6 min de lecture

Avec le Digital Operational Resilience Act, ou DORA, entré en vigueur en janvier 2023 et devenu juridiquement contraignant deux ans plus tard, l’Union européenne a adopté un règlement visant à renforcer la résilience numérique des établissements financiers et des compagnies d’assurance.

Le plus important en bref

• DORA est entré en vigueur le 17 janvier 2025 au sein de l’UE et impose aux établissements financiers ainsi qu’à leurs prestataires informatiques d’assurer une résilience numérique complète.
• Sont concernés les banques, les compagnies d’assurance, les marchés financiers, les agences de notation, les fournisseurs de services TIC et les prestataires de services liés aux cryptomonnaies ; en Allemagne, environ 22 000 entreprises sont visées.
• La réglementation couvre cinq domaines clés : la gestion des risques TIC, la notification des incidents, les tests de résilience, la supervision des tiers et le cadre de surveillance applicable aux prestataires de services essentiels pour les infrastructures critiques (KRITIS).
• L’entière responsabilité incombe à la direction générale des institutions financières ; elle ne peut être déléguée aux départements IT ou aux prestataires externes.
• Les manquements peuvent être sanctionnés par la BaFin et le BSI via des amendes substantielles.

Qu'est-ce que Sécurité informatique et juridique ?

Sécurité informatique et juridique est un levier concret pour les entreprises en 2025, car il influence directement la capacité de datacenter, l'efficacité énergétique et la conformité. Cet article montre, à partir de l'exemple de synaforce, quels indicateurs, exigences et étapes opérationnelles comptent dans la pratique.

DORA, le Digital Operational Resilience Act, constitue une étape décisive vers une meilleure sécurité informatique et juridique dans le secteur financier et assurantiel, sur les marchés financiers et auprès des agences de notation, ainsi que chez les prestataires de services TIC et les fournisseurs de solutions liées aux cryptomonnaies.

L’objectif principal de la Commission européenne, à l’origine de cette réglementation, est de renforcer la résilience numérique des entreprises et de mettre en place un cadre harmonisé précisant comment réagir face aux cybermenaces et aux pannes informatiques. Les organisations concernées doivent justifier l’adoption de mesures techniques, organisationnelles et procédurales qui vont bien au-delà des recommandations antérieures.

Patience est de mise

À l’instar d’autres règlements et lois de l’UE, DORA, qui fait partie du paquet numérique de la Commission, est officiellement entré en vigueur le 16 janvier 2023, juste après sa publication fin 2022. Les États membres disposaient de deux ans pour transposer cette législation au niveau national. Ainsi, les entreprises concernées ainsi que les autorités financières doivent mettre en œuvre les exigences de DORA avant le 17 janvier 2025.

La dénomination complète – « Résilience opérationnelle numérique du secteur financier et modifications des règlements » – indique clairement que l’objectif principal est de renforcer la résilience numérique du secteur financier. Toutefois, les prestataires tiers de services TIC sont également tenus de respecter ces obligations. La Commission européenne vise à réduire la vulnérabilité aux cybermenaces et aux perturbations tout au long de la chaîne de valeur du secteur financier, tout en incitant les entreprises concernées à y répondre de manière adéquate.

Ce que la réglementation comprend

D’une longueur de 79 pages, la réglementation reprend selon Security Insider également des exigences nationales, telles que celles de la BaFin et du BSI. Toutefois, elle introduit en outre de nouveaux éléments. De manière générale, le Digital Operational Resilience Act couvre cinq domaines clés :

• Établir un cadre pour la gestion des risques liés aux technologies de l’information et de la communication (TIC)
• Gérer, classer et rendre compte des incidents liés aux TIC
• Tester la résilience opérationnelle
• Gérer les risques liés aux fournisseurs tiers
• Mettre en place un cadre de surveillance destiné aux prestataires de services essentiels

La gestion des risques liés aux TIC est désormais ancrée sur le plan juridique, et ne relève plus uniquement d’une simple instruction administrative. La responsabilité globale incombe en principe à la direction générale de l’entreprise financière ou d’assurance. Celle-ci est tenue de surveiller, contrôler et mettre à jour en permanence ses propres systèmes informatiques. Par ailleurs, les entreprises doivent également définir et mettre en place des stratégies de sauvegarde et de récupération, ainsi que conserver des documents relatifs aux risques destinés aux audits internes et externes.

