Directive DORA : un tournant stratégique pour la résilience opérationnelle du secteur financier européen

Conformité & Souveraineté, Cybersécurité & Résilience

Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, établit un cadre européen unifié visant à assurer la résilience opérationnelle numérique de l’ensemble des entités financières.

Contrairement à une directive, DORA est un règlement directement contraignant pour les 27 États membres.

Sa finalité : garantir que tous les acteurs du secteur financier disposent de capacités robustes de prévention, de détection, de gestion et de récupération face aux incidents informatiques, cyberattaques et perturbations majeures, y compris via leurs prestataires technologiques.

L’analyse du règlement 2022/2554 révèle un dispositif beaucoup plus précis, structurant et exigeant que ce que laissait entrevoir le cadre initial. L’article ci-dessous a donc été mis à jour pour refléter l’intégralité des obligations réglementaires.

1. Enjeux stratégiques et portée du règlement

DORA vise à réduire le risque systémique lié aux défaillances numériques et à renforcer la confiance dans l’écosystème financier européen. Cela inclut :

l’harmonisation des pratiques de gestion du risque TIC ;
la responsabilisation des dirigeants ;
l’encadrement strict des prestataires TIC critiques ;
une supervision européenne coordonnée.

L’acte couvre plus de 20 catégories d’entités financières, ainsi que l’ensemble des prestataires informatiques, y compris cloud, data center, services managés, développeurs applicatifs, fournisseurs de données et prestataires analytiques.

2. Définitions essentielles introduites par le règlement

Pour garantir une interprétation homogène, DORA établit des définitions précises, notamment :

Fonction critique ou importante : activité dont l’interruption impacte la continuité, la stabilité ou les droits des clients.
Prestataire TIC critique : fournisseur dont la défaillance représente un risque systémique.
Incident majeur ICT : perturbation notable selon des critères harmonisés.
Test de pénétration guidé par la menace (TLPT) : test avancé fondé sur des scénarios d’attaquants réels.

Ces notions structurent l’ensemble des obligations opérationnelles.

3. Gouvernance de la résilience numérique

Responsabilité directe des dirigeants

Les organes de direction doivent :

approuver la politique de gestion du risque TIC ;
valider chaque année les plans de continuité ;
suivre les investissements de sécurité ;
disposer d’une formation spécifique aux risques TIC.

DORA renforce le lien entre gouvernance d’entreprise et cybersécurité, en plaçant les dirigeants en première ligne.

Registre des fonctions critiques

Les entités doivent tenir un registre exhaustif décrivant :

les processus critiques ;
leurs dépendances techniques ;
les prestataires impliqués.

Cet outil est central pour la supervision et les audits.

4. Gestion intégrée du risque TIC

Le règlement impose une démarche complète et documentée incluant :

Cartographie des ressources et dépendances (art. 16)

Les organisations doivent cartographier :

infrastructures, logiciels, actifs critiques ;
interconnexions internes et externes ;
dépendances cloud et sous-traitants.

Gestion du cycle de vie des actifs (art. 17)

Une documentation détaillée doit couvrir :

l’inventaire ;
la maintenance ;
l’obsolescence ;
la mise hors service contrôlée.

Politique de configuration, correctifs et vulnérabilités (art. 18-21)

Les entités doivent démontrer des capacités :

de gestion des configurations,
d’application rapide des correctifs,
de surveillance automatisée des risques,
d’identification et remédiation des vulnérabilités.

Sécurité du développement logiciel (art. 20)

DORA exige une démarche de développement sécurisé intégrant tests, revue de code et gestion des versions.

5. Gestion et notification des incidents

Classification harmonisée

Les incidents doivent être classés selon :

leur impact opérationnel ;
la durée ;
le nombre de clients affectés ;
la criticité des services touchés.

Reporting en trois étapes (art. 33)

Le règlement impose :

Notification initiale
Rapports intermédiaires selon l’évolution
Rapport final incluant l’analyse causale et les mesures correctives

Les notifications doivent être transmises sans retard injustifié aux autorités nationales (AMF, ACPR) et, si nécessaire, à la BCE.

Information des clients (art. 36)

En cas d’incident majeur, les clients peuvent devoir être informés de manière claire et rapide.

6. Tests de résilience opérationnelle

Plan de tests obligatoires (art. 42-54)

Les organisations doivent conduire :

tests techniques ;
exercices de gestion de crise ;
plans de reprise sur incident ;
tests de restauration et bascule.

6.2. TLPT : tests avancés guidés par la menace

Les entités significatives doivent organiser tous les trois ans :

un TLPT réalisé par des équipes indépendantes et certifiées ;
des scénarios réalistes simulant les modes opératoires d’acteurs hostiles ;
un plan d’action de remédiation validé et testé.

7. Gestion et supervision des prestataires TIC

Registre obligatoire des prestataires (art. 28)

Les entités doivent recenser :

tous leurs prestataires TIC ;
les services fournis ;
la criticité associée.

Clauses contractuelles obligatoires (art. 30)

Tout contrat doit intégrer :

le niveau de service attendu ;
les exigences de sécurité, PRA/PCA ;
le droit d’audit ;
les modalités de réversibilité et d’accès aux journaux ;
les obligations de notification d’incident.

Analyse du risque de concentration (art. 41)

Les entités doivent évaluer le risque lié à une dépendance excessive vis-à-vis d’un fournisseur unique, notamment cloud.

Supervision européenne des prestataires critiques (art. 49-57)

L’Union européenne met en place :

un Lead Overseer (ESMA, EIOPA ou EBA selon les secteurs) ;
des audits européens ;
des visites sur site ;
des injonctions ou mesures correctives ;
un dispositif pouvant aller jusqu’à la restriction d’un service.

Cette supervision constitue une avancée majeure.

8. Partage d’information sectoriel

DORA encourage la participation :

aux communautés d’échange liées aux cybermenaces ;
aux centres sectoriels (ISAC) ;
aux programmes d’apprentissage collectif de résilience.

Cet aspect vise à renforcer la coopération intra-européenne.

9. Sanctions et mesures correctives

Le règlement prévoit :

sanctions administratives ;
obligations de remédiation ;
injonctions ;
restrictions potentielles d’activité ou de services ;
supervision renforcée lorsque des lacunes persistantes sont constatées.

Les autorités nationales peuvent exiger des plans correctifs assortis d’un suivi renforcé.

ACPR Banque de France5

EUR - LEX5

Ce qu’il faut retenir

DORA constitue un règlement pleinement contraignant, imposant un niveau élevé de résilience numérique.
Les dirigeants sont responsables de la conformité et doivent en rendre compte.
Le cadre impose des exigences détaillées en matière de cartographie, tests, reporting, contractualisation et supervision des tiers.
Les prestataires TIC critiques seront soumis à une surveillance directe au niveau européen.
DORA harmonise la gestion de crise numérique dans tout le secteur financier, renforçant performance, transparence et confiance.

Arthur Delpech de Frayssinet

Chief Information Officer

J’accompagne les directions générales dans la transformation et la sécurisation du système d’information, en reliant stratégie, innovation et exécution pour produire des résultats mesurables.

Mon action vise à donner une trajectoire claire au numérique, à garantir la maîtrise des risques et à renforcer la performance opérationnelle. J’interviens avec un leadership fondé sur la clarté et la responsabilité partagée afin de fédérer les équipes autour d’objectifs communs.

Ma capacité d’analyse et ma compréhension des dynamiques technologiques me permettent d’anticiper les évolutions, de conduire le changement et de structurer une performance durable et souveraine.

 