Qu'est-ce que le Reglement DORA ?

Le Digital Operational Resilience Act (DORA) est un reglement europeen (UE 2022/2554) qui etablit un cadre reglementaire uniforme pour la resilience operationnelle numerique du secteur financier.

Face a la dependance croissante du secteur financier aux technologies de l'information, DORA vise a garantir que les entites financieres peuvent resister, repondre et se remettre de tout type de perturbation ou menace liee aux TIC.

Contexte europeen

DORA fait partie du Digital Finance Package de l'UE, avec le MiCA (crypto-actifs) et le reglement pilote DLT. Il harmonise les exigences de resilience cyber au niveau europeen.

Qui est Concerne par DORA ?

DORA s'applique a un large eventail d'entites du secteur financier et a leurs prestataires de services TIC.

Etablissements de credit

Banques, banques en ligne, neo-banques

Entreprises d'assurance

Assureurs, reassureurs, mutuelles

Societes d'investissement

Asset managers, fonds, OPCVM

Etablissements de paiement

PSP, EME, services de paiement

Crypto-actifs

CASP, plateformes d'echange

Prestataires TIC critiques

Cloud, hebergement, logiciels core banking

Plus de 22 000 entites concernees

Dans l'UE, DORA impacte directement les entites financieres ET leurs prestataires TIC, meme hors UE s'ils fournissent des services a des entites europeennes.

Le secteur financier face aux cybermenaces

Nos experts vous guident vers la conformite DORA pour une resilience numerique optimale.

Parler a un expert
Secteur financier et resilience operationnelle numerique DORA

Les 5 Piliers de DORA

Le reglement s'articule autour de 5 axes majeurs qui structurent les exigences de resilience.

1

Gestion des Risques TIC

Cadre de gestion des risques TIC robuste et documente.

  • Identification et classification des actifs TIC
  • Politique de securite de l'information
  • Mesures de protection et detection
  • Strategie de continuite d'activite
  • Gouvernance et responsabilites claires
2

Gestion des Incidents TIC

Processus structure de gestion et notification des incidents.

  • Classification des incidents (majeurs/non majeurs)
  • Procedures de detection et reponse
  • Notification aux autorites competentes
  • Communication aux clients si necessaire
  • Registre et analyse post-incident
3

Tests de Resilience

Programme de tests reguliers de la resilience operationnelle.

  • Tests de vulnerabilites et scans
  • Tests de penetration (pentest)
  • Tests TLPT (Threat-Led Penetration Testing)
  • Tests de continuite et reprise
  • Exercices de crise (tabletop)
4

Risques lies aux Tiers TIC

Encadrement strict des prestataires de services TIC.

  • Due diligence et selection des fournisseurs
  • Contrats avec clauses minimales obligatoires
  • Registre des arrangements contractuels
  • Surveillance continue des prestataires
  • Strategies de sortie et substitution
5

Partage d'Information

Echange de renseignements sur les menaces cyber.

  • Participation aux initiatives de partage
  • Echange sur les menaces et vulnerabilites
  • Threat intelligence collaborative
  • Cadre de confidentialite respecte

Notre Accompagnement DORA

Une approche structuree pour atteindre et maintenir votre conformite DORA.

Gap Analysis DORA

  • Cartographie de l'existant
  • Analyse des ecarts vs exigences
  • Priorisation des chantiers
  • Feuille de route conformite

Cadre de Gestion des Risques

  • Politique de gestion des risques TIC
  • Cartographie des actifs critiques
  • Analyse de risques (EBIOS RM)
  • Plan de traitement des risques

Gestion des Tiers TIC

  • Registre des prestataires TIC
  • Clauses contractuelles DORA
  • Due diligence fournisseurs
  • Plans de sortie

Tests de Resilience

  • Programme de tests annuel
  • Pentests et scans vulnerabilites
  • Tests TLPT pour entites critiques
  • Exercices de crise

DORA vs NIS2 : Comparatif

Pour les entites financieres, DORA prevaut comme lex specialis. Voici les principales differences.

DORA
NIS2
Perimetre
Secteur financier uniquement
18 secteurs essentiels/importants
Application
17 janvier 2025
17 octobre 2024 (transposition)
Type
Reglement (directement applicable)
Directive (transposition nationale)
Tests
TLPT obligatoire pour entites significatives
Tests non specifies
Tiers TIC
Exigences detaillees et contractuelles
Gestion de la chaine d'approvisionnement
Securite des systemes d'information dans le secteur financier

Questions Frequentes DORA

DORA (Digital Operational Resilience Act) est un reglement europeen qui etablit des exigences uniformes pour la resilience operationnelle numerique du secteur financier. Il vise a garantir que les entites financieres peuvent resister, repondre et se remettre de perturbations liees aux TIC.

DORA s'applique a plus de 22 000 entites financieres dans l'UE : banques, assurances, societes d'investissement, etablissements de paiement, fintechs, mais aussi leurs prestataires TIC critiques (cloud, logiciels, hebergement).

DORA est entre en vigueur le 16 janvier 2023 et sera pleinement applicable a partir du 17 janvier 2025. Les entites concernees doivent etre conformes a cette date. Des actes delegues (RTS/ITS) precisent les exigences techniques.

Les autorites de supervision peuvent imposer des sanctions administratives incluant des amendes, des injonctions de cesser des pratiques, et meme des retraits d'agrement. Pour les prestataires TIC critiques designes, des amendes jusqu'a 1% du CA mondial journalier sont prevues.

DORA est specifique au secteur financier et plus detaille sur les exigences TIC. NIS2 couvre plus largement les secteurs essentiels. Pour les entites financieres, DORA prevaut comme lex specialis (loi speciale), mais les deux reglementations sont complementaires.