En cliquant sur "Accepter tous les cookies", vous acceptez que des cookies soient stockés sur votre appareil afin d'améliorer la navigation sur le site, d'analyser l'utilisation du site et de contribuer à nos efforts de marketing. Consultez notre politique de confidentialité pour plus d'informations.

Préférences
RefuserAccepter
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
icone fleche gauche
Retour
Conformité

Règlement DORA : tout savoir pour une conformité efficace

Découvrez le règlement DORA, applicable depuis 2025 : enjeux, obligations clés, gestion des prestataires TIC et solutions pour assurer votre conformité.

Règlement DORA : tout savoir pour une conformité efficace

Avec la multiplication des cyberattaques et la dépendance croissante aux prestataires TIC, le réglement DORA (Digital Operational Resilience Act) constitue aujourd’hui l’un des textes les plus structurants pour la finance européenne. Applicable depuis le 17 janvier 2025, le règlement DORA impose aux acteurs financiers européens et à leurs prestataires un cadre exigeant en matière de cybersécurité, de résilience numérique et de gestion des tiers. Découvrez ses enjeux, ses défis opérationnels et les clés pour une mise en conformité durable.

Qu’est-ce que le règlement DORA ?

Adopté en décembre 2022 dans le cadre du Digital Finance Package, le règlement européen 2022/2554, plus connu sous le nom de DORA (Digital Operational Resilience Act), fixe un cadre harmonisé pour renforcer la cybersécurité et la résilience numérique du secteur financier. Contrairement à une directive, il est directement applicable dans l’ensemble des États membres.

DORA ne se limite pas à la protection contre les cyberattaques : il impose la mise en place d’un dispositif global de gestion des risques liés aux technologies de l’information et de la communication (TIC), couvrant aussi bien le risque cyber que les pannes ou défaillances techniques. Les institutions financières doivent notamment : notifier les incidents majeurs aux autorités, réaliser des tests de résilience, gérer leurs relations avec les prestataires TIC via des contrats renforcés et un registre centralisé, ou encore partager certaines informations sur les menaces et vulnérabilités.

Le règlement prévoit enfin un cadre de supervision spécifique pour les prestataires TIC jugés « critiques », dont une défaillance pourrait avoir un impact systémique sur la stabilité et la continuité des services financiers européens.

Qui est concerné par DORA ?

Le champ d’application de DORA est très large : toute organisation opérant dans la finance européenne ou fournissant des services TIC critiques à ce secteur est désormais soumise à ses exigences réglementaires. Plus de 20 000 entités financières et prestataires TIC sont concernés dans l’UE.

  • Banques et établissements de crédit
  • Compagnies d’assurance et réassurance
  • Fintechs et prestataires de paiement
  • Sociétés de gestion et infrastructures de marché
  • Prestataires tiers critiques de services TIC sont également concernés par DORA et au coeur de la directive NIS 2 (cloud, hébergeurs, éditeurs logiciels, cybersécurité).

L’attaque contre Harvest en février 2025 illustre cette dépendance critique aux prestataires. Mais ce n’est pas un cas isolé : des incidents tels que SolarWinds, MOVEit ou encore l’incendie des data centers d’OVHcloud ont démontré combien une faille ou une panne chez un fournisseur peut avoir des répercussions systémiques. Avec DORA, ces prestataires doivent désormais atteindre un niveau de résilience équivalent à celui des institutions financières elles-mêmes.

Où en est-on en 2025 ?

Depuis le 17 janvier 2025, le règlement est pleinement applicable. En France, l’ACPR et l’AMF supervisent sa mise en œuvre. Les prestataires tiers critiques sont soumis aux mêmes exigences de résilience. Les sanctions financières et disciplinaires sont déjà possibles, ce qui fait de la conformité DORA un impératif opérationnel, et non plus une simple préparation.

Les obligations clés du règlement DORA

Concrètement, le règlement se traduit par cinq grands piliers qui changent la manière dont les acteurs financiers gèrent leurs risques numériques.

