DORA : Une évolution pour la résilience opérationnelle numérique du secteur financier Européen
Partagez toute l'actualité
- 01 mars 2025
Depuis plusieurs années, le secteur financier européen est confronté à une montée en puissance des menaces cybernétiques et à une dépendance croissante aux technologies numériques. Dans ce contexte, l’Union européenne a adopté le Digital Operational Resilience Act (DORA), un règlement visant à harmoniser et renforcer la résilience opérationnelle numérique des institutions financières. À partir du 17 janvier 2025, DORA s’appliquera directement aux 27 États membres, imposant de nouvelles obligations aux entités concernées.
Un cadre réglementaire pour une meilleure résilience
DORA vise à garantir la continuité des services financiers en cas d’incident informatique, en renforçant la gestion des risques et la coordination entre les acteurs du secteur. Il concerne un large éventail d’institutions : banques, assurances, prestataires de services sur crypto-actifs, et fournisseurs IT (cloud et on-premise). Toutefois, les micro-entreprises (moins de 10 salariés et un chiffre d’affaires inférieur à 2 millions d’euros) sont exemptées, bien que les prestataires et sous-traitants soient pleinement concernés.
Ce règlement découle de la nécessité de normaliser et structurer les pratiques de cybersécurité afin d’éviter une fragmentation réglementaire au sein de l’UE. Il repose sur une approche basée sur les risques et impose aux entités financières de définir leur tolérance aux risques informatiques, en adoptant des cadres méthodologiques comme EBIOS RM de l’ANSSI ou ISO 27002.
Les cinq piliers fondamentaux de DORA
Pour garantir une mise en conformité efficace, DORA repose sur cinq grands axes :
- Gestion des risques liés aux TIC : chaque entité doit mettre en place un cadre robuste d’évaluation et de suivi des risques liés aux technologies de l’information et de la communication (TIC), en identifiant et documentant les actifs critiques.
- Gestion et notification des incidents : les entités doivent classifier et signaler les cyberincidents aux autorités compétentes selon un cadre harmonisé au niveau européen (notification initiale en 4-24h, suivi sous 72h et rapport final sous 30 jours).
- Tests de résilience opérationnelle : des tests réguliers (pentests, tests de performance, de vulnérabilité, etc.) devront être réalisés annuellement et après toute mise à jour majeure des infrastructures.
- Gestion des risques liés aux prestataires tiers : des obligations spécifiques s’appliquent aux fournisseurs de services informatiques critiques, incluant des clauses contractuelles détaillées et des stratégies de sortie en cas de défaillance.
- Partage d’informations sur les cybermenaces : afin de renforcer la cybersécurité collective, DORA encourage les entités financières à collaborer et échanger sur les menaces, tout en respectant les exigences du RGPD.
Implications pratiques et sanctions
DORA impose aux institutions financières de renforcer leurs politiques de cybersécurité, notamment à travers la mise en place de plans de continuité (PCA/PRA), des audits externes annuels et une surveillance continue des incidents. La contractualisation avec les prestataires IT devient également un point clé, avec des exigences strictes sur la transparence, la sécurité et le droit d’audit.
En cas de non-conformité, les sanctions prévues sont lourdes : jusqu’à 10 millions d’euros ou 5% du chiffre d’affaires annuel mondial pour les entités financières, et 1% du chiffre d’affaires mondial avec des astreintes journalières pour les prestataires critiques. En France, l’ACPR, l’AMF et la Banque de France assureront le contrôle et l’application des sanctions.
DORA et NIS2 : Complémentarité ou redondance ?
DORA coexiste avec NIS2, une autre directive européenne visant à renforcer la cybersécurité dans différents secteurs. Alors que NIS2 couvre un large éventail d’acteurs publics et privés, DORA s’applique spécifiquement aux entités financières. Toutefois, les prestataires TIC multi-sectoriels devront jongler entre ces deux réglementations pour assurer leur conformité.
Conclusion : Une opportunité de transformation pour le secteur financier
DORA représente bien plus qu’une contrainte réglementaire ; il constitue une opportunité de structuration et de renforcement de la cybersécurité dans le secteur financier. En instaurant des normes communes et des exigences strictes en matière de résilience opérationnelle, il favorise une approche proactive face aux menaces cybernétiques. Ce cadre pourrait également servir de modèle pour d’autres secteurs sensibles, tels que la santé et l’industrie, dans un futur proche.
Les entreprises doivent dès à présent anticiper leur mise en conformité en auditant leurs pratiques et en adaptant leurs processus internes. La cybersécurité devient ainsi un enjeu stratégique majeur pour garantir la stabilité et la confiance du système financier européen dans un environnement numérique en perpétuelle évolution.
Rencontrons-nous !
La collecte des informations demandées est nécessaire au traitement de votre demande par SCAFE, responsable de traitement. Elle vous permettra d’être contacté(e) dans le cadre de votre requête. Ces informations collectées pourront être utilisées à des fins de prospection. Vous disposez d’un droit d’accès, de rectification, d’opposition et de suppression des données qui vous concernent. Pour les exercer, merci de consulter notre page Gestion de mes données personnelles. Nous vous invitons à prendre connaissance de notre Politique de protection des données.
À la une
- 1 AOÛT 2023
Terragrunt, optimiser la gestion
Dans cet article, nous vous présenterons Terragrunt, un outil qui simplifie la gestion des environnements pour les projets utilisant Terraform…
- 5 AOÛT 2023
Helm, un outil indispensable
Helm fait partie de l’écosystème Kubernetes et permet de gérer les applications Kubernetes en les packagant, les créant et les déployant…
- 3 JUIN 2023
Cybersécurité & Cloud
Dans le monde numérique actuel, les entreprises et les organisations dépendent de plus en plus du Cloud pour stocker et gérer leurs données, la cybersécurité est devenue un enjeu majeur…
