DORA cybersécurité : obligations pour les entreprises financières
Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il impose à l'ensemble du secteur financier européen — banques, fintechs, assurances, gestionnaires d'actifs, prestataires de paiement — des exigences strictes en matière de cybersécurité et de résilience opérationnelle numérique. Voici ce que votre entreprise doit savoir et faire.
Qui est concerné par DORA ?
DORA s'applique à plus de 20 catégories d'entités financières et à leurs prestataires TIC critiques :
Établissements de crédit
Banques, caisses d'épargne, établissements de crédit spécialisé
Assurances et réassurances
Entreprises d'assurance, mutuelles, réassureurs
Entreprises d'investissement
Sociétés de gestion, OPCVM, fonds alternatifs
Prestataires de paiement
Établissements de monnaie électronique, PSP
Fintechs et crypto-actifs
Émetteurs de tokens, plateformes PSAN/CASP
Prestataires TIC tiers critiques
Fournisseurs cloud AWS/Azure/GCP désignés par les autorités
Important : Les PME du secteur financier (moins de 10 salariés et moins de 2 M€ de bilan) bénéficient d'un cadre simplifié mais ne sont pas totalement exemptées. Elles doivent respecter a minima les piliers gestion des risques TIC et notification des incidents.
Les 5 piliers de DORA
Gestion des risques TIC
Cadre de gouvernance avec rôle du conseil d'administration, politique de sécurité SI, cartographie des actifs critiques, gestion des accès, chiffrement, sauvegardes et plan de reprise d'activité. L'organe de direction doit valider et suivre le cadre de risque TIC.
Gestion et notification des incidents
Classification des incidents selon leur gravité, notification à l'autorité compétente (ACPR en France pour les banques/assurances, AMF pour les sociétés de gestion) : rapport initial dans les 4 heures, rapport intermédiaire dans les 72 heures, rapport final dans un mois.
Tests de résilience opérationnelle numérique
Tests de base annuels (analyses de vulnérabilités, revues de code, tests de scénarios). TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités désignées — équivalent des tests TIBER-EU. Réalisés par des prestataires qualifiés.
Gestion des risques liés aux tiers
Inventaire de tous les prestataires TIC, évaluation du risque de concentration, clauses contractuelles obligatoires (SLA, droit d'audit, plans de sortie, localisation des données), surveillance renforcée des prestataires critiques désignés par les AES.
Partage d'informations
Encouragement à partager les informations sur les cybermenaces et vulnérabilités au sein d'arrangements volontaires entre entités financières. Encadrement juridique pour le partage de données confidentielles.
Les incidents à notifier à l'ACPR/AMF
DORA introduit une classification des incidents TIC majeurs selon 7 critères. Un incident est "majeur" s'il répond à plusieurs de ces seuils :
La notification initiale doit intervenir dans les 4 heures après la classification de l'incident comme majeur, et au plus tard dans les 24 heures après détection. Cette contrainte impose une chaîne de détection, qualification et escalade très rapide.
Sanctions DORA : jusqu'à 2 % du CA mondial
| Type de sanction | Montant |
|---|---|
| Amendes administratives (entités financières) | Jusqu'à 2 % du CA mondial annuel |
| Sanctions pécuniaires (personnes physiques) | Jusqu'à 1 000 000 € |
| Prestataires TIC tiers critiques (astreinte journalière) | Jusqu'à 1 % du CA mondial/jour |
En France, l'ACPR supervise les banques et assurances, l'AMF les sociétés de gestion. Ces autorités peuvent également imposer des mesures administratives : suspension des activités, retrait d'agrément, publication de la décision (name & shame).
Plan de mise en conformité DORA en 6 étapes
Réaliser un gap analysis DORA
Évaluer l'écart entre votre posture actuelle et les exigences DORA sur les 5 piliers. Cartographier vos prestataires TIC, vos processus de gestion des incidents et vos pratiques de test existantes.
Impliquer le conseil d'administration
DORA impose que l'organe de direction approuve et suive le cadre de risque TIC. Mettez en place un reporting cyber régulier au board, documentez les délibérations sur la sécurité numérique.
Mettre à jour les contrats prestataires TIC
Auditez tous vos contrats avec des fournisseurs de services numériques (cloud, logiciels, infogérance). Les clauses DORA obligatoires incluent : SLA de disponibilité, droit d'audit, plans de continuité, localisation des données, stratégie de sortie.
Mettre en place la chaîne de notification
Définissez qui détecte, qui qualifie, qui décide de notifier et qui notifie l'autorité. Rédigez des procédures internes et testez-les. La contrainte des 4 heures ne laisse aucune place à l'improvisation.
Planifier le programme de tests
Définissez un programme annuel de tests de base (pentest, scan de vulnérabilités, tests de reprise). Identifiez si votre entité est dans le périmètre des TLPT triennaux (en général, les entités systémiques).
Documenter et maintenir
DORA est un règlement de conformité continue, pas un projet one-shot. Mettez en place des processus de maintenance : revue annuelle du cadre de risque, mise à jour de l'inventaire des prestataires, entraînements à la gestion de crise.
Audit de conformité DORA pour votre entreprise financière
Nos experts réalisent des gap analysis DORA pour banques, fintechs, assurances et sociétés de gestion : évaluation des 5 piliers, cartographie des prestataires TIC, feuille de route priorisée et accompagnement à la mise en conformité.
Demander un audit DORA