Tout savoir sur le règlement DORA

1. Qu’est-ce que le règlement DORA ?

Le règlement DORA (Digital Operational Resilience Act) est un règlement européen (UE 2022/2554) qui vise à renforcer la résilience opérationnelle numérique du secteur financier. Il impose des exigences strictes en matière de cybersécurité, gestion des risques TIC, test de résilience, et supervision des prestataires critiques.

2. Quand DORA entre-t-il en vigueur ?

Le règlement est entré en vigueur le 16 janvier 2023, mais son application est obligatoire à partir du 17 janvier 2025. Les entreprises doivent être totalement conformes à cette date.

3. Qui est concerné par le règlement DORA ?

DORA s’applique à plus de 22 000 entités financières dans l’UE, telles que :

• Banques, assureurs, établissements de paiement,
• Gestionnaires d’actifs, plateformes de cryptoactifs,
• Institutions de retraite, agences de notation,
• Et également prestataires de services TIC considérés comme critiques pour ces entités.

4. Quelles sont les obligations principales imposées par DORA ?

Les exigences de DORA couvrent 6 axes majeurs :

• Une gouvernance de la cybersécurité renforcée,
• Une gestion structurée des risques liés aux TIC,
• La détection, classification et notification des incidents,
• La réalisation de tests de résilience (dont les TLPT),
• Le pilotage des prestataires TIC, surtout en cas d’externalisation critique,
• Le partage d’informations entre acteurs du secteur et autorités.

5. Quels types de tests de sécurité DORA impose-t-il ?

DORA impose notamment les tests d’intrusion fondés sur la menace (TLPT), tous les 3 ans, pour les entités systémiques. Ces tests doivent simuler des cyberattaques réelles selon la méthode TIBER-EU.

6. Que doivent faire les entreprises avec leurs prestataires TIC ?

Les entreprises doivent :

• Mettre à jour leurs contrats (clauses, réversibilité, audits, SLA…)
• Évaluer la criticité du service TIC sous-traité,
• Exiger des certifications, audits, rapports de sécurité,
• Imposer des plans de continuité et sortie de contrat testés,
• Prévoir des droits d’accès, d’inspection, et de test de sécurité sur les prestataires.

7. Quelles sanctions en cas de non-conformité ?

Les sanctions peuvent atteindre 1 % du chiffre d’affaires mondial/jour pendant 6 mois pour les prestataires critiques. Les entités financières risquent également une injonction de rompre tout contrat avec un prestataire non conforme.

8. Quelle est la différence entre DORA et NIS 2 ?

DORA est spécifique au secteur financier et constitue une « lex specialis » de la directive NIS 2. NIS 2 s’applique à un spectre plus large d’organisations essentielles et importantes. Pour les acteurs financiers, les deux textes peuvent coexister.

9. Comment savoir si un prestataire TIC est critique selon DORA ?

Un prestataire est considéré comme critique si :

• Il fournit des services TIC critiques à de nombreuses entités systémiques,
• Sa substituabilité est faible,
• Sa défaillance pourrait impacter la stabilité financière de l’UE,
• Il opère une concentration de services ou dépendances fortes.

10. Existe-t-il des outils ou logiciels pour faciliter la conformité DORA ?

Oui, des logiciels de cyberconformité permettent de :

• Centraliser les audits, les incidents, les plans de continuité,
• Piloter les obligations réglementaires (TIC, sécurité, contractualisation),
• Suivre la conformité en continu avec des indicateurs et des alertes,
• Être accompagné par des experts DPO ou cybersécurité.

11. Comment démarrer sa mise en conformité DORA ?

1. Identifier les fonctions critiques de votre système d’information,
2. Cartographier vos fournisseurs TIC et leurs niveaux de criticité,
3. Mettre à jour les contrats selon les exigences DORA,
4. Évaluer votre posture sécurité, vos tests, vos audits,
5. Lancer une stratégie de gouvernance, un plan d’action et un audit DORA.