5 août 2025
4 minutes
Pour faire face à la hausse des incidents informatiques et des cyberattaques, la Commission européenne a adopté une réglementation ambitieuse visant à renforcer la résilience numérique du secteur financier : le DORA (Digital Operational Resilience Act).
Adopté en novembre 2022, ce règlement s’appliquera obligatoirement à partir du 17 janvier 2025 dans toute l’Union européenne. Il vise à créer un cadre commun de gestion des risques numériques dans le secteur financier.
Pourquoi la réglementation DORA a-t-elle été mise en place ?
La réglementation DORA répond à plusieurs constats : des cybermenaces de plus en plus fréquentes, des incidents IT aux conséquences majeures sur les marchés financiers, et une législation jusqu'alors fragmentée selon les États membres. L’objectif ? Assurer un haut niveau de sécurité, homogène sur tout le territoire européen, pour préserver la stabilité du système financier et protéger les usagers.
Quels sont les objectifs concrets de DORA ?
DORA vise à :
- Garantir la continuité d’activité en cas de perturbation numérique,
- Renforcer la résilience opérationnelle des systèmes IT critiques,
- Harmoniser les exigences de cybersécurité et de gestion des risques au niveau européen,
- Éviter les effets domino en cas d’incident majeur touchant plusieurs acteurs financiers.
À qui s’applique la réglementation DORA ?
La réglementation DORA s’applique à un grand nombre d'acteurs, allant des banques aux fintechs, en passant par les prestataires de services TIC critiques. Le schéma ci-dessous présente les principales catégories concernées :
.jpg?width=3967&height=1994&name=DORA%20-%20secteurs%20concern%C3%A9s%20(1).jpg)
Les prestataires TIC sous-traitants aussi concernés
DORA impose également des obligations indirectes aux prestataires de services informatiques (cloud, infogérance, solutions SaaS, cybersécurité...). Si leur service est jugé critique, ils peuvent être soumis à des obligations de référencement, d’audit et de transparence vis-à-vis des régulateurs.
Les 5 piliers de la directive DORA
1. Gestion des risques TIC
Définir une politique de gestion des risques IT (cartographie, évaluation, cybersécurité, réaction aux incidents).
2. NOTIFICATIONS DES INCIDENTS MAJEUR
Déclaration obligatoire sous 24h aux autorités compétentes (ACPR, AMF...) + suivi via rapports intermédiaires.
3. TESTS DE Résilience réguliers
Tests de pénétration, simulations de crise, audits supervisés (entités critiques).
4. Maîtrise des risques liés aux prestataires externes
Clauses contractuelles obligatoires, contrôles renforcés, audits possibles par les autorités.
5. PARTAGE DE CYBER-Renseignements
Encouragement à la coopération sectorielle et au renseignement partagé pour améliorer la détection anticipée.
ATTENTION AUX sanctions en cas de NON-CONFORMITé
Les autorités disposent d’un pouvoir renforcé :
- Sanctions financières importantes (jusqu’à plusieurs millions d’euros selon la gravité),
- Suspension temporaire de services,
- Interdiction d’activité ou retrait d’agrément.
Comment se préparer à la mise en conformité DORA ?
La mise en conformité DORA repose sur une approche structurée en 4 étapes clés, alignées avec les exigences du règlement. Voici notre méthode éprouvée :
étape 1 : analyse initiale et cadrage
- Réaliser un gap analysis (analyse d’écart) entre l’existant et les exigences DORA
- Identifier les écarts réglementaires, techniques et organisationnels
- Cadrer le périmètre (entités concernées, activités critiques, prestataires TIC)
- Sensibiliser les parties prenantes internes
Objectif : poser une base claire pour prioriser les actions à mener
étape 2 : définition de la stratégie de conformité
- Définir un plan de mise en conformité DORA basé sur les 5 piliers (gestion des risques TIC, tests, notifications, prestataires, partage)
- Mettre en place une gouvernance dédiée à la conformité réglementaire
- Intégrer les enjeux DORA dans la politique de sécurité et les processus internes
- Identifier les outils et solutions à faire évoluer ou acquérir
Objectif : structurer la démarche de conformité et mobiliser les bons leviers
étape 3 : Mise en œuvre des actions de mise en conformité
- Implémenter les mesures techniques et organisationnelles prévues dans le plan
- Mettre à jour les procédures (ex. : gestion des incidents, relations fournisseurs TIC, plans de continuité)
- Déployer des outils de gestion de crise, supervision, journalisation, tests
- Accompagner les équipes métiers et IT dans la mise en œuvre
Objectif : aligner le fonctionnement opérationnel avec les exigences DORA
étape 4 : Pilotage & amélioration continue
- Mettre en place un pilotage de la conformité avec indicateurs et tableaux de bord
- Réaliser des tests réguliers (résilience, simulations de crise, audit)
- Suivre les évolutions des RTS/ITS publiés par les régulateurs
- Préparer l’organisation aux contrôles des autorités compétentes (ACPR, AMF, ESMA…)
Objectif : garantir une conformité durable, mesurable et auditable
Interdata vous accompagne à chaque étape
Interdata intervient comme partenaire global pour structurer votre démarche DORA, depuis l’analyse initiale jusqu’à la mise en conformité opérationnelle :
- Expertise en cybersécurité, gouvernance IT et réglementation européenne
- Méthodologie éprouvée, outils adaptés, accompagnement sur mesure
Cet article fait partie des catégories
Nis 2
