digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
Vous avez entendu parler de la réglementation DORA… mais vous ne savez pas encore à quel point elle va chambouler votre quotidien ? Si vous êtes RSSI, DSI ou acteur du secteur financier, ce texte n’est pas une option. Entre résilience opérationnelle, gestion des risques TIC et reporting aux autorités, voici ce que vous devez vraiment savoir.
Ce qu’il faut retenir
- La réglementation DORA vise à renforcer la résilience opérationnelle numérique du secteur financier dans toute l’Union européenne.
- Elle est entrée en application dès janvier 2025, avec des exigences concrètes en matière de cybersécurité, tests de résilience, gestion des incidents et supervision des prestataires TIC.
- Toutes les entités financières sont concernées, y compris leurs sous-traitants technologiques (cloud, IT, etc.).
- Les DSI et RSSI jouent un rôle central dans la mise en conformité et la mise en œuvre des dispositifs.
- DORA impose une approche proactive de la gestion des risques liés aux technologies de l’information et aux cybermenaces.
- Les autorités compétentes (ACPR, AMF, ESMA…) pourront sanctionner les manquements en cas d’incident majeur ou d’absence de stratégie claire.
- L’accompagnement par un cabinet spécialisé peut faire toute la différence entre usine à slides et vraie mise en œuvre opérationnelle.
Qu’est-ce que la réglementation DORA ?
Quelle est l’origine de la réglementation DORA ?
DORA, pour Digital Operational Resilience Act, est un règlement européen adopté par le Parlement européen et le Conseil en décembre 2022. Son but ? Offrir un cadre commun à toutes les entités financières de l’Union pour affronter les risques numériques majeurs.
Pourquoi un tel texte ? Parce que les attaques informatiques, les interruptions de service et les incidents liés aux TIC ne sont plus des cas isolés. Ils menacent la continuité d’activité, la confiance des clients et la stabilité financière du marché. DORA impose donc une stratégie européenne unifiée pour renforcer la cybersécurité et la résilience numérique du secteur.
Quels sont les objectifs visés par ce cadre européen ?
- Garantir une résilience opérationnelle face aux cybermenaces
- Harmoniser les normes de sécurité dans toute l’UE
- Renforcer la supervision des prestataires tiers TIC
- Obliger les entités financières à documenter, tester, surveiller et améliorer leur gestion des risques liés aux TIC
- Améliorer la capacité à réagir aux incidents, les notifier et en tirer des leçons concrètes
Bref, la directive impose de ne plus « espérer que ça tienne », mais de prouver que vous êtes prêts.
Quels textes encadrent la mise en œuvre de DORA ?
Le règlement DORA s’accompagne de textes délégués et actes d’exécution (en cours de finalisation) qui détaillent :
- Les formats de reporting
- Les critères de notification des incidents
- Les conditions pour la gestion des prestataires TIC
- Les exigences minimales pour les tests de résilience opérationnelle
La Commission européenne, l’ESMA, l’ACPR, l’AMF, et d’autres autorités compétentes, participent à cette orchestration légale et technique, en lien étroit avec les réalités terrain.
Quand entre en application DORA ?
Quelles sont les grandes échéances à connaître ?
La réglementation DORA est entrée en application le 17 janvier 2025. Plus question d’attendre ou de “voir venir” : les exigences du Digital Operational Resilience Act sont désormais pleinement applicables dans toute l’Union européenne.
Depuis cette date, les entités financières doivent être opérationnellement conformes aux obligations définies par le règlement. Et si vous n’êtes pas encore prêts, il y a urgence à vous y mettre — les autorités compétentes (ACPR, AMF, ESMA…) intensifient leur surveillance.
Que fallait-il avoir mis en place pour être conforme ?
Depuis le 17 janvier 2025, les organisations concernées doivent impérativement disposer de :
- Un cadre de gestion des risques liés aux TIC documenté et opérationnel
- Un plan de continuité d’activité et de reprise après incident à jour
- Un dispositif de surveillance et de reporting des incidents numériques
- Une politique de gestion des prestataires tiers TIC (avec clauses, seuils, audits)
- Un programme de tests de résilience opérationnelle adaptés à leur criticité
- Un processus de communication et de notification vers les autorités en cas d’incident majeur
- Une gouvernance interne claire, impliquant le top management dans la stratégie cyber
Autrement dit, la phase de préparation est terminée. Si votre organisation n’a pas enclenché tous ces leviers, vous êtes hors des clous — et en position de vulnérabilité.
