DORA Finance 2025 : Plateforme Conformité Banques & Assurances

DORA actif depuis 17 janvier 2025 : plateforme GRC pour piloter votre conformité. Gestion risques TIC, incidents 4h, registre tiers critiques, TLPT pour DSI/RSSI banques & assurances. Réservez votre RDV gratuit 20min.

Réserver RDV gratuit

Qu'est-ce que le Règlement DORA ?

Le Digital Operational Resilience Act (DORA) est un règlement européen entré en application le 17 janvier 2025. Il établit un cadre unifié de résilience opérationnelle numérique pour l'ensemble du secteur financier européen. DORA vise à garantir que les entités financières peuvent résister, répondre et se remettre de tous types d'incidents liés aux TIC (Technologies de l'Information et de la Communication).

DORA harmonise les exigences de cybersécurité et de résilience opérationnelle qui étaient jusqu'à présent fragmentées entre différentes réglementations sectorielles. Il met particulièrement l'accent sur la gestion des risques liés aux prestataires tiers de services TIC (cloud, infogérance, fournisseurs de logiciels).

Application de DORA

  • 17 janvier 2023 : Entrée en vigueur du règlement
  • 17 janvier 2025 : Date d'application obligatoire (c'est maintenant !)
  • Depuis janvier 2025 : Toutes les entités financières doivent être conformes
  • 2025-2026 : Premières inspections et contrôles des superviseurs

Sanctions DORA

Le non-respect de DORA expose les entités financières à des sanctions administratives pouvant atteindre :

  • Pour les personnes morales : jusqu'à 10 millions d'euros ou 5% du chiffre d'affaires annuel mondial (le montant le plus élevé)
  • Pour les personnes physiques (dirigeants) : jusqu'à 1 million d'euros
  • Mesures administratives : interdiction temporaire d'activité, suspension de l'agrément
  • Publication des sanctions (impact réputationnel majeur)

Quelles Entités sont Soumises à DORA ?

DORA s'applique à plus de 22 000 entités financières dans l'Union Européenne :

Établissements de crédit et financiers

  • Banques et établissements de crédit
  • Établissements de paiement et de monnaie électronique
  • Entreprises d'investissement et courtiers
  • Plateformes de trading (MTF, OTF)
  • Dépositaires centraux de titres

Assurance et réassurance

  • Compagnies d'assurance et de réassurance
  • Intermédiaires en assurance
  • Institutions de retraite professionnelle (IRP)

Gestion d'actifs

  • Sociétés de gestion d'OPCVM et de FIA
  • Gestionnaires de fonds d'investissement alternatifs
  • Dépositaires et conservateurs de titres

Autres entités financières

  • Agences de notation de crédit
  • Administrateurs d'indices de référence critiques
  • Prestataires de services sur crypto-actifs
  • Entreprises de financement participatif

Prestataires tiers de services TIC critiques

DORA s'applique également aux fournisseurs tiers de services TIC (cloud, infogérance, logiciels, data centers) considérés comme critiques. Ils doivent être enregistrés auprès de l'autorité européenne de surveillance et sont soumis à des contrôles directs.

Les 5 Piliers du Règlement DORA

1

Gestion des risques liés aux TIC

Mettre en place un cadre complet et documenté de gestion des risques liés aux TIC, proportionné à la taille et au profil de risque de l'entité.

  • • Stratégies, politiques et procédures de gestion des risques TIC
  • • Identification, évaluation et traitement des risques TIC
  • • Mesures de protection et de prévention (contrôles de sécurité)
  • • Cartographie complète des systèmes TIC critiques et sensibles
  • • Revue annuelle du cadre de gestion des risques TIC
  • • Responsabilité de l'organe de direction sur la résilience numérique
2

Gestion, classification et notification des incidents

Détecter, gérer et notifier les incidents liés aux TIC de manière structurée et dans les délais impartis.

  • • Processus de détection et de surveillance des incidents TIC
  • • Classification des incidents selon leur gravité (majeur, significatif, mineur)
  • • Notification initiale des incidents majeurs sous 4 heures
  • • Rapport intermédiaire sous 72 heures (analyse de l'impact)
  • • Rapport final dans le mois suivant (causes, actions correctives)
  • • Registre centralisé de tous les incidents TIC
  • • Notification aux clients et autorités compétentes
3

Tests de résilience opérationnelle numérique

Réaliser des tests réguliers pour évaluer la capacité de résistance et de récupération face aux incidents TIC.

