DORA8 min de lectureMis à jour mars 2026

Exigences de gouvernance DORA : responsabilité de la direction

DORA place une responsabilité directe pour la résilience opérationnelle numérique sur l'organe de direction des entités financières. Cela représente un changement significatif par rapport au traitement des risques TIC comme une question purement technique déléguée aux services informatiques.

Robin Coste

•

Co-founder

Robin is a co-founder of Bastion, bringing extensive experience in compliance automation and security strategy. Previously, he led compliance as a tech lead at Palantir. He helps startups navigate the complexities of SOC 2 and ISO 27001 certification.

SOC 2ISO 27001Compliance AutomationSecurity Strategy

Les membres du conseil, les dirigeants et les cadres supérieurs doivent maintenant s'engager activement dans la gestion des risques TIC, suivre une formation et assumer une responsabilité personnelle pour la résilience numérique de leur organisation.

Points clés

Point	Résumé
Propriété de l'organe de direction	Le conseil/l'équipe dirigeante doit définir, approuver et superviser le cadre de risques TIC
Responsabilité personnelle	Responsabilité individuelle pour les membres de l'organe de direction
Exigence de formation	Les dirigeants doivent suivre une formation régulière sur les risques TIC
Allocation des ressources	La direction doit assurer un budget et un personnel TIC adéquats
Supervision active	Revue régulière des questions TIC, pas de délégation passive

Réponse rapide : DORA exige que l'organe de direction (conseil d'administration, direction générale ou équivalent) assume une responsabilité directe pour la gestion des risques TIC. Cela inclut l'approbation du cadre de risques TIC, l'assurance de ressources adéquates, le suivi d'une formation pour comprendre les risques TIC, et la supervision active de la mise en œuvre. Les membres individuels peuvent être tenus personnellement responsables en cas de défaillance, avec des sanctions potentielles jusqu'à 1 million d'euros par individu.

Qui est l'organe de direction ?

Les exigences de gouvernance de DORA s'appliquent à « l'organe de direction », défini conformément à la législation sectorielle :

Secteur	Organe de direction
Banques (CRD)	Conseil d'administration, direction générale
Entreprises d'investissement (MiFID II)	Organe de gouvernance
Assureurs (Solvabilité II)	Organe d'administration, de gestion ou de surveillance
Établissements de paiement (DSP2)	Administrateurs, dirigeants
Autres entités	Organe de gouvernance équivalent

En pratique, cela désigne le conseil d'administration et l'équipe de direction.

Responsabilités fondamentales de gouvernance

Propriété du cadre

L'organe de direction doit :

Responsabilité	Description
Définir	Établir l'approche globale de gestion des risques TIC
Approuver	Approuver formellement le cadre de gestion des risques TIC
Superviser	Superviser activement la mise en œuvre du cadre
Être responsable	Assumer la responsabilité de son efficacité

Cela ne peut pas être entièrement délégué. Bien que la gestion quotidienne puisse être assignée à d'autres, l'organe de direction conserve la responsabilité ultime.

Cadre de gestion des risques TIC

Obligations spécifiques de l'organe de direction concernant le cadre :

Obligation	Détails
Fixer les objectifs	Définir les objectifs de résilience opérationnelle numérique
Approuver les politiques	Approuver la politique de gestion des risques TIC
Revoir le cadre	Revoir régulièrement l'efficacité du cadre
Approuver les arrangements	Approuver l'utilisation de services TIC pour les fonctions critiques
Désigner les responsabilités	Assurer des rôles clairs pour la gestion des risques TIC

Allocation des ressources

L'organe de direction doit assurer des ressources adéquates :

Ressource	Considération
Budget	Dépenses suffisantes en sécurité TIC
Personnel	Personnel approprié pour la gestion des risques TIC
Formation	Investissement dans les compétences du personnel
Outils	Technologies de sécurité et de surveillance
Support externe	Accès à l'expertise si nécessaire

