DORA : Un Règlement pour renforcer la résilience du système financier en UE
“DORA” pour Digital Operational Resilience Act est un règlement européen visant à améliorer la résilience opérationnelle informatique des acteurs des services financiers en instaurant un cadre de gouvernance et de contrôle interne spécifique (ICT Risk Management Framework). Publié en décembre 2022, il est entré en application le 17 janvier 2025.
Résumé : Entré en vigueur en janvier 2025, le règlement DORA harmonise la gestion des risques informatiques au sein du secteur financier européen. Il impose aux établissements financiers et à leurs prestataires IT de renforcer leur gouvernance, leur capacité de réponse aux incidents et leurs contrôles internes. Ce texte marque une étape clé vers une meilleure continuité d’activité, une gestion proactive des risques et une cybersécurité partagée à l’échelle de l’Union européenne.
Un cadre commun pour renforcer la résilience du secteur financier
Qui est concerné ?
Le règlement DORA s’applique à un large éventail d’entités financières : banques, fonds de pension, compagnies d’assurance, institutions de paiement, entreprises d’investissement…
Il concerne également les prestataires de services informatiques opérant au sein de l’Union européenne pour ces entités.
Le texte repose sur un principe de proportionnalité : les mesures à appliquer dépendent de la taille de l’organisation, de la nature de son activité et de la criticité de ses systèmes d’information.
Un calendrier désormais effectif
Publié en décembre 2022, DORA est applicable depuis le 17 janvier 2025. Une série de normes techniques en cours d’élaboration vient préciser le texte initial et compléter les exigences opérationnelles pour une mise en oeuvre homogène dans l’ensemble de l’UE.
Les cinq piliers du règlement DORA
1. Gestion des risques liés aux TIC
Les entités doivent définir et mettre en oeuvre un dispositif de gestion des risques TIC complet et documenté.
Celui-ci comprend :
- une gouvernance claire, avec un organe de gestion responsable ;
- une politique de gestion des risques TIC couvrant l’identification, la protection, la détection, la réponse et la communication de crise.
2. Gestion, classification et reporting des incidents TIC et cybermenaces
DORA impose un cadre de surveillance et de déclaration des incidents. Les entités doivent :
- classifier les incidents de manière standardisée ;
- analyser leur impact ;
- déclarer les incidents majeurs ;
- transmettre des rapports anonymes à l’échelle européenne.
3. Test de résilience opérationnelle numérique
Chaque entité doit établir un programme de tests de résilience afin d’identifier les faiblesses et de déployer des mesures correctives.
Parmi les exigences :
- tests annuels des systèmes critiques ;
- tests d’intrusion avancés (threat-led pentests) tous les trois ans, réalisés par des prestataires indépendants.
👉 Téléchargez notre ebook “DORA : la réglementation décryptée”.
4. Gestion des risques liés aux prestataires TIC
Les entités doivent adopter une approche proportionnée de la gestion des tiers.
Cela implique :
- une stratégie et un registre d’information sur les prestataires ;
- une évaluation des risques de concentration ;
- des lignes directrices pour la contractualisation et les SLA ;
- un cadre de surveillance des fournisseurs critiques à l’échelle européenne, assorti de sanctions en cas de non-conformité.
5. Partage d’informations et lutte contre les cybermenaces
DORA encourage la création de communautés de confiance pour le partage d’informations sur les cybermenaces.
Les données partagées doivent :
- renforcer les capacités de défense du secteur ;
- respecter la confidentialité, le RGPD et les règles de concurrence.
Claranet vous accompagne dans votre mise en conformité DORA
Claranet accompagne les acteurs du secteur financier dans leur mise en conformité DORA grâce à des solutions concrètes et éprouvées : audit, pentest, revue de code, supervision SOC, et accompagnement global.
Découvrez également notre précédent article : Règlement DORA : comment s’y préparer ?.
Sources et références
- Texte officiel du règlement DORA (UE 2022/2554)
- Autorité bancaire européenne (EBA) – DORA Implementation Updates
- Claranet – Accompagnement DORA
- Livre blanc : DORA, la réglementation décryptée
- Article Claranet : comment se préparer à DORA ?
Discuter d’un projet avec Claranet
Les experts conformité et cybersécurité de Claranet accompagnent les entreprises financières dans la mise en place d’un cadre DORA complet et opérationnel.
Que vous souhaitiez auditer vos fournisseurs, renforcer vos tests de résilience ou sécuriser vos infrastructures critiques, nos équipes peuvent vous aider à construire une démarche de conformité adaptée à vos enjeux métiers.
Découvrez notre accompagnement DORA sur la page Claranet ou utilisez le formulaire en bas de page pour nous contacter.
Mise à jour e 8 décembre 2025