Fondée en 2013, Upyne émerge en tant qu'agence de référence dans la création de sites internet et d'applications mobiles. Notre histoire est façonnée par une passion partagée pour l'innovation numérique et un engagement indéfectible envers l'excellence. Choisissez Upyne, votre partenaire idéal pour concrétiser vos projets digitaux.
Upyne > Cybersécurité > Le règlement DORA, qu’est-ce que c’est ?

Le règlement DORA, qu’est-ce que c’est ?

La règlementation DORA

Avec l’accélération de la transformation numériques dans les services financiers, les cyberattaques et incidents informatiques représentent un risque de plus en plus stratégique. Une interruption de service, une compromission de données ou une dépendance excessive à un fournisseur de services numériques peut aujourd’hui avoir une effet domino sur l’ensemble du système financier européen. Dans ce contexte, l’Union européenne a adopté le règlement DORA (Digital Operationnal Resilience Act). Celui-ci impose aux entités financières un ensemble d’obligations pour assurer la robustesse de leur fonctionnement face aux risques numériques. Ce texte complète les exigences existantes en matière de sécurité, en les harmonisant au niveau européen et en y intégrant pour la première fois une supervision directe des prestataires TIC critiques. Entré en vigueur en janvier 2023, DORA est applicable depuis le 17 janvier 2025.

Objectifs du règlement DORA

Le règlement visa à garantir que toutes les entités du secteur financier :

  • Maintiennent une capacité à prévenir, détecter, contenir, récupérer et réparer les incidents liés aux TIC.
  • Assurent une résilience opérationnelle numérique constante, indépendamment de la complexité de leur système d’information.
  • Intègrent dans leur gouvernance les risques liés aux technologies de l’information et de la communication.
  • Réduisent leur dépendance non maîtrisées aux prestataires tiers critiques (cloud, infrastructures, services externalisés).
  • Harmonisent les pratiques de gestion des incidents informatiques à l’échelle de l’UE.

Champ d’application : une portée très large

Le règlement DORA s’appliquent à une variété d’acteurs, qu’ils soient de grande taille ou non, réglementées ou émergents. Sont notamment concernés :

  • Banques, établissements de crédits
  • Assureurs, réassureurs, mutuelles
  • Prestataires de services de paiement et d’émissions de monnaie électronique
  • Société de gestion de portefeuille
  • Dépositaires centraux, chambres de compensation
  • Bourses, marchés réglementés
  • Fournisseurs de services crypto-actifs
  • Plateformes de financement participatif
  • Prestataires tiers de services TIC critiques (fournisseurs cloud, services d’hébergement, de traitement ou de cybersécurité externalisée)

Les obligations sont adaptées à la taille, au profil de risque et au niveau de complexité des entités. Certaines micro-entreprises bénéficient d’un régime allégé, bien que la majorité des exigences reste applicable.

Les 5 principes DORA en détail

>> 1. Gestion des risques liés aux TIC (article 5 à 16)

Les entités doivent formaliser une stratégie de gestion des risques informatiques, approuvées au niveau du conseil d’administration. Cela implique par conséquent :

  • Une cartographie des actifs TIC (matériel, logiciels, services, flux des données)
  • Une analyse des risques (cyber, défaillance, indisponibilité)
  • L’identification des fonctions critiques et des points de défaillance unique
  • Des politiques de sécurité claires et mises à jour régulièrement
  • Une gestion rigoureuse des droits d’accès et de l’authentification

La gouvernance des risques ne doit plus être cantonnée à la DSI. Elle doit impliquer les directions métiers, le contrôle interne et la direction générale.

>> 2. Gestion et notification des incidents (articles 17 à 23)

Les entités doivent se doter de procédures pour :

  • Détecter et catégoriser les incidents (cyberattaques, indisponibilité, erreurs humaines…)
  • Evaluer leur impact sur les opérations
  • Documenter tous les incidents dans un registre interne
  • Notifier les incidents majeurs à l’autorité compétente sous 24 heures, puis fournir un rapport complet dans les 72 heures

Les autorités financières pourront partager ces données à des fins de veille sectorielle.

