Retour aux actualités
    Réglementation

    DORA cybersécurité : obligations pour les entreprises financières

    Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il impose à l'ensemble du secteur financier européen — banques, fintechs, assurances, gestionnaires d'actifs, prestataires de paiement — des exigences strictes en matière de cybersécurité et de résilience opérationnelle numérique. Voici ce que votre entreprise doit savoir et faire.

    Qui est concerné par DORA ?

    DORA s'applique à plus de 20 catégories d'entités financières et à leurs prestataires TIC critiques :

    Établissements de crédit

    Banques, caisses d'épargne, établissements de crédit spécialisé

    Assurances et réassurances

    Entreprises d'assurance, mutuelles, réassureurs

    Entreprises d'investissement

    Sociétés de gestion, OPCVM, fonds alternatifs

    Prestataires de paiement

    Établissements de monnaie électronique, PSP

    Fintechs et crypto-actifs

    Émetteurs de tokens, plateformes PSAN/CASP

    Prestataires TIC tiers critiques

    Fournisseurs cloud AWS/Azure/GCP désignés par les autorités

    Important : Les PME du secteur financier (moins de 10 salariés et moins de 2 M€ de bilan) bénéficient d'un cadre simplifié mais ne sont pas totalement exemptées. Elles doivent respecter a minima les piliers gestion des risques TIC et notification des incidents.

    Les 5 piliers de DORA

    1

    Gestion des risques TIC

    Cadre de gouvernance avec rôle du conseil d'administration, politique de sécurité SI, cartographie des actifs critiques, gestion des accès, chiffrement, sauvegardes et plan de reprise d'activité. L'organe de direction doit valider et suivre le cadre de risque TIC.

    2

    Gestion et notification des incidents

    Classification des incidents selon leur gravité, notification à l'autorité compétente (ACPR en France pour les banques/assurances, AMF pour les sociétés de gestion) : rapport initial dans les 4 heures, rapport intermédiaire dans les 72 heures, rapport final dans un mois.

    3

    Tests de résilience opérationnelle numérique

    Tests de base annuels (analyses de vulnérabilités, revues de code, tests de scénarios). TLPT (Threat-Led Penetration Testing) tous les 3 ans pour les entités désignées — équivalent des tests TIBER-EU. Réalisés par des prestataires qualifiés.

    4

    Gestion des risques liés aux tiers

    Inventaire de tous les prestataires TIC, évaluation du risque de concentration, clauses contractuelles obligatoires (SLA, droit d'audit, plans de sortie, localisation des données), surveillance renforcée des prestataires critiques désignés par les AES.

    5

    Partage d'informations

    Encouragement à partager les informations sur les cybermenaces et vulnérabilités au sein d'arrangements volontaires entre entités financières. Encadrement juridique pour le partage de données confidentielles.

    Les incidents à notifier à l'ACPR/AMF

    DORA introduit une classification des incidents TIC majeurs selon 7 critères. Un incident est "majeur" s'il répond à plusieurs de ces seuils :

    Nombre de clients ou transactions affectés (seuils fixés par les RTS)
    Durée et étendue de la perturbation
    Impact sur la réputation ou les activités critiques
    Étendue géographique (plusieurs États membres)
    Pertes de données (disponibilité, authenticité, intégrité, confidentialité)
    Criticité des services affectés pour l'économie
    Impact potentiel systémique sur le secteur financier

    La notification initiale doit intervenir dans les 4 heures après la classification de l'incident comme majeur, et au plus tard dans les 24 heures après détection. Cette contrainte impose une chaîne de détection, qualification et escalade très rapide.

    Sanctions DORA : jusqu'à 2 % du CA mondial

    Type de sanctionMontant
    Amendes administratives (entités financières)Jusqu'à 2 % du CA mondial annuel
    Sanctions pécuniaires (personnes physiques)Jusqu'à 1 000 000 €
    Prestataires TIC tiers critiques (astreinte journalière)Jusqu'à 1 % du CA mondial/jour

    En France, l'ACPR supervise les banques et assurances, l'AMF les sociétés de gestion. Ces autorités peuvent également imposer des mesures administratives : suspension des activités, retrait d'agrément, publication de la décision (name & shame).

    Plan de mise en conformité DORA en 6 étapes

    1

    Réaliser un gap analysis DORA

    Évaluer l'écart entre votre posture actuelle et les exigences DORA sur les 5 piliers. Cartographier vos prestataires TIC, vos processus de gestion des incidents et vos pratiques de test existantes.

    2

    Impliquer le conseil d'administration

    DORA impose que l'organe de direction approuve et suive le cadre de risque TIC. Mettez en place un reporting cyber régulier au board, documentez les délibérations sur la sécurité numérique.

    3

    Mettre à jour les contrats prestataires TIC

    Auditez tous vos contrats avec des fournisseurs de services numériques (cloud, logiciels, infogérance). Les clauses DORA obligatoires incluent : SLA de disponibilité, droit d'audit, plans de continuité, localisation des données, stratégie de sortie.

    4

    Mettre en place la chaîne de notification

    Définissez qui détecte, qui qualifie, qui décide de notifier et qui notifie l'autorité. Rédigez des procédures internes et testez-les. La contrainte des 4 heures ne laisse aucune place à l'improvisation.

    5

    Planifier le programme de tests

    Définissez un programme annuel de tests de base (pentest, scan de vulnérabilités, tests de reprise). Identifiez si votre entité est dans le périmètre des TLPT triennaux (en général, les entités systémiques).

    6

    Documenter et maintenir

    DORA est un règlement de conformité continue, pas un projet one-shot. Mettez en place des processus de maintenance : revue annuelle du cadre de risque, mise à jour de l'inventaire des prestataires, entraînements à la gestion de crise.

    Audit de conformité DORA pour votre entreprise financière

    Nos experts réalisent des gap analysis DORA pour banques, fintechs, assurances et sociétés de gestion : évaluation des 5 piliers, cartographie des prestataires TIC, feuille de route priorisée et accompagnement à la mise en conformité.

    Demander un audit DORA

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.