Gestion des risques TIC

Les institutions doivent mettre en place un cadre robuste d’identification et de gestion des risques liés aux systèmes d’information : menaces cyber, vulnérabilités techniques, dépendances critiques.

Exemple concret : l’incendie des data centers d’OVHcloud à Strasbourg (2021) a montré l’importance d’intégrer aussi les risques techniques non-cyber (pannes, défaillances physiques) dans les plans de continuité.

Tests de résilience opérationnelle

DORA impose des tests réguliers, allant de simples audits internes à des exercices de crise et des simulations de cyberattaques complexes.

Exemple concret : après la faille MOVEit (2023), de nombreux acteurs financiers ont mené des tests de transfert sécurisé de fichiers et audits de cybersécurité pour s’assurer qu’ils pouvaient détecter et contenir rapidement une exploitation similaire.

Gestion des incidents

Les organisations doivent détecter, notifier et documenter tout incident majeur auprès des autorités compétentes (ex. ACPR, ENISA, AMF en France).

Exemple concret : lors d’une attaque par ransomware, la rapidité de notification et la traçabilité des mesures prises sont déterminantes. L’affaire Colonial Pipeline (2021), bien que hors UE, a montré l’impact économique massif d’un incident mal géré.

Gouvernance et responsabilité

DORA place la responsabilité de la conformité au plus haut niveau : Conseil d’administration et Direction Générale. Ils doivent superviser la stratégie de résilience, valider les budgets et suivre les indicateurs.

Exemple concret : certains établissements financiers ont déjà créé des comités DORA dédiés au sein de leur gouvernance, impliquant DSI, RSSI, Risk Managers et administrateurs pour éviter que la conformité ne soit cantonnée à l’IT.

Surveillance des prestataires tiers

Les relations avec les fournisseurs TIC doivent être formalisées, suivies et auditées.

  • Registres centralisés des prestataires et due diligence systématiques
  • Comités de pilotage réguliers
  • Indicateurs de résilience et audits contractuels
  • Exigence de continuité d’activité sur toute la chaîne de sous-traitance

Exemple concret : l’attaque contre SolarWinds (2020) a révélé la fragilité d’une chaîne de sous-traitance mal maîtrisée. Avec DORA, une banque ou un assureur doit pouvoir démontrer que son fournisseur cloud et ses sous-traitants de rang 2 respectent le même niveau d’exigence que lui.

Le saviez-vous ?

  • Selon l’ENISA, plus de 60 % des incidents majeurs dans la finance en Europe sont liés à des prestataires TIC (cloud, logiciels, hébergeurs).
  • Le coût moyen d’une panne de services critiques dans le secteur bancaire est estimé à plusieurs millions d’euros par heure (source : Ponemon Institute).
  • En 2023, le ransomware LockBit a visé plusieurs acteurs financiers européens, rappelant que les cybercriminels ciblent particulièrement ce secteur très dépendant de la continuité de service.
  • DORA oblige désormais à documenter et tester ces scénarios régulièrement, afin d’éviter qu’une cyberattaque ou une défaillance technique ne mette en péril la stabilité du système financier européen.

DORA vs ISO 27001 : une portée élargie

De nombreux RSSI estiment que DORA s’appuie sur des principes déjà présents dans l’ISO 27001, notamment en matière de sécurité de l’information et de gestion des risques. Les deux cadres exigent la mise en place de politiques, de contrôles et d’audits réguliers pour protéger les actifs informationnels.

Cependant, DORA va plus loin sur plusieurs points :

  • La résilience opérationnelle : là où ISO 27001 se concentre sur la gestion de la sécurité de l’information, DORA impose une approche plus large incluant la continuité d’activité et la restauration rapide des systèmes critiques en cas d’incident.
  • La gestion des prestataires TIC : DORA introduit des obligations contractuelles renforcées, la tenue d’un registre des fournisseurs critiques et une supervision européenne des prestataires jugés « systémiques » (ex. grands fournisseurs de cloud).
  • La gouvernance : contrairement à ISO 27001, qui peut être perçue comme un projet technique ou organisationnel, DORA place explicitement la responsabilité au niveau du Conseil d’administration, transformant la résilience numérique en enjeu stratégique.

