Les cinq piliers de DORA : les exigences fondamentales expliquées
DORA est structuré autour de cinq piliers interconnectés qui forment ensemble un cadre complet pour la résilience opérationnelle numérique. Chaque pilier traite d'un aspect spécifique de la gestion des risques TIC, de la gouvernance interne au partage d'informations externe.
Comprendre ces cinq piliers est essentiel pour planifier votre approche de conformité. Bien qu'il s'agisse de domaines distincts, ils se renforcent mutuellement. Un signalement efficace des incidents dépend de capacités de détection robustes ; les tests de résilience valident votre cadre de gestion des risques ; et la surveillance des tiers nécessite de comprendre d'abord votre propre paysage TIC.
Points clés
| Point | Résumé |
|---|---|
| Cinq piliers | Gestion des risques TIC, signalement des incidents, tests de résilience, risques tiers et partage d'informations |
| Interconnectés | Chaque pilier s'appuie sur les autres et les renforce |
| Obligatoires | Les quatre premiers piliers sont obligatoires ; le partage d'informations est volontaire mais encouragé |
| Proportionnés | La profondeur de mise en œuvre varie selon la taille de l'entité et son profil de risque |
| Responsabilité de la direction | La direction doit approuver et superviser la mise en œuvre des piliers |
Réponse rapide : DORA exige des entités financières qu'elles mettent en œuvre des mesures dans cinq piliers : gestion des risques TIC (gouvernance et contrôles), signalement des incidents (détection et notification), tests de résilience (évaluations de vulnérabilité et tests de pénétration), gestion des risques tiers (surveillance des fournisseurs et contrats), et partage d'informations (échange de renseignements sur les menaces). Les cinq piliers doivent être traités, mais de manière proportionnée à la taille et à la complexité de votre organisation.
Les cinq piliers de DORA sont :
- Gestion des risques TIC
- Signalement des incidents TIC
- Tests de résilience opérationnelle numérique
- Gestion des risques TIC liés aux tiers
- Partage d'informations
Pilier 1 : Gestion des risques TIC
Le fondement de la conformité DORA est un cadre complet de gestion des risques TIC. Cela va au-delà de la sécurité de l'information traditionnelle pour englober le cycle de vie complet de l'identification, la protection, la détection, la réponse et la reprise face aux perturbations liées aux TIC.
Exigences fondamentales
| Exigence | Description |
|---|---|
| Cadre de gestion des risques TIC | Stratégies, politiques et procédures documentées pour gérer les risques TIC |
| Gouvernance | Rôles et responsabilités clairs, avec responsabilité de l'organe de direction |
| Identification | Inventaire des actifs TIC, évaluations des risques et identification des vulnérabilités |
| Protection | Mesures techniques et organisationnelles incluant contrôle d'accès, chiffrement et sécurité réseau |
| Détection | Capacités de surveillance pour identifier les anomalies et incidents potentiels |
| Réponse et reprise | Procédures de réponse aux incidents et plans de continuité d'activité |
Responsabilité de la direction
DORA place une responsabilité directe sur l'organe de direction (conseil d'administration ou équivalent). La direction doit :
- Définir, approuver et superviser le cadre de gestion des risques TIC
- Assurer un budget et des ressources TIC adéquats
- Approuver les arrangements pour les services TIC supportant les fonctions critiques
- Suivre une formation régulière pour comprendre les risques TIC
- Revoir et approuver les politiques liées aux TIC
Cela représente un changement significatif par rapport au traitement des risques TIC comme une question purement technique déléguée aux services IT.
Pour des orientations détaillées, consultez notre article sur la Gestion des risques TIC.
Pilier 2 : Signalement des incidents TIC
DORA établit un cadre harmonisé de signalement des incidents qui exige des entités financières qu'elles détectent, classifient et signalent les incidents majeurs liés aux TIC dans des délais stricts.
