Conformité DORA

Le règlement (UE) DORA : obligations de résilience numérique pour les entités financières et prestataires TIC critiques.

Nous vous aidons à construire la feuille de route (gouvernance, reporting incidents, prestataires), à dimensionner votre couverture assurance cyber/RC/PJ et à préparer les contrôles ACPR/AMF.

Être accompagné

DORA : le cadre européen de résilience numérique

Entré en application le 17 janvier 2025, le règlement (UE) 2022/2554 instaure un socle unique pour toutes les entités financières opérant dans l’Union. Il impose une gouvernance cyber documentée, des tests réguliers et une capacité à résister, répondre et se remettre d’un incident majeur.

DORA s’articule avec NIS2, le RGPD et les exigences nationales (ACPR, AMF, BCE). Il concerne aussi les prestataires TIC critiques qui fournissent des services essentiels (cloud, infogérance, data centers, logiciels métiers) aux institutions financières.

Portée réglementaire

  • • Règlement directement applicable dans tous les États membres.
  • • Complété par des normes techniques (RTS/ITS) publiées par les ESAs.
  • • Contrôles coordonnés par les autorités nationales (ACPR/AMF) et européennes (EBA, EIOPA, ESMA).

Entités concernées

  • • Banques, établissements de paiement et établissements de monnaie électronique.
  • • Compagnies d’assurance, mutuelles, réassureurs et intermédiaires ORIAS.
  • • Entreprises d’investissement, sociétés de gestion, plateformes de trading.
  • • Prestataires TIC critiques désignés ou contractuellement essentiels.

Principes transverses

  • • Responsabilité du management : preuves de pilotage et de supervision.
  • • Documentation exhaustive : cartographie, politique, procédures et plans de crise.
  • • Proportionnalité : les obligations sont modulées par la taille et le risque.

DORA en cinq points essentiels

Pilotage

Le conseil ou la direction générale doit approuver la stratégie ICT, suivre les indicateurs de risque et démontrer que les ressources (humaines, financières, techniques) sont suffisantes.

Gestion des risques TIC

Cartographie détaillée du SI, politique de sécurité, tests réguliers, gestion des changements, inventaire des dépendances et plan de continuité/pandémie.

Surveillance des incidents

Capacité à détecter, classifier et notifier les incidents majeurs selon un formalisme commun, avec reporting initial, intermédiaire et final.

Prestataires TIC

Contrats renforcés (SLA, droits d’audit, clauses de sortie) et supervision continue des fournisseurs critiques. Possibilité de désignation par les ESAs.

Coopération et partage

Participation à des centres d’échanges de menaces (ISAC/ISAO), simulations de crise et alignement avec les autorités nationales et européennes.

Calendrier et jalons 2024-2026

Le calendrier DORA combine des obligations immédiates (janvier 2025) et des échéances progressives liées aux normes techniques et aux tests de résilience avancés.

  1. 2023-2024 : publication des RTS/ITS sur la classification des incidents, la gestion des prestataires, les templates de reporting. Les entités doivent réaliser un gap analysis.
  2. 17 janvier 2025 : date d’application. Les autorités nationales peuvent exiger la documentation complète (politiques, plans d’action, contrats fournisseurs).
  3. 2025 : premières obligations de tests de résilience avancés (TLPT) pour les entités significatives. Les prestataires TIC critiques peuvent être supervisés directement par les ESAs.
  4. 2026 et au-delà : alignement avec NIS2, inspections coordonnées, mise à jour annuelle du programme et renforcement des exigences pour les tiers critiques.

Les cinq piliers DORA en détail

1

Gestion intégrée des risques TIC

Politique approuvée par la direction, identification des actifs critiques, classification des données, gestion des vulnérabilités et suivi des indicateurs de risque.

  • • Cartographie complète du SI et des dépendances externes.
  • • Processus de gestion du changement et revue annuelle.
  • • Tableaux de bord présentés au management.
2

Gestion des incidents et notification

Processus documenté de détection, triage, escalade et communication. Les incidents majeurs doivent être rapportés dans un format standardisé.

  • • Centre de coordination 24/7 avec rôles et responsabilités.
  • • Templates pour reporting initial, intermédiaire et final.
  • • Simulation annuelle d’incident majeur.
3

Tests de résilience opérationnelle

Programme pluriannuel de tests : scans de vulnérabilité, tests de pénétration, exercices “table-top” et, pour les structures critiques, tests de type TLPT menés par des équipes red team accréditées.

4

Partage d’information sur les menaces

Participation active aux centres sectoriels (CERT, ISAC) et mécanismes de coopération prévus par les autorités. Les accords de partage doivent respecter la confidentialité et le RGPD.