« La gestion des risques liés aux TIC est, avec DORA, ancrée sur le plan juridique et n’est plus seulement une instruction administrative. La responsabilité globale incombe en principe à la direction générale. »
– Principe fondamental du cadre réglementaire DORA

La responsabilité demeure auprès des entreprises financières

En outre, DORA impose également des procédures de classification des incidents TIC, dont certains sont soumis à déclaration obligatoire, ainsi qu’une vérification des systèmes informatiques au moyen de méthodes d’essai appropriées. Les organisations d’importance systémique doivent satisfaire à des exigences plus strictes en la matière.

Un élément essentiel de la réglementation est l’obligation pour les entreprises financières de veiller au management des risques chez leurs prestataires de services TIC. À cet égard, un cadre de surveillance rigoureux, doté de pouvoirs étendus, s’applique aux tiers prestataires de services TIC jugés critiques.

En ce qui concerne les domaines d’application mentionnés précédemment et concernant les entreprises visées, DORA prévoit notamment des exceptions nationales pour les banques de développement. Dans tous les autres cas, la réglementation s’impose de manière contraignante aux entreprises des secteurs financier et assurantiel.

Étapes concrètes de mise en œuvre pour les entreprises financières

Pour la mise en œuvre opérationnelle, les organisations concernées doivent relever plusieurs défis. Premièrement : réaliser un inventaire complet de leur infrastructure informatique, y compris tous les prestataires externes, services cloud et dépendances logicielles. Lors de cette analyse, de nombreuses entreprises constatent que leur écosystème de fournisseurs est bien plus complexe qu’imaginé. Deuxièmement : mettre en place ou adapter un système de gestion des risques IT qui soit conforme à DORA, avec une documentation rigoureuse et des revues régulières.

Troisièmement : définir et mettre en œuvre des processus d’intervention en cas d’incident, avec des obligations claires de signalement, des niveaux d’escalade précis et des canaux de communication structurés. La quatrième étape consiste à mener régulièrement des tests de résilience, dont l’étendue et la fréquence varient selon le niveau de criticité de chaque organisation. Cinquièmement : encadrer contractuellement les prestataires tiers en matière de technologies de l’information et de la communication, en intégrant des droits d’audit, des stratégies de sortie et des SLA (accords de niveau de service) bien définis.

Chacun de ces points représente un effort considérable pour la plupart des entreprises financières. Les institutions de taille moyenne, bien que soumises au champ d’application de DORA, mais ne disposant ni de centres d’opérations de sécurité propres ni de vastes équipes de conformité IT, sont particulièrement dépendantes de l’assistance externe. C’est précisément là que s’inscrivent les offres des cabinets spécialisés en cybersécurité et en protection des données.

Quelles sont les conséquences en cas de non-respect ?

Les autorités de surveillance nationales, notamment la BaFin en Allemagne en collaboration avec le BSI, peuvent imposer des sanctions financières sévères en cas de violation. En outre, des risques pour la réputation, des obligations de notification à l’égard des partenaires commerciaux, ainsi qu’à titre extrême, le retrait de licences ou d’autorisations, peuvent survenir. Pour les directeurs généraux et les membres du conseil d’administration, des risques de responsabilité personnelle peuvent également se poser, car DORA attribue explicitement l’entière responsabilité à la direction de l’entreprise.

Les délais impartis pour remédier aux manquements sont très serrés. Toute entreprise qui ne sera pas conforme à DORA au 17 janvier 2025 n’aura aucune période transitoire et sera juridiquement en retard. Bien que les autorités de surveillance fassent preuve de bon sens à l’égard des entreprises prouvant leur avancement dans la mise en œuvre, l’absence fondamentale des structures requises ne sera en aucun cas tolérée.

Qui peut apporter son soutien à la mise en œuvre

Compte tenu des mesures obligatoires et de l’expiration du délai de mise en œuvre, il est essentiel de s’adjoindre un partenaire compétent capable de traduire les exigences réglementaires de DORA en actions techniques et organisationnelles concrètes. Des cabinets spécialisés en cybersécurité et en protection des données proposent notamment des analyses de l’infrastructure existante, des feuilles de route pour la mise en œuvre, ainsi qu’un accompagnement dans la rédaction des documents destinés aux autorités de contrôle.