Classification des incidents
Les entités financières doivent classifier les incidents liés aux TIC selon des critères incluant :
| Critère | Considération |
|---|---|
| Nombre de clients affectés | Ampleur de l'impact |
| Durée | Combien de temps l'incident persiste |
| Étendue géographique | Implications transfrontalières |
| Pertes de données | Impact sur l'intégrité ou la confidentialité des données |
| Criticité du service | Si des fonctions critiques sont affectées |
| Impact économique | Pertes financières encourues |
Calendrier de signalement
Les incidents majeurs doivent être signalés en trois étapes :
| Étape | Délai | Contenu |
|---|---|---|
| Notification initiale | Dans les 4 heures suivant la classification comme majeur (et au plus tard 24 heures après détection) | Détails de base de l'incident, systèmes affectés, évaluation initiale de l'impact |
| Rapport intermédiaire | 72 heures après la notification initiale | Analyse des causes profondes (si disponible), périmètre complet de l'impact, mesures de reprise |
| Rapport final | 1 mois après le dernier rapport intermédiaire | Analyse complète des causes profondes, actions correctives, leçons apprises |
Notification aux clients
Lorsqu'un incident majeur affecte les intérêts financiers des clients, les entités doivent informer les clients concernés sans délai excessif, incluant les mesures que les clients peuvent prendre pour atténuer l'impact.
Pour des orientations détaillées, consultez notre article sur le Signalement des incidents.
Pilier 3 : Tests de résilience opérationnelle numérique
DORA impose des tests réguliers pour valider que les systèmes et processus TIC peuvent résister aux perturbations. Les exigences de tests s'échelonnent selon la taille de l'entité et son importance systémique.
Exigences de tests par type d'entité
| Type d'entité | Tests requis |
|---|---|
| Toutes les entités concernées | Évaluations de vulnérabilité, tests de sécurité réseau, analyses d'écarts, tests de sécurité logicielle |
| Non-microentreprises | Programme de tests annuel couvrant tous les systèmes TIC critiques |
| Entités significatives/d'importance systémique | Tests de pénétration guidés par les menaces (TLPT) au moins tous les 3 ans |
Tests de pénétration guidés par les menaces (TLPT)
Le TLPT est une forme de test guidée par le renseignement qui simule des scénarios d'attaque réels :
- Périmètre : Systèmes de production en direct supportant les fonctions critiques
- Méthodologie : Exercices red team basés sur les renseignements actuels sur les menaces
- Inclusion des tiers : Les prestataires TIC supportant les fonctions critiques doivent participer
- Fréquence : Au moins tous les 3 ans pour les entités désignées
- Exigence externe : Un TLPT sur trois doit utiliser des testeurs externes
Le TLPT diffère des tests de pénétration traditionnels par son périmètre (organisation entière vs systèmes spécifiques) et son approche (guidée par le renseignement sur les menaces vs scan de vulnérabilités).
Pour des orientations détaillées, consultez notre article sur les Tests de résilience.
Pilier 4 : Gestion des risques TIC liés aux tiers
Reconnaissant que la résilience du secteur financier dépend des chaînes d'approvisionnement technologiques, DORA établit des exigences complètes pour la gestion des prestataires TIC tiers.
Exigences clés
| Exigence | Description |
|---|---|
| Stratégie | Stratégie documentée pour les risques TIC tiers, incluant politique pour les fonctions critiques/importantes |
| Due diligence | Évaluation pré-contractuelle des prestataires potentiels |
| Exigences contractuelles | Dispositions obligatoires dans tous les accords de services TIC |
| Registre d'informations | Registre complet de tous les arrangements TIC tiers |
| Surveillance | Suivi continu de la performance et des risques des prestataires |
| Planification de sortie | Stratégies de sortie pour tous les services TIC, en particulier les fonctions critiques |
Registre d'informations (RoI)
Les entités financières doivent maintenir un registre documentant tous les arrangements TIC tiers. Ce registre sert de :
- Outil de surveillance interne pour les risques TIC tiers
- Source d'information pour les autorités de surveillance
- Donnée d'entrée pour la désignation des prestataires tiers TIC critiques
Le RoI doit être soumis aux régulateurs, avec les premières soumissions prévues en 2025/2026.
Prestataires tiers TIC critiques
Les prestataires désignés comme critiques font face à une surveillance directe de l'UE via des équipes d'examen conjointes. Les critères de désignation incluent l'importance systémique, le risque de concentration et l'impact potentiel sur la stabilité financière.
Pour des orientations détaillées, consultez notre article sur la Gestion des risques tiers.
Pilier 5 : Partage d'informations et de renseignements
Le cinquième pilier de DORA encourage (mais n'impose pas) les entités financières à partager des renseignements sur les cybermenaces et des informations sur les incidents liés aux TIC.