  • • Programme de tests adapté au profil de risque (tests de base obligatoires pour tous)
  • Tests basiques : analyses de vulnérabilités, scans réseau, tests de continuité
  • Tests avancés (entités critiques) : Threat-Led Penetration Testing (TLPT) tous les 3 ans
  • • Tests de plans de continuité d'activité (BCP) et de reprise d'activité (DRP)
  • • Tests de sauvegarde et de restauration des données
  • • Documentation et remédiation des failles identifiées
4

Gestion du risque lié aux prestataires tiers TIC

Encadrer et surveiller les prestataires tiers de services TIC, en particulier pour les fonctions critiques ou importantes externalisées.

  • • Stratégie de gestion des risques liés aux prestataires tiers
  • • Registre complet de tous les prestataires tiers TIC
  • • Identification des fonctions TIC critiques ou importantes externalisées
  • • Évaluation préalable des prestataires (due diligence)
  • • Clauses contractuelles DORA obligatoires dans les contrats d'externalisation
  • • Droits d'audit et d'accès aux informations du prestataire
  • • Stratégies de sortie et plans de réversibilité
  • • Surveillance continue des prestataires critiques
  • • Gestion du risque de concentration (éviter la dépendance excessive)
5

Partage d'informations sur les menaces cyber

Échanger des renseignements sur les cybermenaces et les vulnérabilités avec d'autres entités financières.

  • • Participation à des communautés de partage de renseignements (CTI)
  • • Échange volontaire d'informations sur les menaces, tactiques et indicateurs de compromission
  • • Respect de la confidentialité et des règles de protection des données
  • • Contribution à l'amélioration collective de la résilience du secteur financier

8 Étapes pour la Conformité DORA

1

Gap analysis DORA

Évaluez votre niveau de conformité actuel aux 5 piliers de DORA. Identifiez les écarts par rapport aux exigences réglementaires et priorisez les actions.

2

Cartographie des actifs TIC et identification des fonctions critiques

Recensez tous vos systèmes TIC, applications, infrastructures, données. Identifiez les fonctions TIC critiques ou importantes pour votre activité.

3

Établir le cadre de gestion des risques TIC

Définissez votre stratégie, vos politiques et vos procédures de gestion des risques TIC. Désignez les responsabilités au niveau de la direction.

4

Mettre en place la gestion et notification des incidents

Créez votre processus de détection, classification et notification des incidents TIC. Implémentez les outils de monitoring et d'alerte. Formez les équipes aux délais de notification.

5

Déployer le programme de tests de résilience

Planifiez et réalisez vos tests de résilience : analyses de vulnérabilités, pentests, tests de continuité. Pour les entités critiques, préparez les TLPT triennaux.

6

Gérer le risque tiers

Créez votre registre des prestataires tiers TIC. Identifiez les fonctions critiques externalisées. Renegociez les contrats pour inclure les clauses DORA. Évaluez vos prestataires critiques.

7

Organiser la gouvernance et la formation

Impliquez l'organe de direction (formation spécifique obligatoire). Définissez les rôles et responsabilités. Formez les collaborateurs aux exigences DORA.

8

Documenter et préparer les contrôles

Rassemblez toutes les preuves de conformité : politiques, procédures, registres, rapports de tests, contrats. Préparez-vous aux inspections des superviseurs (ACPR, BCE).

⚠ DORA est applicable depuis le 17 janvier 2025 !

Toutes les entités financières doivent déjà être conformes. Les superviseurs peuvent réaliser des contrôles à tout moment. Si vous n'êtes pas encore conforme, agissez immédiatement pour éviter des sanctions.

Comment OwlCub Simplifie Votre Conformité DORA

Cartographie des actifs TIC et fonctions critiques

Inventaire complet de vos systèmes TIC, applications, infrastructures. Identification automatique des fonctions critiques selon les critères DORA.

Cadre de gestion des risques TIC

Méthodologie guidée pour l'évaluation des risques TIC. Suivi des mesures de traitement des risques. Tableaux de bord pour la direction.

Gestion et notification des incidents TIC

Workflow complet de gestion des incidents avec classification automatique. Alertes sur les délais de notification (4h, 72h, 1 mois). Registre centralisé.

Programme de tests de résilience

Planification et suivi des tests de résilience (vulnérabilités, pentests, BCP/DRP). Gestion des TLPT pour entités critiques. Documentation des résultats.

Registre des prestataires tiers TIC

Cartographie complète de vos prestataires TIC avec niveau de criticité. Due diligence guidée. Vérification des clauses contractuelles DORA. Suivi des audits.

Reporting réglementaire automatisé

Génération automatique des rapports pour les superviseurs (ACPR, BCE). Tableaux de bord de pilotage de la conformité DORA. Preuves d'audit centralisées.

Réserver ma démo DORA

Questions Fréquentes sur DORA

DORA s'applique-t-il aux filiales hors UE des groupes financiers européens ?