Pour toute question relative à la mise en œuvre des prescriptions de DORA, les experts en cybersécurité et en protection des données de msecure se tiennent volontiers à votre disposition pour vous conseiller et vous aider.

DORA dans le contexte international

DORA ne s’inscrit pas en vase clos, mais s’intègre dans un tissu réglementaire européen plus vaste. La directive NIS2 aborde la cybersécurité dans les secteurs critiques, le Cyber Resilience Act fixe des exigences applicables aux produits numériques, tandis que le RGPD régit la protection des données personnelles. Pour les entreprises financières, cela engendre des chevauchements qui nécessitent une cartographie précise : quelles exigences sont couvertes par quelle réglementation ? Où se situent les lacunes ou les contradictions ? Quelles mesures permettent de répondre simultanément à plusieurs obligations de conformité ?

À l’échelle internationale, DORA emprunte une direction similaire à celle des initiatives réglementaires menées aux États-Unis, au Royaume‑Uni et au Japon, tout en privilégiant une réglementation unique applicable à l’ensemble de l’Union européenne plutôt que des lois nationales distinctes. Pour les institutions financières opérant à l’international, cela simplifie la mise en conformité au sein de l’UE, mais renforce les exigences d’intégration avec leurs implantations hors de l’Union. Les banques et les assureurs actifs sur la scène mondiale doivent ainsi structurer leur gouvernance de manière à harmoniser les exigences de DORA avec les cadres réglementaires équivalents en vigueur dans d’autres juridictions.

Préparation aux premiers audits

À compter du 17 janvier 2025, de nombreuses entreprises financières devront faire face à leurs premiers audits DORA menés par les autorités de surveillance nationales. Ces dernières ont indiqué qu’au cours de la période transitoire, elles s’intéresseront avant tout à la qualité des structures mises en place, et non uniquement aux listes de contrôle formelles. L’efficacité des processus sera examinée : les notifications d’incidents sont-elles effectuées dans le délai défini ? Les stratégies de sauvegarde et de reprise après sinistre sont-elles documentées et testées ? Les risques liés aux fournisseurs tiers sont-ils réellement surveillés ?

Pour se préparer aux audits, il est recommandé d’organiser une simulation structurée des principaux scénarios. Cela inclut des exercices de table avec la direction, des tests par équipes rouges sur les systèmes informatiques critiques ainsi que des vérifications régulières des contrats avec les prestataires de services TIC. La documentation produite au cours de ces exercices constitue à la fois la preuve de la conformité à DORA et la base de progrès continus. Les entreprises qui ne disposent pas des ressources nécessaires pour mener ces travaux en interne peuvent tirer parti de partenaires conseil spécialisés, capables d’apporter une méthodologie issue de réglementations similaires telles que BAIT ou VAIT.

Que faut-il concrètement attendre en 2025 et 2026

Dès les premiers mois suivant la date butoir de DORA, le marché commence à montrer des tendances de consolidation. Les petits prestataires de services financiers, qui ne sont pas en mesure de mettre en œuvre les exigences de manière économiquement viable, recherchent des partenariats avec des institutions plus grandes ou avec des fournisseurs spécialisés en technologies de l’information et de la communication. Parallèlement, des plateformes émergent proposant la conformité à DORA sous forme de service géré. Pour les banques de taille intermédiaire, les compagnies d’assurance et les prestataires de services financiers régulés, il s’agit d’une option pertinente.

À moyen terme, la pratique réglementaire deviendra plus importante que le texte de loi lui-même. La manière dont la BaFin (Autorité fédérale allemande de surveillance des marchés financiers) et le BSI (Office fédéral allemand pour la sécurité de l’information) mettront l’accent sur tel ou tel aspect des exigences déterminera, dans les mois à venir, la ligne effective de mise en œuvre. Il est donc conseillé aux responsables informatiques des organisations concernées, outre la conformité formelle à DORA, de maintenir activement des canaux de communication avec les autorités de supervision et de participer à des groupes de travail sectoriels afin d’être informés rapidement des meilleures pratiques du secteur.

