entreprises d'investissement, les plates-formes de négociation et les gestionnaires de fonds.
  • Les entreprises d'assurance et de réassurance ainsi que les intermédiaires d'assurance de taille importante.
  • Les prestataires de services sur crypto-actifs au titre de MiCA.
  • Les institutions de retraite professionnelle, les agences de notation de crédit et les prestataires de financement participatif.

… ou si vous fournissez des services TIC à des entités financières — par exemple en tant que fournisseur cloud, éditeur de logiciels ou opérateur de centre de données. Vos clients doivent convenir avec vous de clauses contractuelles conformes à DORA (art. 30) et vous inclure dans leur registre d'information. Les prestataires tiers TIC désignés comme critiques sont en outre soumis à la surveillance directe des ESAs.

DORA suit le principe de proportionnalité : l'étendue et la profondeur des mesures dépendent de la taille, du profil de risque et de la complexité. Un cadre simplifié de gestion du risque TIC s'applique aux microentreprises et à certaines catégories d'établissements.

DORA ne s'applique pas à vous si …

… votre organisation n'est ni une entité financière réglementée, ni un prestataire TIC pour l'une d'elles. Certaines exemptions existent aussi au sein du secteur — par exemple pour les intermédiaires d'assurance en dessous de certains seuils de taille ou les très petites institutions de retraite professionnelle.

La réserve : dès qu'une entité financière figure parmi vos clients, les exigences de DORA vous atteignent indirectement via la gestion du risque lié aux tiers de celle-ci — même sans être vous-même supervisé.

Les cinq piliers de DORA

  • Gestion du risque TIC (art. 5–16). Un cadre de gestion du risque documenté avec une responsabilité claire de l'organe de direction : identification des fonctions critiques, mesures de protection et de détection, concepts de sauvegarde et de reprise.
  • Gestion et signalement des incidents liés aux TIC (art. 17–23). Les incidents doivent être enregistrés, classés selon des critères uniformes, et les incidents majeurs signalés à l'autorité dans des délais fixés — avec un rapport initial, intermédiaire et final.
  • Tests de résilience opérationnelle numérique (art. 24–27). Un programme de tests fondé sur le risque pour toutes les entités ; pour les établissements désignés, des tests de pénétration fondés sur la menace (TLPT) supplémentaires au moins tous les trois ans.
  • Gestion du risque lié aux tiers TIC (art. 28–44). Évaluation et surveillance de tous les prestataires TIC, clauses contractuelles obligatoires (art. 30), stratégies de sortie — et le registre d'information couvrant tous les accords contractuels, à fournir au superviseur sur demande et selon un cycle annuel.
  • Partage d'informations (art. 45). Échange volontaire d'informations sur les cybermenaces entre entités financières.

Le défi typique de la mise en œuvre de DORA

  • Le registre d'information comme chantier permanent. Tenir à jour des centaines de contrats TIC, des chaînes de sous-traitants et des fonctions critiques dans des tableurs est source d'erreurs — et la soumission au superviseur revient chaque année.
  • Des délais de signalement sans processus rodé. La question de savoir si un incident est à signaler se décide selon des critères de classification définis — sous la pression du temps. Sans procédures et responsabilités préparées, chaque perturbation devient un projet de crise.
  • Un travail redondant à côté des normes existantes. Une grande partie de ce qu'exige DORA existe déjà dans un SMSI ISO 27001 ou dans des preuves C5 — mais est documentée séparément au lieu d'être reliée.

Comment Sightadel simplifie la mise en œuvre de DORA

Sightadel est le portail de conformité de la Pervigon Security Suite. Il représente les exigences de DORA le long des cinq piliers sous la forme d'un catalogue structuré auquel vous associez des mesures, des responsables et des preuves — y compris le registre d'information et les processus d'incident.

Démarrer plus vite. Le catalogue DORA, y compris les précisions RTS, est intégré au portail. Vous associez les mesures existantes et voyez immédiatement où subsistent des écarts par pilier.
Un registre d'information sans tenue de tableurs. Les prestataires TIC, les contrats, les fonctions critiques et les sous-traitants sont enregistrés de façon centralisée et tenus à jour. La soumission annuelle devient la restitution d'un état maintenu à jour, et non une course contre la montre.
Des processus d'incident avec des délais. Les critères de classification, les canaux de signalement et les délais des rapports initial, intermédiaire et final sont modélisés comme un processus — avec des responsables et des rappels en place avant que l'incident réel ne survienne.
Réutilisation des preuves. DORA se recoupe fortement avec ISO 27001, NIS2 et le BSI C5. Une preuve renseignée une seule fois — par exemple sur le contrôle d'accès ou les sauvegardes — est automatiquement mise en correspondance avec les exigences apparentées de ces normes. Vous la maintenez une fois, pas par référentiel.
Pas de consultants externes comme béquille permanente. La logique de mise en correspondance métier est intégrée au portail et soutenue par le cœur neoAI. L'appréciation prudentielle de votre cas spécifique reste la tâche de vos fonctions conformité et juridique — la maintenance continue est assurée par votre propre équipe.

DORA avec Sightadel en pratique

  1. 1
    Recenser.Inventorier les fonctions critiques, les systèmes TIC et tous les prestataires TIC ; construire le registre d'information.
  2. 2
    Évaluer.Analyse d'écarts par rapport aux cinq piliers, plan d'action priorisé avec responsables et délais.
  3. 3
    Mettre en œuvre.Documenter le cadre de gestion du risque, mettre en place les processus d'incident et de signalement, planifier le programme de tests, vérifier la conformité des contrats à l'art. 30.
  4. 4
    Maintenir.Tenir le registre à jour, réaliser tests et revues de façon récurrente, et garder les preuves consultables à tout moment pour le superviseur et l'audit interne.

Questions fréquentes sur DORA

Le règlement est entré en vigueur en janvier 2023 et s'applique depuis le 17 janvier 2025. Il ne reste aucune période de transition — les exigences sont opposables depuis lors.

La résilience numérique comme un état, pas comme un projet

DORA est une pratique de surveillance vivante depuis janvier 2025 : les soumissions de registre, les signalements d'incidents et les tests reviennent régulièrement. Sightadel maintient votre statut DORA continuellement à jour — structuré, auditable, et sans que chaque demande du superviseur ne déclenche un nouveau projet.

Visualisez votre statut DORA dans Sightadel.

Réserver une démo