5

Gestion des prestataires TIC

Due diligence initiale, clauses contractuelles renforcées, suivi des indicateurs de performance et plan de sortie. Les fournisseurs critiques peuvent être inscrits dans un registre européen.

Reporting des incidents majeurs : modus operandi

Les RTS précisent les seuils et délais de notification. Les organisations doivent être capables de rassembler en quelques heures toutes les informations exigées.

Classification des incidents

  • • Impact sur la disponibilité, l’intégrité, la confidentialité ou l’authenticité.
  • • Volume de clients touchés et pertes financières estimées.
  • • Effets transfrontaliers ou sur le système financier.

Chronologie type

  1. T + 4h : notification initiale (facts & périmètre).
  2. T + 1 jour ouvré : rapport intermédiaire avec première analyse d’impact.
  3. T + 20 jours ouvrés : rapport final détaillant causes, remédiation et leçons apprises.
  4. En parallèle : communication RGPD/CNIL et information des clients ou autorités sectorielles.

L’assurance cyber finance la cellule de crise, la collecte d’éléments de preuve, la défense juridique et les coûts de communication, mais ne dispense pas de disposer d’une procédure de reporting éprouvée.

Gestion des prestataires TIC critiques

Un contrat ne suffit plus : les entités financières doivent démontrer qu’elles auditent, supervisent et peuvent sortir d’un prestataire défaillant. Les fournisseurs essentiels seront peut-être supervisés directement par les ESAs.

Une assurance cyber ou responsabilité des dirigeants peut couvrir les frais juridiques et de continuité liés à la défaillance d’un fournisseur, mais les obligations de contrôle et de documentation restent à votre charge.

Checklist contractuelle

  • • Clauses d’audit et de tests de résilience à la charge du fournisseur.
  • • Droits d’accès aux journaux et obligations de notification en temps réel.
  • • Stratégie de sortie documentée (reversibilité, délais, données).
  • • Cartographie des sous-traitants en cascade et responsabilités partagées.

Ce que l’assurance peut couvrir

  • • Frais de réponse à incident, diagnostic forensic, assistance 24/7.
  • • Pertes d’exploitation et frais supplémentaires pour maintenir vos services critiques.
  • • Communication de crise, notification clients, hotline et monitoring dark web.
  • • Défense juridique, sanctions administratives (si légales), recours contre un fournisseur TIC.
  • • Audits, tests de résilience et accompagnement conformité (selon options).

Ce qui reste à votre charge

  • • Governance et responsabilités personnelles des dirigeants (manquements intentionnels).
  • • Investissements structurels (modernisation SI, recrutement permanent).
  • • Sanctions pénales ou amendes exclues par la loi nationale.
  • • Respect au quotidien des exigences DORA et preuves d’exécution.

Une approche combinée est recommandée : police cyber pour les coûts techniques, RC professionnelle pour les dommages aux tiers et protection juridique pour la défense des dirigeants.

Plan d’action DORA sur 6 mois

Un accompagnement structuré vous permet de rassurer vos autorités de tutelle, vos clients et vos partenaires financiers.

1. Diagnostic éclair

Cartographie des exigences DORA vs situation actuelle, identification des écarts critiques.

2. Programme de remédiation

Priorisation des actions (processus, contrats fournisseurs, SOC, tests) avec budgets associés.

3. Mise en compétition assureurs

Dossier complet pour obtenir garanties cyber, RC pro et protection juridique adaptées au périmètre DORA.

4. Tests & gouvernance

Organisation d’exercices, mise à jour des procédures et préparation des rapports attendus par les autorités.

FAQ DORA

Questions fréquemment posées par les équipes dirigeantes, conformité et risk managers.

Comment définir si un incident est « majeur » ?

Le classement repose sur des seuils combinant la durée de l’indisponibilité, le nombre de clients touchés, la gravité financière et l’impact transfrontalier. Un incident peut être reclassé majeur a posteriori si les dégâts dépassent les seuils initiaux.

Les prestataires hors UE sont-ils concernés ?

Oui, dès lors qu’ils fournissent des services TIC essentiels à une entité régulée européenne. Les contrats doivent prévoir clauses de coopération, audit et réversibilité conformes à DORA.

Combien de temps faut-il pour être conforme ?

Selon la maturité initiale, comptez 4 à 9 mois pour formaliser la gouvernance, renégocier les contrats fournisseurs et tester vos plans. D’où l’intérêt de lancer le chantier dès maintenant.

Structurons votre programme DORA & assurance cyber

Diagnostic flash, feuille de route de remédiation, mise en concurrence des assureurs et accompagnement pendant les contrôles. Nous intervenons auprès des directions générales, risk/compliance et IT.

Demander un rendez-vous

Sources réglementaires & analyses