Comment se mettre en conformité avec DORA ?

Sommaire

1. 1. Introduction : DORA en bref
   2. Pourquoi se conformer à DORA ?
   3. Quelles entreprises sont concernées par DORA ?
   4. Les 6 grands piliers du règlement DORA
   5. Étapes clés pour se mettre en conformité avec DORA
   6. Quels sont les risques en cas de non-conformité ?

1. Introduction : DORA en bref

Le Digital Operational Resilience Act (DORA) est un règlement européen qui impose de nouvelles obligations en matière de cybersécurité, de résilience numérique, de gestion des prestataires TIC et de notification d’incidents pour tout le secteur financier. Il entre en application le 17 janvier 2025.

Son objectif : garantir que toutes les entités financières et leurs prestataires IT puissent résister, réagir et se remettre d’un incident cyber ou d’une défaillance numérique.

2. Pourquoi se conformer à DORA ?

• Obligation légale : DORA est un règlement européen, donc directement applicable.
• Réduction des risques cyber : anticipation des incidents majeurs.
• Confiance accrue des clients, partenaires et autorités.
• Éviter les sanctions : astreinte de 1 % du CA mondial par jour pour les prestataires non conformes.
• Complémentarité avec RGPD, NIS 2, ISO 27001 : DORA renforce votre posture de conformité globale.

3. Quelles entreprises sont concernées par DORA ?

DORA concerne toutes les entités financières européennes, dont :

• Banques, assureurs, mutuelles
• Sociétés de gestion d’actifs
• Plateformes de cryptoactifs
• Institutions de retraite, plateformes de crowdfunding
• Prestataires de services TIC (hébergeurs, éditeurs, SaaS, infogéreurs, etc.)

Au total, plus de 22 000 entités en Europe sont concernées.

4. Les 6 grands piliers du règlement DORA

1. Gouvernance TIC et cybersécurité
2. Gestion des risques liés aux technologies de l’information et communication
3. Détection, classification et notification des incidents
4. Réalisation de tests de résilience (dont les tests d’intrusion TLPT)
5. Encadrement des prestataires TIC (contrats, audit, stratégie de sortie)
6. Partage d’informations entre acteurs financiers et autorités

5. Étapes clés pour se mettre en conformité avec DORA

1. Identifier les fonctions critiques
   Cartographiez vos processus métiers et informatiques critiques. Classez-les selon leur impact sur l’activité.
2. Évaluer vos risques TIC
   Mettez en place une méthodologie de gestion des risques : vulnérabilités, obsolescence, dépendances, scénarios d’attaques…
3. Mettre à jour vos contrats avec les prestataires TIC
   Ajoutez les clauses exigées par DORA (audit, réversibilité, test d’intrusion, reporting incidents, SLA, plan de sortie…).
4. Structurer votre gouvernance cybersécurité
   Définissez les rôles, comités, politiques de sécurité, formations internes. Mettez en place un plan de continuité d’activité (PCA).
5. Mettre en œuvre un plan de test et d’audit
   Planifiez vos audits internes, scans de vulnérabilité, tests de restauration, tests d’intrusion fondés sur la menace (TLPT).
6. Documenter et tracer toutes vos actions
   Utilisez une solution de cyberconformité qui assure la traçabilité, le versioning, les rapports, les preuves d’audit.

6. Quels sont les risques en cas de non-conformité ?

• Sanctions financières : jusqu’à 1 % du chiffre d’affaires mondial par jour pendant 6 mois pour les prestataires critiques.
• Rupture de contrat imposée par le régulateur (AMF, ACPR, AES).
• Responsabilité directe de l’entité financière même en cas de défaillance du sous-traitant.
• Perte de confiance des clients, partenaires et investisseurs.
• Exclusion d’appels d’offres ou de marchés réglementés.