Cadre volontaire
| Élément | Description |
|---|---|
| Participation | Arrangements volontaires entre entités financières |
| Contenu | Indicateurs de compromission, tactiques et techniques, alertes de sécurité, outils de mitigation |
| Garanties | Doit protéger la confidentialité commerciale et les données personnelles |
| Communautés de confiance | Partage entre entités ayant des intérêts et profils de risque compatibles |
Avantages
Le partage d'informations aide les entités financières à :
- Identifier les menaces émergentes plus tôt
- Apprendre des incidents affectant leurs pairs
- Améliorer les capacités de défense collective
- Réduire la duplication des efforts d'analyse des menaces
Notification réglementaire
Les entités financières participant à des arrangements de partage d'informations doivent notifier leur autorité compétente. Les autorités de surveillance peuvent elles-mêmes partager des informations pertinentes sur les cybermenaces avec les entités financières.
Pour des orientations détaillées, consultez notre article sur le Partage d'informations.
Comment les piliers fonctionnent ensemble
Les cinq piliers forment une approche intégrée de la résilience opérationnelle numérique :
Gestion des risques TIC (Pilier 1)
↓
Identifie les risques et établit les contrôles
↓
Tests de résilience (Pilier 3) ←→ Risques tiers (Pilier 4)
↓ ↓
Valide les contrôles Étend à la chaîne d'approvisionnement
↓ ↓
Signalement des incidents (Pilier 2)
↓
Capture les leçons apprises
↓
Partage d'informations (Pilier 5)
↓
Améliore la résilience collectiveUn incident découvert via la surveillance (Pilier 1) déclenche des obligations de signalement (Pilier 2). Les tests (Pilier 3) peuvent révéler des lacunes de contrôle à traiter. La surveillance des tiers (Pilier 4) garantit que votre chaîne d'approvisionnement ne compromet pas votre résilience. Le partage d'informations (Pilier 5) permet au secteur d'apprendre collectivement.
Priorités de mise en œuvre
Pour la plupart des entités financières, nous recommandons d'aborder les piliers dans cet ordre :
| Priorité | Pilier | Justification |
|---|---|---|
| 1 | Gestion des risques TIC | Fondement de tous les autres piliers |
| 2 | Gestion des risques tiers | Le Registre d'informations a des échéances précoces |
| 3 | Signalement des incidents | Obligation immédiate dès que DORA s'applique |
| 4 | Tests de résilience | S'appuie sur le cadre établi |
| 5 | Partage d'informations | À considérer une fois les piliers principaux matures |
Cependant, les priorités spécifiques peuvent varier selon votre maturité actuelle et vos lacunes.
Questions fréquentes
Les cinq piliers sont-ils tous obligatoires ?
Les quatre premiers piliers (gestion des risques TIC, signalement des incidents, tests de résilience et gestion des risques tiers) sont obligatoires. Le partage d'informations (Pilier 5) est volontaire mais encouragé.
Peut-on traiter les piliers séquentiellement ?
Bien que les piliers soient interconnectés, vous pouvez prioriser selon les lacunes et les échéances. La gestion des risques TIC est fondamentale et doit venir en premier. Le signalement des incidents doit être en place dès le premier jour. Le Registre d'informations a des délais de soumission spécifiques.
Comment les piliers se rapportent-ils à ISO 27001 ?
ISO 27001 offre une bonne couverture pour les Piliers 1 et 4, et une couverture partielle pour les Piliers 2 et 3. Cependant, DORA a des exigences spécifiques qui vont au-delà d'ISO 27001, notamment autour des délais de signalement des incidents et du TLPT.
Les microentreprises doivent-elles traiter tous les piliers ?
Oui, mais avec une mise en œuvre proportionnée. Les microentreprises bénéficient d'exigences simplifiées, notamment pour le Pilier 1 (gestion des risques TIC) et le Pilier 3 (tests).
Comment Bastion peut vous aider
Bastion fournit un accompagnement de bout en bout sur les cinq piliers de DORA :
- Pilier 1 : Développement et documentation du cadre de gestion des risques TIC
- Pilier 2 : Planification de la réponse aux incidents et conception des procédures de signalement
- Pilier 3 : Coordination des tests de pénétration et préparation au TLPT
- Pilier 4 : Évaluation des risques tiers et préparation du Registre d'informations
- Pilier 5 : Conseils sur la participation au partage d'informations
Prêt à traiter les cinq piliers de DORA ? Parlez à notre équipe
Sources
- Chapitres II-V de DORA - Texte officiel couvrant les cinq piliers
- Normes techniques conjointes des AES - Normes techniques de mise en œuvre
- Aperçu DORA de l'EIOPA - Orientations de surveillance sur la mise en œuvre des piliers