Qu'est-ce que DORA ? Le Digital Operational Resilience Act expliqué
Le Digital Operational Resilience Act (DORA) est un règlement européen qui établit un cadre unifié pour la gestion des risques liés aux TIC (Technologies de l'Information et de la Communication) dans le secteur financier. Si vous opérez une fintech, fournissez des services aux banques, ou travaillez dans l'assurance, l'investissement ou la crypto, DORA s'applique probablement à vous.
DORA est pleinement applicable depuis le 17 janvier 2025, marquant un tournant majeur dans la façon dont les institutions financières de l'UE doivent aborder les risques numériques et opérationnels. Contrairement aux approches précédentes qui se concentraient principalement sur l'allocation de capital pour couvrir les pertes potentielles, DORA exige des entités financières qu'elles mettent en œuvre des mesures complètes pour identifier, protéger, détecter, répondre et se remettre des perturbations liées aux TIC.
Points clés
| Point | Résumé |
|---|---|
| Ce que c'est | Règlement UE (UE) 2022/2554 établissant des exigences de cybersécurité et de résilience opérationnelle pour le secteur financier |
| Date d'application | Pleinement applicable depuis le 17 janvier 2025 |
| À qui ça s'applique | 20 catégories d'entités financières plus leurs prestataires de services TIC |
| Sanction maximale | Jusqu'à 2% du chiffre d'affaires annuel mondial total ou 1% du chiffre d'affaires journalier moyen mondial |
| Différence clé avec d'autres réglementations | DORA est un règlement (directement applicable), pas une directive, créant des standards uniformes dans tous les États membres de l'UE |
Réponse rapide : DORA est un règlement européen qui exige des institutions financières et de leurs prestataires de services TIC qu'ils mettent en œuvre des mesures de cybersécurité robustes, signalent les incidents dans des délais stricts, effectuent des tests de résilience réguliers et gèrent les risques TIC liés aux tiers. Il s'applique aux banques, assureurs, sociétés d'investissement, fintechs, prestataires crypto, et bien d'autres acteurs du secteur financier européen.
Pourquoi DORA existe
La dépendance croissante du secteur financier à la technologie a créé de nouvelles vulnérabilités. Un seul incident cyber chez une grande banque ou un processeur de paiement peut se propager à l'ensemble du système financier, affectant des millions de clients et potentiellement déstabilisant les marchés.
Avant DORA, la réglementation financière européenne traitait les risques TIC de manière incohérente :
- Approche fragmentée. Différents États membres appliquaient des standards variés pour la cybersécurité et la résilience opérationnelle
- Mentalité centrée sur le capital. Les institutions financières géraient principalement le risque opérationnel en mettant de côté du capital pour les pertes potentielles, plutôt qu'en prévenant activement les incidents
- Lacunes dans la surveillance des tiers. La dépendance croissante aux fournisseurs cloud et autres prestataires technologiques créait des risques systémiques que les réglementations existantes ne traitaient pas adéquatement
DORA comble ces lacunes en créant un cadre unique et harmonisé qui s'applique directement dans tous les États membres de l'UE.
Les cinq piliers de DORA
DORA est structuré autour de cinq domaines clés qui forment ensemble une approche complète de la résilience opérationnelle numérique :
| Pilier | Ce qu'il couvre |
|---|---|
| Gestion des risques TIC | Cadres documentés pour identifier, protéger, détecter et répondre aux risques TIC |
| Signalement des incidents | Classification et signalement des incidents TIC majeurs dans des délais stricts |
| Tests de résilience | Tests réguliers incluant évaluations de vulnérabilité et tests de pénétration guidés par les menaces (TLPT) |
| Gestion des risques tiers | Exigences pour la gestion des prestataires de services TIC, incluant obligations contractuelles et stratégies de sortie |
| Partage d'informations | Dispositifs volontaires de partage de renseignements sur les cybermenaces entre entités financières |
Chaque pilier s'appuie sur les autres. Une gestion efficace des risques dépend de tests approfondis ; le signalement des incidents nécessite des capacités de détection robustes ; et gérer les risques tiers implique de comprendre d'abord son propre paysage TIC.
DORA vs. autres cadres
Si vous travaillez déjà sur la conformité avec d'autres cadres, voici comment DORA se compare :
| DORA | NIS 2 | ISO 27001 | |
|---|---|---|---|
| Type | Règlement UE | Directive UE | Norme internationale |
| Focus sectoriel | Services financiers uniquement | 18 secteurs critiques | Toute organisation |
| Statut juridique | Loi directement applicable | Nécessite transposition nationale | Certification volontaire |
| Application | Régulateurs financiers | Autorités nationales | Organismes de certification |
| Base des sanctions | Basée sur le CA (jusqu'à 2%) | Basée sur le CA (jusqu'à 2%) | Perte de certification |
| Focus sur les tiers | Exigences étendues | Sécurité de la chaîne d'approvisionnement | Relations fournisseurs |
| Exigences de tests | TLPT obligatoire pour certaines entités | Obligation générale de tests | Approche basée sur les risques |
Les entités financières soumises à DORA peuvent également relever de NIS 2, bien que DORA soit considéré comme la réglementation plus spécifique (lex specialis) pour le secteur financier. La certification ISO 27001 peut soutenir la conformité DORA mais ne la garantit pas.