Continuité d'activité

Obligations spécifiques pour la continuité d'activité :

Approuver la politique de continuité d'activité TIC
S'assurer que les plans de continuité sont en place
Revoir les résultats des tests
Superviser les arrangements de gestion de crise

Exigences de formation

Formation de l'organe de direction

DORA exige explicitement que les membres de l'organe de direction :

« Maintiennent activement à jour des connaissances et compétences suffisantes pour comprendre et évaluer les risques TIC et leur impact sur les opérations de l'entité financière. »

Cela signifie une formation régulière sur :

Sujet	Couverture
Paysage des risques TIC	Menaces et vulnérabilités actuelles
Exigences réglementaires	Obligations DORA et évolutions
Tendances technologiques	Changements technologiques pertinents
Leçons des incidents	Apprentissage des incidents du secteur

Format de la formation

La formation peut inclure :

Briefings au niveau du conseil par la direction TIC
Présentations d'experts externes
Conférences et événements de l'industrie
Programmes de formation formels
Exercices de scénarios et simulations

Documentation

Maintenez des preuves de la formation de l'organe de direction :

Registres de formation
Procès-verbaux de réunions reflétant les discussions TIC
Participation à des événements pertinents
Qualifications et certifications

Supervision et reporting

Reporting des risques TIC à la direction

L'organe de direction devrait recevoir un reporting régulier sur :

Sujet	Fréquence
Statut des risques TIC	Trimestriellement ou plus fréquemment
Incidents majeurs	Immédiatement et dans les mises à jour régulières
Résultats des tests	Après les tests significatifs
Risques tiers	Mises à jour régulières, changements significatifs
Statut de conformité	Reporting périodique de conformité
Conclusions d'audit	Après les audits internes/externes

Points à l'ordre du jour du conseil

Les risques TIC devraient être un point régulier à l'ordre du jour du conseil :

Revue des métriques et tendances des risques TIC
Revues des incidents significatifs
Mises à jour sur les risques tiers
Résultats des tests et audits
Discussions sur les ressources et le budget
Évolutions réglementaires

Documentation des décisions

Documentez les décisions de l'organe de direction sur les questions TIC :

Approbations de politiques
Allocations de ressources
Décisions d'acceptation des risques
Arrangements avec les tiers
Modifications du cadre

Structure organisationnelle

Fonction de gestion des risques TIC

Pour les non-microentreprises, DORA exige une fonction de gestion des risques TIC qui est :

Indépendante des fonctions TIC opérationnelles
Dotée d'un personnel et de ressources adéquats
Capable de rendre compte directement à la direction

Lignes de reporting

Lignes de reporting claires pour les questions de risques TIC :

Text

1Organe de direction
2       ↑
3   Rapports sur les risques TIC
4       ↑
5Fonction de gestion des risques TIC
6       ↑
7   Informations de
8       ↑
9Opérations TIC, Sécurité, Gestion des tiers

Rôles et responsabilités

Définissez des responsabilités claires pour :

Rôle	Responsabilités typiques
Conseil/CEO	Responsabilité ultime, approbation du cadre
CTO/DSI	Stratégie TIC, supervision opérationnelle
RSSI/Responsable sécurité	Contrôles de sécurité, réponse aux incidents
Risque/Conformité	Cadre de risques, conformité réglementaire
Opérations TIC	Gestion quotidienne des systèmes

Responsabilité personnelle

Responsabilité individuelle

DORA crée une responsabilité personnelle pour les membres de l'organe de direction :

Base de responsabilité	Description
Défaillances du cadre	Défaut d'approbation ou de supervision d'un cadre adéquat
Défaillances de ressources	Défaut d'allocation de ressources adéquates
Défaillances de formation	Défaut de maintien des connaissances sur les risques TIC
Défaillances de supervision	Défaut de supervision active de la mise en œuvre

Conséquences potentielles

Les sanctions individuelles peuvent inclure :