En théorie, ISO 27001 donne le cadre, DORA impose l’application opérationnelle et la supervision réglementaire. En pratique, une entreprise déjà certifiée ISO 27001 dispose d’une base solide pour répondre à DORA. Mais elle devra compléter son dispositif par des mesures de résilience opérationnelle, de pilotage des tiers et de gouvernance.

Pour aller plus loin, découvrez notre article dédié : ISO 27001 : la norme de référence en sécurité de l’information.

Défis opérationnels et coûts de conformité

La mise en œuvre de DORA se heurte à plusieurs difficultés pratiques qui concernent l’ensemble du secteur financier.

Gestion des prestataires critiques

Imposer des clauses conformes à DORA aux grands fournisseurs de cloud ou de services numériques non européens (Microsoft, AWS, Google, etc.) reste un véritable défi contractuel. Les petites et moyennes institutions financières peinent à négocier avec ces acteurs dominants, ce qui peut créer un déséquilibre entre les exigences réglementaires et la réalité du marché.

Reporting complexe

La tenue d’un registre centralisé des prestataires TIC est une obligation clé, mais elle s’avère particulièrement complexe pour les groupes internationaux comptant plusieurs milliers de fournisseurs. La question de la traçabilité des sous-traitants de rang 2 ou 3 reste floue : jusqu’où une institution doit-elle remonter dans la chaîne pour se conformer pleinement ?

Outils émergents

Faute d’outil européen unifié, de nombreux acteurs utilisent encore des fichiers Excel, peu adaptés à la volumétrie et à la complexité des données. Pour y remédier, de nouvelles plateformes comme Sedona, Prevalent ou DORA Register voient le jour. Elles permettent de mutualiser les évaluations, centraliser les informations et automatiser une partie des due diligence. Toutefois, leur adoption reste inégale et leur interopérabilité avec les systèmes existants constitue un enjeu majeur.

Coûts titanesques

La mise en conformité avec DORA entraîne des coûts très élevés, aussi bien pour la mise en place initiale que pour le maintien du dispositif (audits, formations, reporting, outillage). Certaines institutions accusent un retard important par manque de ressources financières ou humaines, préférant attendre des clarifications du régulateur avant d’investir massivement. Les établissements considérés comme « small and non-complex » bénéficient d’un report d’application jusqu’en 2030, mais pour les autres, le compte à rebours a déjà commencé.

Enjeux organisationnels et compétences

Au-delà des coûts financiers, DORA implique une transformation interne : formation des équipes, montée en compétences des contrôleurs et auditeurs, implication accrue du Conseil d’administration. Le déficit de profils techniques spécialisés (cloud, cybersécurité, gestion des risques IT) rend la conformité encore plus difficile à atteindre.

Top 5 des défis DORA pour les institutions financières

 Prestataires critiques difficiles à contrôler
 👉 Négocier des clauses conformes avec les géants du cloud (Microsoft, AWS, Google) reste un défi.

Reporting complexe et volumineux
 👉 Tenir un registre complet des fournisseurs et de leurs sous-traitants (rang 2/3) est une tâche titanesque.

Outils de suivi insuffisants
 👉 Excel ne suffit plus. Des plateformes comme Sedona, Prevalent ou DORA Register émergent, mais leur adoption est encore inégale.

Coûts de mise en conformité élevés
 👉 Budgets importants nécessaires pour les audits, formations, outils et ressources internes.

Manque de compétences spécialisées
 👉 Pénurie de profils en cybersécurité, cloud et risques IT pour mener à bien la conformité.

