DORA (Digital Operational Resilience Act) est le règlement européen qui impose au secteur financier de garantir sa résilience opérationnelle face aux risques numériques. Contrairement à une directive, un règlement s'applique directement, sans transposition nationale.
Qu'est-ce que DORA ?
DORA vise à harmoniser la gestion du risque lié aux technologies de l'information et de la communication (TIC) dans le secteur financier européen. L'objectif : s'assurer que les entités financières peuvent résister, réagir et se rétablir face à tout type d'incident lié aux TIC.
Qui est concerné ?
- ✓Les entités financières : banques, assurances, sociétés d'investissement, établissements de paiement, prestataires de services sur crypto-actifs…
- ✓Les prestataires tiers de services TIC critiques (cloud, hébergement, logiciels) qui les servent, désormais supervisés.
Les 5 piliers de DORA
- ✓Gestion du risque TIC : gouvernance, identification, protection, détection et réponse.
- ✓Gestion et notification des incidents majeurs liés aux TIC.
- ✓Tests de résilience opérationnelle numérique, dont des tests avancés (TLPT) pour les entités les plus critiques.
- ✓Gestion du risque lié aux prestataires tiers de TIC (contrats, surveillance, stratégie de sortie).
- ✓Partage d'informations sur les cybermenaces entre entités financières.
Le point sensible : les prestataires TIC
DORA exige une cartographie précise de vos prestataires critiques et des clauses contractuelles strictes. C'est souvent le chantier le plus sous-estimé.
Comment se mettre en conformité ?
- ✓Réaliser une analyse d'écart par rapport aux 5 piliers.
- ✓Renforcer la gouvernance du risque TIC et impliquer l'organe de direction.
- ✓Cartographier les prestataires TIC critiques et réviser les contrats.
- ✓Mettre en place un dispositif de tests de résilience et de notification d'incidents.
DORA demande une approche transverse, à la croisée de la cybersécurité, des risques et du juridique. Un accompagnement structuré permet d'éviter les angles morts, notamment sur la chaîne de sous-traitance TIC.
Pour aller plus loin
Conformité →