>> 3. Tests de résilience numérique (article 24 à 37)

La règlementation DORA impose des tests réguliers de la capacité de l’organisation à résister à des menaces informatiques. Cela inclut :

  • Des tests de vulnérabilités techniques internes
  • Des simulations de crise (exercices de table, tests de basculement)
  • Pour certaines entités, des tests d’intrusion avancés basés sur la menace réelle (TLPT : Threat-Led Penetration System) à effectuer au moins tous les trois ans, par des prestataires externes qualifiés

Ces tests doivent couvrir toutes les fonctions critiques et faire l’objet de plans d’action correctifs en cas de défaillance.

>> 4. Gestion des risques liés aux prestataires TIC tiers (article 26 à 41)

L’externalisation de fonctions critiques vers des prestataires cloud ou logiciels doit désormais faire l’objet de contrôles renforcés.

  • Tous les contrats TIC doivent inclure des clauses obligatoires définies par la règlementation DORA (Droit d’accès, audit, continuités de service, localisation des données)
  • Les entités doivent tenir un registre de toutes les dépendances externes critiques
  • Les prestataires jugés « critiques » pour le système financier feront l’objet d’une supervision directe par l’ESA compétents (EBA, EIOPA ou ESMA), y compris en cas de siège hors UE

Cela permet de limiter les risques de concentration et d’assurer une meilleure traçabilité de la sous-traitance en cascade.

>> 5. Partage d’informations et coordination sectorielle (article 45)

Le règlement DORA encourage les entités à partager volontairement des informations sur :

  • Les cybermenaces en cours ou émergentes
  • Les méthodes d’attaque observées
  • Les vulnérabilités découvertes
  • Les bonnes pratiques de réaction et de protection

Ce partage pourra se faire dans le cadre de communautés de confiance, certifiées par les autorités nationales.

DORA et les autres règlementations européennes

La règlementation DORA s’inscrit dans un écosystème règlementaire plus large, sans s’y substituer. Il complète notamment :

  • NIS2, qui concerne la cybersécurité des secteurs d’importance vitale (y compris certaines entités financières)
  • Le règlement SFDR (transparence en matière de durabilité), qui inclut une composante sur la résilience opérationnelle
  • Les Directives CRD/CRR, Solvabilité II, MiFid II, qui imposaient déjà des obligations prudentielles, mais sans cadre unifié pour les risques numériques

Quels impacts pour les entreprises financières ?

La conformité au règlement DORA nécessite une approche structurée impliquant :

  • Une revue complète de la cartographie des systèmes et des dépendances
  • Une mise à jour ou une création des politiques de sécurité TIC
  • L’adaptation des contrats fournisseurs avec l’appui des juristes
  • L’instauration des mécanismes de reporting et d’alerte rapides
  • Le renforcement des capacités de test (infrastructure, expertise, budget)
  • Des formations pour les équipes IT, métiers et dirigeantes

Les établissements devront être aussi en mesure de documenter leurs efforts de mise en conformité en cas de contrôle.

En conclusion, la règlementation DORA impose un nouveau standard de robustesse numérique dans le secteur financier européen. Il ne s’agit plus uniquement de protéger les systèmes, mais de démontrer la capacité à maintenir les services critiques face aux perturbations informatiques, quelles qu’en soient la cause. Pour les entreprises concernées, cette règlementation implique un changement profond de méthode, une implication forte de la direction générale, ainsi qu’une coordination étroite entre la DSI, la conformité, le juridique et les métiers.

Si cette transformation demande du temps et des ressources, elle est aussi l’occasion de revoir des pratiques parfois obsolètes, de renforcer la gouvernance des risques numériques, et de bâtir une architecture technologique plus fiable et mieux pilotée.

Upyne est une agence digitale basée à Lyon.

Explorer

Contact

117 Rue des Charmettes, 69006 Lyon

contact@upyne.com

Copyright © 2024 Upyne    |    Politique de confidentialité    |  Mentions légales