Interfaces de DORA avec les cadres existants

Un aspect souvent sous-estimé concerne l’intégration de DORA dans les cadres de conformité déjà en place. Les entreprises qui appliquent déjà la norme ISO 27001 disposent d’un avantage certain : nombre des contrôles requis peuvent être justifiés directement à partir de leur système de gestion de la sécurité de l’information (ISMS). De même, les réglementations BAIT (exigences bancaires en matière de TI) et VAIT (exigences d’assurance en matière de TI) présentent d’importantes zones de recouvrement avec DORA. La mise en place d’une matrice de correspondance claire entre ces différents cadres permet d’éviter le double emploi et démontre aux autorités de supervision que les structures de conformité ont été soigneusement planifiées.

Pour les entreprises n’ayant pas encore mis en œuvre un ISMS, la date butoir fixée par DORA s’avère particulièrement contraignante. Elles doivent, en effet, mettre en place simultanément des processus fondamentaux de gestion des risques tout en répondant aux exigences spécifiques de DORA. Dans de tels cas, il est recommandé d’adopter une approche progressive, consistant d’abord à combler les lacunes les plus critiques, puis à atteindre progressivement la pleine maturité conforme à DORA au fil d’itérations successives. Le recours à des cabinets de conseil externes peut raccourcir considérablement ce processus, à condition que ceux-ci adoptent une méthodologie rigoureuse et ne se contentent pas de fournir des documents standardisés.

Conclusion

DORA marque un tournant réglementaire pour le secteur financier en Europe. Cette réglementation élève la sécurité informatique et la résilience opérationnelle au rang de normes juridiquement contraignantes, obligeant les organisations à revoir en profondeur leurs structures existantes. En prenant DORA au sérieux et en la mettant en œuvre de manière rigoureuse, les entreprises renforcent non seulement leur conformité formale, mais aussi leur capacité réelle à résister aux cyberattaques et aux perturbations opérationnelles. Les mois à venir nous diront comment la pratique prudentielle et la mise en œuvre concrète par les entreprises s’articuleront dans la réalité quotidienne des établissements.

Questions fréquentes

Pour qui DORA s’applique-t-elle précisément ?

DORA concerne les banques, les compagnies d’assurance, les marchés financiers, les agences de notation, les contreparties centrales, les registres des transactions, les prestataires de services liés aux cryptomonnaies ainsi que les fournisseurs tiers essentiels en matière de technologies de l’information et de la communication. En Allemagne, selon les estimations de la BaFin, cela représente environ 22 000 entreprises.

Depuis quand DORA a-t-elle force obligatoire ?

DORA est entrée en vigueur le 16 janvier 2023 ; après une période transitoire de deux ans, elle est devenue juridiquement contraignante le 17 janvier 2025. À compter de cette date, toutes les entreprises concernées doivent avoir pleinement mis en œuvre ses exigences.

Qui est responsable en cas de non-respect de DORA ?

La responsabilité globale incombe explicitement à la direction des entreprises concernées. Cela englobe des risques de responsabilité personnelle pour les membres du conseil d’administration et les directeurs généraux, et ne peut en aucun cas être déléguée aux départements informatiques ou à des prestataires externes.

Quelles sanctions encourent les entreprises en cas de non-conformité ?

Les autorités de surveillance nationales, telles que la BaFin et le BSI, peuvent imposer des amendes. Par ailleurs, des obligations de notification vis-à-vis des partenaires commerciaux, des atteintes à la réputation ainsi qu’en dernier recours le retrait des licences sont également possibles.

Que doivent prendre en compte les établissements financiers lorsqu’ils font appel à des prestataires informatiques ?

DORA exige une gestion documentée des risques liés aux fournisseurs tiers. Cela inclut notamment des droits d’audit, des stratégies de sortie, des SLA clairement définis ainsi que la prise en compte des cyber-risques tout au long de la chaîne de sous-traitance. Les fournisseurs tiers essentiels en matière de technologies de l’information et de la communication relèvent d’un cadre de supervision spécifique au niveau de l’Union européenne.

Source de l’image en tête : iStock / sdecoret