Conséquence	Description
Sanctions financières	Jusqu'à 1 million d'euros par individu
Interdictions temporaires	Interdiction de fonctions de direction
Dommage réputationnel	Déclarations publiques identifiant les individus
Attention réglementaire	Surveillance renforcée de l'individu

Assurance D&O

Les administrateurs devraient revoir leur couverture d'assurance D&O concernant :

Les réclamations liées à DORA
Les coûts d'enquête réglementaire
Les frais de défense
Les limitations et exclusions

Mise en œuvre pratique

Éducation du conseil

Commencez par l'éducation de l'organe de direction :

Briefez le conseil sur les exigences DORA et leurs implications
Expliquez les dispositions de responsabilité personnelle
Définissez ce que signifie la supervision active en pratique
Établissez une cadence de formation continue

Améliorations de la gouvernance

Envisagez des changements structurels :

Amélioration	Objectif
Comité des risques TIC	Focus dédié sur les questions TIC
Expertise TIC au conseil	Membre avec un parcours TIC
Point régulier à l'ordre du jour	Discussion cohérente des risques TIC
Chemins d'escalade clairs	Déclencheurs définis pour l'attention du conseil

Pratiques de documentation

Maintenez une documentation robuste :

Procès-verbaux du conseil reflétant les discussions TIC
Registres d'approbation des politiques et cadres
Registres de formation pour l'organe de direction
Justifications des décisions pour les choix significatifs

Questions fréquentes

Peut-on déléguer entièrement la gestion des risques TIC au CTO ?

Non. Bien que la gestion quotidienne puisse être déléguée, l'organe de direction conserve la responsabilité ultime du cadre. La supervision active, l'approbation et l'allocation des ressources restent des responsabilités de l'organe de direction.

À quelle fréquence le conseil devrait-il discuter des risques TIC ?

Les risques TIC devraient être un point régulier à l'ordre du jour, au minimum trimestriellement. Les incidents ou changements significatifs justifient une attention immédiate du conseil.

Quelle formation est requise ?

DORA exige que les membres de l'organe de direction maintiennent des « connaissances et compétences suffisantes » pour comprendre les risques TIC. La formation spécifique dépend du parcours individuel et de la complexité de l'entité, mais des mises à jour régulières sont essentielles.

Cela s'applique-t-il aux administrateurs non exécutifs ?

Oui. Tous les membres de l'organe de direction partagent la responsabilité de la gestion des risques TIC, y compris les administrateurs non exécutifs. Ils doivent être suffisamment informés pour assurer une supervision efficace.

Comment démontrer la conformité ?

Maintenez des preuves des activités de gouvernance : procès-verbaux de réunions, registres de formation, documents d'approbation, supports de reporting et documentation des décisions. Les régulateurs peuvent demander ces preuves lors des examens.

Comment Bastion peut vous aider

Bastion accompagne les organes de direction pour répondre aux exigences de gouvernance DORA :

Briefings au conseil : Présentations au niveau exécutif sur les obligations DORA
Programmes de formation : Formation sur mesure pour les membres de l'organe de direction
Conception de la gouvernance : Établissement de structures de supervision appropriées
Cadres de reporting : Conception du reporting des risques TIC à la direction
Documentation : Support pour la documentation de gouvernance

Prêt à renforcer votre gouvernance des risques TIC ? Parlez à notre équipe

Sources

Article 5 de DORA - Gouvernance et organisation
Article 13 de DORA - Apprentissage et évolution
Articles 50-52 de DORA - Dispositions sur les sanctions et la responsabilité

← PrécédentDORA pour les fintechs et startups : ce que vous devez savoir Suivant →Registre d'informations DORA : exigences et préparation

Retour aux guides DORA

Bastion Platform

AI Compliance

All-in-One Security

Security Engineers

Tackle more frameworks without more effort.

Wall of Trust

Case Studies

By Company Size

By Industry

Blog

Learn Compliance

Developer

Company