Qui est concerné par DORA ?
Quelles entreprises et quels acteurs sont visés ?
DORA ne s’adresse pas à une poignée de grandes banques : plus de 20 types d’entités financières sont directement concernées par ce règlement. Parmi elles :
- Banques et établissements de crédit
- Sociétés d’assurances et de réassurance
- Prestataires de services d’investissement
- Sociétés de gestion d’actifs
- Établissements de paiement et de monnaie électronique
- Chambres de compensation
- Intermédiaires financiers et infrastructures de marché
- Fintechs, néobanques, sociétés de crédit conso…
Peu importe la taille : la réglementation s’applique à toutes, avec une logique de proportionnalité selon leur profil de risque. Même les plus petites structures doivent montrer patte blanche.
Les sous-traitants sont-ils également concernés ?
Absolument. DORA met un focus très clair sur les prestataires tiers TIC. Cela inclut :
- Les hébergeurs (cloud computing, data centers)
- Les fournisseurs de logiciels et outils métiers
- Les prestataires de cybersécurité
- Les éditeurs SaaS
- Les sous-traitants de services numériques critiques
Si votre prestataire manipule des données critiques, accède à vos systèmes, ou intervient sur une brique essentielle à votre activité, il entre dans le radar de DORA. Et vous devez documenter, encadrer et superviser cette relation de manière appropriée.
Quel rôle pour les DSI, RSSI et DPO dans l’application de DORA ?
On ne va pas se mentir : ce sont eux qui ont la pression.
- Le DSI pilote l’implémentation des mesures techniques, veille à l’intégrité des systèmes et à la continuité de service.
- Le RSSI devient le garant de la stratégie cybersécurité et des tests de résilience. Il doit anticiper, formaliser, et piloter.
- Le DPO, quant à lui, intervient dans la gestion des incidents impliquant des données personnelles et dans la communication avec les autorités en cas de fuite.
Ces fonctions deviennent centrales dans la gouvernance. Et si elles ne sont pas au Comex… il est temps de corriger ça.
Quels sont les enjeux de DORA pour les entreprises ?
Pourquoi DORA va bien au-delà de la conformité ?
DORA, ce n’est pas juste un texte réglementaire de plus à cocher dans un tableau Excel. C’est un changement de paradigme. Le règlement impose aux entreprises de passer d’une approche défensive à une culture proactive de la résilience numérique.
Ce n’est pas une contrainte, c’est une opportunité stratégique. En se mettant en conformité, les entreprises :
- Solidifient leur fiabilité opérationnelle face aux crises
- Gagnent la confiance du marché, des partenaires et des clients
- Structurent une gouvernance cyber claire, pilotable, documentée
- Réduisent leur exposition aux amendes, sanctions et litiges
C’est aussi un excellent levier pour renforcer le rôle du RSSI ou du DSI dans l’entreprise.
Quels bénéfices pour la résilience organisationnelle ?
En obligeant à documenter les processus, à évaluer les fournisseurs, à anticiper les incidents… DORA pousse les entreprises à :
- Détecter plus rapidement les failles critiques
- Maintenir un niveau de service même en cas de cyberattaque
- Structurer des plans de continuité robustes et testés
- Réduire la dépendance à des prestataires non maîtrisés
- Développer une culture de gestion des risques numériques à tous les niveaux
Et là, on ne parle pas de théorie. On parle de sauver votre activité en cas d’incident.
Quels impacts sur la gouvernance des systèmes d’information ?
DORA impose une gouvernance transversale, formalisée et traçable. Il ne suffit plus de mettre un pare-feu et de croiser les doigts.
Les entreprises doivent désormais :
- Intégrer la cybersécurité dans les décisions stratégiques
- Mettre en place une responsabilité claire pour chaque composante TIC
- Impliquer la direction générale dans la supervision de la résilience numérique
- Communiquer avec les autorités compétentes en cas de problème majeur
En bref ? Cybersécurité, conformité, gouvernance et performance sont désormais indissociables.
Quels risques la réglementation DORA vise-t-elle à encadrer ?
Quels types de risques numériques sont couverts ?
