DORA : prouver la résilience opérationnelle numérique dans le secteur financier
Le Digital Operational Resilience Act (DORA, règlement (UE) 2022/2554) s'applique directement dans toute l'UE depuis le 17 janvier 2025. Il impose aux entités financières et à leurs prestataires TIC non seulement d'établir une résilience opérationnelle numérique, mais de la démontrer en continu — de la gestion du risque TIC et du signalement des incidents jusqu'à un registre d'information couvrant tous les contrats TIC. Cette page explique ce qu'exige DORA, à qui il s'applique (et à qui non), comment les cinq piliers s'articulent, et comment mettre en œuvre les exigences avec Sightadel de manière structurée et prête pour l'audit.
Qu'est-ce que DORA ?
DORA est un règlement de l'UE et s'applique donc directement — sans loi de transposition nationale. Il harmonise les exigences de résilience opérationnelle numérique dans l'ensemble du secteur financier européen. En Allemagne, la BaFin est l'autorité de surveillance compétente ; au niveau de l'UE, les trois autorités de surveillance EBA, EIOPA et ESMA supervisent en outre directement les prestataires tiers TIC critiques.
L'idée sous-jacente : les entités financières dépendent aujourd'hui fortement des TIC — de leurs propres systèmes autant que des fournisseurs cloud et des éditeurs de logiciels. DORA déplace l'attention de la seule adéquation des fonds propres vers la question de savoir si un établissement peut résister, signaler et se remettre de perturbations TIC graves. Pour les entités financières, DORA est le régime plus spécifique par rapport à NIS2 (lex specialis) : les organisations relevant de DORA remplissent leurs obligations de cybersécurité principalement dans ce cadre.
Le règlement est précisé par des normes techniques de réglementation et d'exécution (RTS/ITS) des ESAs — par exemple sur le cadre de gestion du risque TIC, la classification des incidents et le registre d'information.
À qui DORA s'applique-t-il — et à qui non ?
DORA s'applique à vous si …
… votre organisation appartient à l'une des quelque 20 catégories d'entités financières couvertes par le règlement. Cela inclut, entre autres :
- Les établissements de crédit, les établissements de paiement et les établissements de monnaie électronique.
- Les entreprises d'investissement, les plates-formes de négociation et les gestionnaires de fonds.
- Les entreprises d'assurance et de réassurance ainsi que les intermédiaires d'assurance de taille importante.
- Les prestataires de services sur crypto-actifs au titre de MiCA.
- Les institutions de retraite professionnelle, les agences de notation de crédit et les prestataires de financement participatif.
… ou si vous fournissez des services TIC à des entités financières — par exemple en tant que fournisseur cloud, éditeur de logiciels ou opérateur de centre de données. Vos clients doivent convenir avec vous de clauses contractuelles conformes à DORA (art. 30) et vous inclure dans leur registre d'information. Les prestataires tiers TIC désignés comme critiques sont en outre soumis à la surveillance directe des ESAs.
DORA suit le principe de proportionnalité : l'étendue et la profondeur des mesures dépendent de la taille, du profil de risque et de la complexité. Un cadre simplifié de gestion du risque TIC s'applique aux microentreprises et à certaines catégories d'établissements.
DORA ne s'applique pas à vous si …
… votre organisation n'est ni une entité financière réglementée, ni un prestataire TIC pour l'une d'elles. Certaines exemptions existent aussi au sein du secteur — par exemple pour les intermédiaires d'assurance en dessous de certains seuils de taille ou les très petites institutions de retraite professionnelle.
La réserve : dès qu'une entité financière figure parmi vos clients, les exigences de DORA vous atteignent indirectement via la gestion du risque lié aux tiers de celle-ci — même sans être vous-même supervisé.
Les cinq piliers de DORA
- Gestion du risque TIC (art. 5–16). Un cadre de gestion du risque documenté avec une responsabilité claire de l'organe de direction : identification des fonctions critiques, mesures de protection et de détection, concepts de sauvegarde et de reprise.
- Gestion et signalement des incidents liés aux TIC (art. 17–23). Les incidents doivent être enregistrés, classés selon des critères uniformes, et les incidents majeurs signalés à l'autorité dans des délais fixés — avec un rapport initial, intermédiaire et final.
- Tests de résilience opérationnelle numérique (art. 24–27). Un programme de tests fondé sur le risque pour toutes les entités ; pour les établissements désignés, des tests de pénétration fondés sur la menace (TLPT) supplémentaires au moins tous les trois ans.
- Gestion du risque lié aux tiers TIC (art. 28–44). Évaluation et surveillance de tous les prestataires TIC, clauses contractuelles obligatoires (art. 30), stratégies de sortie — et le registre d'information couvrant tous les accords contractuels, à fournir au superviseur sur demande et selon un cycle annuel.
- Partage d'informations (art. 45). Échange volontaire d'informations sur les cybermenaces entre entités financières.
Le défi typique de la mise en œuvre de DORA
- Le registre d'information comme chantier permanent. Tenir à jour des centaines de contrats TIC, des chaînes de sous-traitants et des fonctions critiques dans des tableurs est source d'erreurs — et la soumission au superviseur revient chaque année.
- Des délais de signalement sans processus rodé. La question de savoir si un incident est à signaler se décide selon des critères de classification définis — sous la pression du temps. Sans procédures et responsabilités préparées, chaque perturbation devient un projet de crise.
- Un travail redondant à côté des normes existantes. Une grande partie de ce qu'exige DORA existe déjà dans un SMSI ISO 27001 ou dans des preuves C5 — mais est documentée séparément au lieu d'être reliée.
Comment Sightadel simplifie la mise en œuvre de DORA
Sightadel est le portail de conformité de la Pervigon Security Suite. Il représente les exigences de DORA le long des cinq piliers sous la forme d'un catalogue structuré auquel vous associez des mesures, des responsables et des preuves — y compris le registre d'information et les processus d'incident.
DORA avec Sightadel en pratique
- Recenser.Inventorier les fonctions critiques, les systèmes TIC et tous les prestataires TIC ; construire le registre d'information.
- Évaluer.Analyse d'écarts par rapport aux cinq piliers, plan d'action priorisé avec responsables et délais.
- Mettre en œuvre.Documenter le cadre de gestion du risque, mettre en place les processus d'incident et de signalement, planifier le programme de tests, vérifier la conformité des contrats à l'art. 30.
- Maintenir.Tenir le registre à jour, réaliser tests et revues de façon récurrente, et garder les preuves consultables à tout moment pour le superviseur et l'audit interne.
Questions fréquentes sur DORA
La résilience numérique comme un état, pas comme un projet
DORA est une pratique de surveillance vivante depuis janvier 2025 : les soumissions de registre, les signalements d'incidents et les tests reviennent régulièrement. Sightadel maintient votre statut DORA continuellement à jour — structuré, auditable, et sans que chaque demande du superviseur ne déclenche un nouveau projet.