DORA s'applique aux entités financières établies dans l'Union Européenne. Les filiales hors UE ne sont pas directement soumises à DORA, mais les groupes financiers doivent néanmoins assurer une gestion consolidée des risques TIC au niveau du groupe. De plus, si des fonctions TIC critiques sont externalisées vers des filiales hors UE, le groupe doit garantir le même niveau de résilience et conserver ses droits d'audit. En pratique, beaucoup de groupes appliquent DORA à l'ensemble de leurs filiales pour harmoniser leur gouvernance.

Quelle est la différence entre DORA et NIS2 pour une banque ?

DORA est un règlement sectoriel spécifique au secteur financier, très détaillé sur les exigences de résilience TIC (notification d'incidents, tests TLPT, gestion des tiers). NIS2 est une directive horizontale qui s'applique à tous les secteurs (y compris finance). Pour les entités financières, DORA prévaut : elles ne sont pas soumises aux chapitres sécurité de NIS2 si elles respectent DORA (principe de lex specialis). En revanche, certaines obligations NIS2 peuvent s'appliquer en complément (par exemple sur la gouvernance). Concrètement, une banque doit se concentrer sur DORA en priorité.

Qu'est-ce qu'un TLPT et qui doit le réaliser ?

Le Threat-Led Penetration Testing (TLPT) est un test d'intrusion avancé piloté par les menaces réelles. Il simule une attaque sophistiquée (type APT) sur vos systèmes critiques, en reproduisant les tactiques, techniques et procédures (TTP) d'attaquants réels. Le TLPT doit être réalisé par des équipes externes indépendantes (Red Team) avec observation par une équipe interne (Blue Team). DORA impose les TLPT aux entités financières de grande taille et aux infrastructures de marché critiques, avec une fréquence d'au moins tous les 3 ans. Les autres entités peuvent se limiter à des tests de sécurité de base (scans, pentests classiques).

Comment gérer le risque de concentration des prestataires tiers ?

DORA impose de prendre en compte le risque de concentration, c'est-à-dire la dépendance excessive envers un petit nombre de prestataires TIC critiques (par exemple, tous vos systèmes hébergés chez le même cloud provider). Pour le gérer : (1) Identifiez vos prestataires critiques et évaluez votre niveau de dépendance. (2) Évaluez les impacts d'une défaillance de chaque prestataire. (3) Mettez en place des stratégies d'atténuation : multi-cloud, réversibilité facilitée, plans de continuité alternatifs. (4) Documentez votre stratégie de gestion du risque de concentration dans votre cadre de gestion des risques TIC. (5) Rapportez ce risque à votre superviseur si demandé.

Quelles clauses contractuelles DORA sont obligatoires avec les prestataires ?

Pour les contrats d'externalisation de fonctions TIC critiques ou importantes, DORA impose plusieurs clauses obligatoires : (1) Description claire du service et niveau de performance attendu (SLA). (2) Localisation des données (EU de préférence) et interdiction de sous-traiter sans accord. (3) Droits d'accès, d'inspection et d'audit pour l'entité financière et le superviseur. (4) Notification immédiate des incidents de sécurité affectant le service. (5) Stratégies de sortie et plans de réversibilité détaillés. (6) Droit de résiliation en cas de non-conformité grave. (7) Respect des normes de sécurité et de confidentialité. Ces clauses doivent être négociées avant la signature du contrat. Les contrats existants doivent être renégociés pour être conformes à DORA.

Quelles sont les sanctions réelles en cas de non-conformité DORA ?

Les sanctions DORA sont appliquées par les superviseurs nationaux (en France : ACPR pour les banques et assurances, AMF pour les marchés financiers). Elles peuvent atteindre 10 millions d'euros ou 5% du CA annuel mondial pour les personnes morales. Les dirigeants peuvent être sanctionnés à titre personnel (jusqu'à 1 million d'euros). Au-delà des amendes, les superviseurs peuvent prendre des mesures administratives : interdiction temporaire d'exercer certaines activités, suspension d'un agrément, injonction de cesser certaines pratiques, publication de la sanction (impact réputationnel majeur). Les premières inspections DORA ont débuté en 2025, et les superviseurs ont annoncé qu'ils feraient preuve de fermeté, tout en tenant compte de la proportionnalité et de la bonne foi des entités.

À lire aussi

📖 GRC Cybersécurité : Guide Complet 2026💶 Voir les tarifs OwlCub

Assurez Votre Conformité DORA Maintenant

OwlCub vous accompagne dans la mise en œuvre et le maintien de votre conformité au règlement DORA.

Réserver mon RDV gratuit