DORA cible tous les risques liés aux technologies de l’information et de la communication (TIC) pouvant menacer la stabilité d’une entité financière. Cela inclut :
- Les cyberattaques : ransomware, phishing, intrusion, exfiltration de données
- Les pannes techniques majeures : systèmes HS, pertes d’accès, corruption de données
- Les erreurs humaines : mauvaise configuration, suppression accidentelle, manque de formation
- Les défaillances logicielles : bugs critiques, mises à jour ratées, failles non patchées
- Les dépendances excessives à des outils ou prestataires uniques
Le point commun ? Tous ces risques peuvent provoquer une interruption d’activité, une perte financière, voire une perte de confiance du marché.
Comment DORA aborde les risques liés aux tiers et à la chaîne d’approvisionnement ?
C’est une des pierres angulaires du règlement : les prestataires tiers TIC ne doivent plus être une boîte noire.
DORA impose aux entités de :
- Recenser tous leurs fournisseurs critiques liés aux systèmes numériques
- Évaluer leur niveau de sécurité et de résilience
- Intégrer des clauses contractuelles spécifiques : accès, audit, reporting, plans de continuité
- Établir une stratégie de sortie (exit plan) en cas de défaillance du prestataire
- Superviser les risques en continu avec des indicateurs de performance et de conformité
Et ce n’est pas que pour le principe : une défaillance d’un sous-traitant peut vous coûter cher — juridiquement, techniquement, et en réputation.
Quelle articulation avec les autres réglementations (NIS2, RGPD…) ?
Bonne question. DORA ne remplace pas NIS2 ou le RGPD. Elle les complète.
- Avec le RGPD, elle partage la logique de gestion des incidents, de documentation et de responsabilité
- Avec NIS2, elle renforce les exigences de sécurité pour les infrastructures critiques
- Avec les règlements sectoriels européens, elle s’intègre dans un cadre global de supervision du secteur financier
Le message est clair : plus de silo entre cybersécurité, conformité, IT et juridique. DORA exige une approche intégrée.
Comment DORA renforce-t-elle la cybersécurité des organisations ?
Quelles obligations techniques impose DORA ?
DORA ne se contente pas de recommandations vagues. Elle impose des exigences claires, concrètes et mesurables. Parmi les plus structurantes :
- La mise en place d’un cadre de sécurité de l’information robuste et évolutif
- La définition de politiques de sécurité couvrant l’ensemble des systèmes critiques
- La surveillance continue de l’intégrité, disponibilité et confidentialité des services numériques
- L’analyse régulière des vulnérabilités et la gestion des correctifs (patching)
- La définition de rôles et responsabilités en matière de cybersécurité
Bref, ce n’est plus une option de “faire de la sécu” quand on a le temps. C’est un socle obligatoire à maintenir, prouver et faire vivre.
Quel niveau de cybersécurité faut-il atteindre ?
La réponse est simple : un niveau proportionné à la criticité de votre activité.
DORA introduit le principe de proportionnalité : une petite fintech n’aura pas les mêmes moyens qu’une banque systémique, mais toutes deux devront démontrer qu’elles ont :
- Identifié leurs systèmes critiques
- Mis en place les contrôles de sécurité adaptés
- Une capacité réelle à détecter, contenir et remédier aux cybermenaces
- Un pilotage documenté via des indicateurs de performance et de risque
En clair, on vous demande moins d’avoir tout, et plus de savoir pourquoi vous avez mis ça en place, comment, et avec quels résultats.
Comment DORA favorise une approche proactive des menaces ?
Fini le mode pompier. DORA pousse vers une logique d’anticipation, de prévention et d’amélioration continue.
Voici comment :
- En intégrant les menaces numériques dans la stratégie d’entreprise
- En obligeant les entités à faire des analyses de risques régulières
- En imposant des revues de sécurité à fréquence définie
- En mettant l’accent sur la formation des collaborateurs
- En créant une boucle d’apprentissage à partir des incidents passés
DORA ne vous protège pas à votre place. Elle vous oblige à être en capacité de vous protéger intelligemment.
Comment se conformer à DORA ? Quelles actions concrètes ?
Quels sont les 5 piliers de la conformité DORA ?
Pour être clair, DORA repose sur cinq piliers majeurs qui structurent toute la démarche de mise en conformité :
- Gestion des risques liés aux TIC : identification, analyse, traitement et documentation continue
- Gestion des incidents : détection, réponse, communication et notification aux autorités compétentes
- Tests de résilience opérationnelle : simulations techniques et organisationnelles régulières
- Gestion des prestataires tiers TIC : cartographie, évaluation, clauses contractuelles, surveillance
- Partage d’informations : coopération entre acteurs du secteur, sous supervision réglementaire
Si votre organisation ne travaille pas sérieusement sur chacun de ces points, vous êtes en zone rouge.