À qui DORA s'applique-t-il ?
DORA s'applique à 20 catégories d'entités financières, incluant :
- Établissements de crédit (banques)
- Établissements de paiement et établissements de monnaie électronique
- Entreprises d'investissement et gestionnaires de fonds
- Entreprises d'assurance et de réassurance
- Prestataires de services sur crypto-actifs
- Dépositaires centraux de titres et contreparties centrales
- Plateformes de négociation et services de communication de données
- Agences de notation de crédit
- Prestataires de services de financement participatif
Point important : DORA affecte également les prestataires de services TIC tiers qui supportent ces entités financières. Bien que les prestataires TIC ne soient pas directement réglementés par DORA, leurs clients du secteur financier doivent s'assurer que les arrangements contractuels respectent les exigences de DORA. Les prestataires tiers TIC critiques (CTPP) peuvent être désignés pour une surveillance directe au niveau européen.
Calendrier et statut actuel
| Date | Jalon |
|---|---|
| Décembre 2022 | DORA formellement adopté par le Parlement européen et le Conseil |
| 16 janvier 2023 | Le règlement est entré en vigueur |
| 17 janvier 2025 | DORA est devenu pleinement applicable |
| T1 2026 | Première soumission du Registre d'informations aux régulateurs |
| 2027 | Achèvement du premier cycle TLPT pour les entités désignées |
Les entités financières devraient maintenant avoir leurs cadres, politiques et structures de reporting en place. Les régulateurs ont indiqué que 2025 est une année de transition, mais les entreprises significativement en retard sur la conformité pourraient faire face à des actions de mise en application anticipées.
Questions fréquentes
DORA est-il obligatoire pour toutes les institutions financières ?
Oui. DORA est un règlement européen, ce qui signifie qu'il est obligatoire dans son intégralité et directement applicable dans tous les États membres de l'UE. Contrairement aux directives, il ne nécessite pas de transposition nationale. Les entités financières concernées doivent se conformer ou faire face à des sanctions.
DORA s'applique-t-il aux entreprises non européennes ?
DORA peut s'appliquer aux entreprises non européennes de deux façons. Premièrement, si une entité financière non européenne opère au sein de l'UE, elle relève du champ d'application de DORA. Deuxièmement, les prestataires de services TIC non européens servant des entités financières de l'UE seront affectés indirectement par les exigences contractuelles imposées par leurs clients. Les prestataires tiers TIC critiques établis hors de l'UE et désignés pour la surveillance doivent établir une filiale européenne dans les 12 mois suivant leur désignation.
Comment DORA s'articule-t-il avec les réglementations financières existantes ?
DORA complète les réglementations existantes du secteur financier en ajoutant une couche harmonisée d'exigences relatives aux risques TIC. Il s'applique parallèlement aux réglementations prudentielles (CRR/CRD, Solvabilité II) et aux réglementations de conduite (MiFID II, PSD2). En cas de conflit, DORA en tant que réglementation plus spécifique prévaut pour les questions liées aux TIC.
Une certification ISO 27001 existante peut-elle aider à la conformité DORA ?
Oui. ISO 27001 fournit une base solide pour répondre à de nombreuses exigences DORA, notamment autour de la gestion des risques, de la gestion des incidents et du contrôle d'accès. Cependant, DORA a des exigences spécifiques qui vont au-delà d'ISO 27001, incluant le calendrier détaillé de signalement des incidents, le Registre d'informations et les exigences TLPT pour les entités désignées.
Comment Bastion aide à la conformité DORA
Bastion fournit un accompagnement complet aux entités financières qui naviguent dans la conformité DORA :
- Évaluation des écarts. Nous évaluons votre cadre actuel de gestion des risques TIC par rapport aux exigences DORA et identifions les domaines nécessitant une attention particulière
- Développement de politiques. Nous aidons à développer les politiques, procédures et documentations requises qui satisfont aux obligations DORA
- Certification ISO 27001. Comme ISO 27001 correspond étroitement à de nombreuses exigences DORA, obtenir la certification fournit une base solide de conformité
- Planification de la réponse aux incidents. Nous aidons à établir des processus de détection, classification et signalement des incidents alignés sur les délais DORA
- Gestion des risques tiers. Nous assistons dans l'évaluation des fournisseurs, les revues contractuelles et la préparation du Registre d'informations
- Conformité continue. Surveillance continue et revues régulières pour maintenir la conformité à mesure que les exigences évoluent
Prêt à explorer vos options de conformité DORA ? Parlez à notre équipe
Sources
- Règlement (UE) 2022/2554 (DORA) - Texte officiel du Digital Operational Resilience Act
- Autorité bancaire européenne - DORA - Activités réglementaires et normes techniques de l'EBA
- EIOPA - Digital Operational Resilience Act - Orientations du secteur des assurances sur DORA