Les clés d’une mise en conformité DORA efficace

Pour répondre aux exigences de DORA, les établissements doivent :

  • Cartographier leurs prestataires critiques et évaluer leur maturité : identifier les dépendances les plus sensibles et mesurer le niveau de résilience de chaque fournisseur.
  • Mettre en place des comités de pilotage dédiés aux fournisseurs TIC : instaurer un dialogue régulier, documenté et traçable.
  • Renégocier les contrats avec des clauses couvrant toute la chaîne de sous-traitance : garantir que les obligations DORA descendent jusqu’aux prestataires de rang 2 et 3.
  • Tenir un registre centralisé des prestataires et organiser des due diligence : disposer d’une base fiable et mise à jour en continu.
  • Conduire des exercices de crise impliquant les prestataires : tester la réactivité conjointe en cas de panne ou cyberattaque.
  • Former les équipes de contrôle et les administrateurs aux enjeux IT et cybersécurité : élever le niveau de compétence interne.
  • Définir des indicateurs de résilience : mettre en place des KPI (temps moyen de reprise, taux de disponibilité, délais de notification) pour mesurer objectivement la conformité.
  • Investir dans des outils spécialisés : adopter des plateformes de gestion des risques TIC et de suivi des prestataires, plus efficaces qu’Excel pour centraliser l’information et automatiser le reporting.
  • Favoriser le partage d’informations sectorielles : tirer parti des dispositifs de coopération et d’échange sur les menaces cyber pour anticiper les attaques.
  • Intégrer DORA à la stratégie d’entreprise : en faire un sujet stratégique suivi au niveau du Conseil d’administration et non une simple contrainte réglementaire.

La conformité à DORA n’est pas un projet ponctuel mais un processus continu, qui doit être inscrit dans la durée et piloté au plus haut niveau.

Anticipez avec Egerie : votre solution pour DORA

La plateforme Egerie accompagne les acteurs financiers dans leur démarche de conformité au règlement DORA en transformant la contrainte réglementaire en levier de gouvernance et de performance.

  • Cartographie des risques TIC pour identifier et visualiser les dépendances critiques.
  • Modélisation de scénarios d’incidents pour anticiper les impacts et hiérarchiser les actions.
  • Tableaux de bord de conformité offrant une vision claire et en temps réel de l’état d’avancement.
  • Gestion intégrée des plans d’action et pilotage collaboratif avec les parties prenantes internes.

Envie d’évaluer votre niveau de préparation à DORA ? Demandez une démo gratuite dès aujourd’hui.

FAQ sur le règlement DORA

Qu’est-ce que DORA ?
Un règlement européen applicable depuis janvier 2025, visant à renforcer la cybersécurité et la résilience numérique du secteur financier.

Qui est concerné par le règlement DORA ?
Toutes les institutions financières et leurs prestataires TIC critiques.

Quelles différences entre DORA et  ISO 27001 ?
DORA inclut la continuité opérationnelle, le suivi des prestataires et la responsabilité accrue des dirigeants.

Quels sont les défis majeurs de DORA ?
La gestion des prestataires tiers, le reporting complexe, le coût élevé et la montée en compétences des équipes.

Comment Egerie aide-t-il à se conformer ?
Grâce à une plateforme de gestion des risques intégrée, automatisée et collaborative.

Articles

Vous allez aimer ces autres articles

TISAX® : tout comprendre du label sécurité de l’information pour l’automobile
Découvrez les exigences, étapes et bonnes pratiques pour obtenir le label TISAX, devenu incontournable dans la filière automobile.
Conformité
Découvir
Règlement DORA : tout savoir pour une conformité efficace
Découvrez le règlement DORA, applicable depuis 2025 : enjeux, obligations clés, gestion des prestataires TIC et solutions pour assurer votre conformité.
Conformité
Découvir
Gestion des risques liés aux tiers : un enjeu majeur à l’ère de la réglementation NIS 2
Comment anticiper, évaluer et maîtriser les risques cyber de vos partenaires pour rester conforme et résilient face à NIS 2
Conformité
Découvir
icone fleche gauche
icone fleche droite
Découvrez notre plateforme

Moins de complexité, plus d’impact.
On vous montre comment.

Demander une démo