Par où commencer ? Étapes clés et plan d’action recommandé
Pas de panique. Voici une feuille de route concrète pour ne pas partir dans tous les sens :
- Cartographier vos actifs numériques critiques : sans savoir ce que vous devez protéger, impossible d’agir efficacement
- Évaluer votre niveau de maturité actuel face aux exigences DORA
- Définir une stratégie cyber & conformité claire, avec un budget associé
- Prioriser les actions par niveau de criticité et faisabilité
- Créer une gouvernance projet DORA impliquant les métiers, la DSI, la conformité et la direction
- Intégrer vos prestataires dans la démarche dès le départ
- Documenter chaque étape pour assurer la traçabilité et prouver votre conformité en cas de contrôle
Spoiler : improviser à la dernière minute est la meilleure manière de finir dans les radars de l’AMF ou de l’ACPR.
Quelles ressources internes ou externes mobiliser ?
On ne va pas se mentir, peu d’organisations ont toutes les compétences en interne pour piloter un tel projet. Vous aurez probablement besoin de :
- RSSI / DSI pour le pilotage technique
- Juristes pour la lecture et la mise en œuvre des textes
- Experts en GRC pour cadrer la gouvernance et le reporting
- Consultants externes spécialisés pour accélérer, sécuriser et valider chaque étape
- Un sponsor de direction pour donner du poids au projet et arbitrer les ressources
DORA est un sujet transverse. Ceux qui essaient de le cloisonner finiront par courir derrière les incidents au lieu de les anticiper.
Comment structurer sa gouvernance DORA ?
Une gouvernance DORA efficace, ce n’est pas juste un comité qui se réunit tous les trois mois. C’est :
- Une vision stratégique pilotée par la direction
- Un comité opérationnel interfonctionnel avec des rôles clairs
- Des KPI concrets pour mesurer l’avancement et les points critiques
- Une communication fluide entre les équipes IT, métiers, juridique et conformité
- Un registre de suivi structuré, mis à jour, prêt à être consulté par les autorités
Objectif : montrer que vous pilotez vos risques numériques, pas que vous les subissez.
Quels sont les tests de résilience prévus par DORA ?
Quels types de tests sont requis ?
DORA ne plaisante pas avec la résilience opérationnelle. Elle impose des tests réguliers et rigoureux pour vérifier la capacité des entités financières à résister à des incidents TIC majeurs.
Les types de tests exigés incluent :
- Des tests de pénétration avancés (TLPT) : menés par des équipes externes qualifiées, simulant des attaques réelles
- Des tests techniques classiques : scans de vulnérabilités, tests de charge, simulations de panne
- Des exercices de crise : jeux de rôle impliquant les équipes IT, métiers, juridique et communication
- Des revues de documentation : plans de reprise, procédures, responsabilités, etc.
Tout l’enjeu est de valider l’efficacité des dispositifs en conditions réelles, pas juste sur le papier.
À quelle fréquence doivent-ils être réalisés ?
La fréquence des tests dépend de la taille, de l’activité et de la criticité de l’entité. Mais en règle générale :
- Les tests classiques doivent être effectués au moins une fois par an
- Les TLPT (Threat-Led Penetration Testing) sont obligatoires tous les trois ans pour les entités les plus critiques
- En cas de changement majeur (migration cloud, refonte SI, incident grave…), des tests spécifiques ad hoc peuvent être exigés
Et surtout, chaque test doit faire l’objet d’un rapport documenté, partagé avec les autorités sur demande.
Comment se préparer efficacement aux exigences de résilience opérationnelle ?
Voici les leviers clés à activer :
- Identifier les systèmes critiques à tester prioritairement
- Planifier les campagnes de test avec une feuille de route claire
- Travailler avec des prestataires qualifiés, inscrits dans les registres européens si TLPT
- Préparer vos équipes internes (tech, com, juridique, direction) à gérer les résultats
- Documenter les résultats et mettre en œuvre les remédiations sans traîner
- Faire du retour d’expérience (REX) un réflexe, et pas une contrainte
Les tests de résilience ne sont pas là pour vous piéger. Ils sont là pour vous éviter le vrai piège : l’impréparation.
Quels sont les risques en cas de non-conformité avec DORA ?
Quelles sanctions ou contrôles sont prévus ?
DORA, ce n’est pas un texte sans dents. Les autorités compétentes (comme l’AMF, l’ACPR ou l’ESMA) ont désormais des pouvoirs étendus de contrôle et de sanction.
Concrètement, elles peuvent :
- Lancer des audits réglementaires à tout moment
- Exiger l’accès à vos rapports internes, plans de tests, registres d’incidents
- Sanctionner financièrement les manquements, selon la gravité et le niveau de risque
- Imposer des mesures correctives sous délai
- Et dans les cas extrêmes : limiter ou suspendre l’activité sur certains services
Vous pensiez que ça n’arrive qu’aux autres ? Mauvaise nouvelle : les contrôles se multiplient déjà, et les régulateurs ne font aucune exception.
Quels impacts sur la réputation, les partenariats et les marchés ?
Soyons honnêtes : la sanction financière est souvent le moindre mal. Le vrai risque, c’est :
- La perte de confiance de vos clients ou investisseurs
- Des contrats annulés par des partenaires plus exigeants en matière de conformité
- Des difficultés à répondre à des appels d’offres ou à rester référencé dans certains écosystèmes
- Une exposition médiatique négative en cas d’incident mal géré ou d’audit non conforme
- Une marginalisation progressive si vous n’êtes pas perçu comme “cyber mature” ou fiable
Et ce n’est pas de la fiction : la réglementation crée une ligne de démarcation claire entre ceux qui sont à la page et ceux qui sont à la traîne.
Pourquoi se faire accompagner pour se conformer à DORA ?
Quels sont les écueils à éviter en interne ?
Soyons francs : vous pouvez techniquement gérer DORA en interne… mais à quel prix ?
Voici ce qui coince souvent :
- Une mauvaise interprétation du texte, surtout sur les obligations techniques ou les seuils de criticité
- Des ressources insuffisantes, tant humaines que budgétaires
- Des outils inadaptés pour le reporting, la surveillance ou la gestion des incidents
- Un projet mal cadré, qui s’étire, patine et perd en crédibilité
- Des équipes non alignées, entre l’IT, le juridique, la conformité, la direction… chacun avance de son côté
Résultat ? Vous perdez du temps, de l’énergie… et vous restez vulnérable.
Quels bénéfices à travailler avec un cabinet expert en cybersécurité et gouvernance ?
Faire appel à un cabinet spécialisé en cybersécurité, conformité et gouvernance, c’est :
- Gagner du temps grâce à une lecture précise et contextualisée du règlement
- Éviter les erreurs grâce à une expertise technique et juridique croisée
- Obtenir des outils, modèles et méthodologies déjà éprouvés
- Disposer d’un regard externe objectif sur vos risques réels
- Crédibiliser la démarche en interne face à la direction ou aux autorités
Et surtout, passer d’un diagnostic théorique à une mise en œuvre concrète. Parce que DORA, ce n’est pas juste un rapport. C’est un changement de posture.
Quels critères pour choisir le bon prestataire ?
Attention : tous les prestataires ne se valent pas. Voici quelques critères essentiels pour faire le bon choix :
- Une expérience prouvée sur des projets DORA ou proches (NIS2, ISO, RGPD…)
- Des consultants seniors, capables de parler aux métiers comme à la DSI
- Une connaissance sectorielle : banque, assurance, industrie, etc.
- Une approche sur-mesure, adaptée à votre organisation, pas un copier-coller
- Des livrables clairs, opérationnels et activables
- Une capacité d’accompagnement post-prestation pour piloter les plans d’action
Et si vous avez un doute ? Demandez des cas clients, des références concrètes, et posez les bonnes questions dès le départ.
Conclusion : DORA, une opportunité de renforcer sa posture cyber ?
La réglementation DORA n’est pas un simple passage obligé. C’est une opportunité stratégique pour reprendre le contrôle sur vos systèmes, vos risques, vos fournisseurs et vos incidents. Elle impose certes de la rigueur, de l’organisation et de la méthode… mais elle vous offre aussi une vision claire, pilotable et crédible de votre maturité numérique.
Si vous êtes RSSI, DSI ou acteur du secteur financier, vous avez un rôle clé à jouer. Ne subissez pas DORA. Servez-vous-en pour asseoir votre légitimité, valoriser vos actions et préparer votre organisation aux défis de demain.
Et si vous ne savez pas par où commencer ? Entourez-vous. Parce que la conformité, ce n’est pas juste une affaire de textes. C’est une affaire de posture, de stratégie, et de sécurité.
