Avec DORA (Digital Operational Resilience Act), l'Union européenne a doté le secteur financier d'un cadre réglementaire unifié pour faire face aux risques informatiques et cyber. Pour la première fois, les exigences de résilience opérationnelle sont harmonisées au niveau européen, couvrant tous les acteurs financiers : banques, sociétés de gestion, assureurs, prestataires de services de paiement, plateformes de crowdfunding, et même les prestataires ICT tiers (fournisseurs de cloud, de logiciels, etc.).
Voici les cinq piliers de DORA que les établissements doivent avoir mis en œuvre.
1. Gouvernance et management du risque ICT
DORA impose une gouvernance renforcée du risque ICT au plus haut niveau de l'organisation. Les exigences clés :
- Responsabilité du conseil d'administration : les administrateurs doivent approuver et superviser la stratégie de résilience opérationnelle
- Désignation d'un responsable ICT (ou CISO) avec des fonctions clairement définies
- Mise à jour annuelle de la stratégie de résilience opérationnelle digitale
- Intégration du risque ICT dans les dispositifs de gestion des risques existants (risques opérationnels, risques de non-conformité, etc.)
🔑 Points clés — Gouvernance
- Validation annuelle de la stratégie de résilience par le conseil d'administration
- Désignation obligatoire d'un responsable ICT
- Formation continue des administrateurs et du management aux risques ICT
- Rapports réguliers au conseil sur l'état de la résilience opérationnelle
Cette gouvernance doit être proportionnée à la taille et à la complexité de l'établissement, mais tous les acteurs financiers sont concernés, y compris les plus petites structures.
2. Gestion du risque tiers (Third-Party Risk Management)
La gestion du risque ICT tiers est un pilier central de DORA. Les établissements doivent :
- Cartographier l'ensemble de leurs prestataires ICT (cloud, SaaS, infogérance, etc.)
- Évaluer les risques liés à chaque prestataire (criticité, dépendance, concentration)
- Documenter les mesures de réduction des risques (clauses contractuelles, audits, plans de continuité)
- Déclarer les incidents majeurs impliquant un prestataire tiers
Les prestataires ICT critiques (notamment les hyperscalers cloud comme AWS, Azure ou Google Cloud) font l'objet d'une supervision directe par les autorités européennes (EBA, ESMA, EIOPA).
3. TLPT — Tests de pénétration avancés
Le TLPT (Threat-Led Penetration Testing) est l'une des innovations majeures de DORA. Il s'agit d'une forme avancée de test d'intrusion, pilotée par les menaces identifiées dans le secteur, qui simule des attaques cyber réelles.
Les principales caractéristiques du TLPT :
- Fréquence minimale : tous les 3 ans pour les entités critiques, tous les 5 ans pour les autres
- Périmètre : systèmes, processus et infrastructures ICT considérés comme critiques
- Encadrement : tests réalisés sous le contrôle des autorités de supervision (ACPR, AMF)
- Rapport : les résultats doivent être partagés avec les autorités de supervision
- Remédiation : les vulnérabilités identifiées doivent être corrigées dans des délais définis
Le TLPT s'applique à partir de 2025 pour les entités les plus critiques, avec des modalités précisées par les autorités européennes de supervision (ESA).
4. Reporting des incidents majeurs
DORA impose un reporting accéléré des incidents ICT majeurs :
- Notification initiale : dans les 4 heures suivant la détection de l'incident (critères de majorité définis par les ESA)
- Notification intermédiaire : dans les 72 heures avec une mise à jour des informations
- Rapport final : dans le mois suivant l'incident (ou 2 semaines pour les incidents critiques)
⚠️ Critères de majorité d'un incident
- Impact sur les services critiques (interruption de services essentiels)
- Impact financier significatif (perte de revenus, coûts de remédiation)
- Réputation (atteinte à l'image de l'établissement)
- Impact sur les données personnelles (RGPD)
- Nombre de clients affectés (seuils définis par les autorités)
Les incidents déclarés font l'objet d'une analyse par les autorités de supervision, qui peuvent demander des mesures correctives complémentaires.
5. Partage d'information
DORA encourage le partage d'information sur les menaces, les vulnérabilités et les bonnes pratiques entre établissements financiers. Ce partage peut se faire via :
- Des plateformes de partage agréées par les autorités (ex : les CERT financiers)
- Des communautés d'intelligence économique sectorielles
- Des échanges bilatéraux entre établissements
Le partage d'information est volontaire mais encouragé par les autorités, qui y voient un levier d'anticipation des menaces. Des garanties de confidentialité sont prévues pour protéger les informations sensibles.
Calendrier et sanctions
DORA est entré en application le 17 janvier 2025. Les établissements devaient déjà avoir :
- Mis en place la gouvernance et le management du risque ICT
- Cartographié leurs prestataires ICT tiers
- Défini les critères de majorité d'incidents
- Désigné les responsables du reporting d'incidents
Les sanctions en cas de non-conformité sont significatives :
- Amendes administratives pouvant atteindre 10 % du chiffre d'affaires annuel de l'établissement
- Sanctions individuelles pour les dirigeants (amendes, interdiction de fonctions)
- Publicité des sanctions (effet réputationnel)
Conclusion — Une résilience opérationnelle qui s'installe durablement
DORA n'est pas une réglementation ponctuelle : elle installe un cycle permanent de gestion du risque ICT dans le secteur financier européen. Gouvernance, gestion du risque tiers, TLPT, reporting d'incidents et partage d'information forment un système cohérent qui vise à renforcer la résilience de l'ensemble du système financier.
Pour les établissements qui ont anticipé ces exigences, 2025 et 2026 sont des années de mise en œuvre et de rodage. Pour ceux qui n'ont pas encore engagé de travaux, le risque de non-conformité est élevé, avec des sanctions qui peuvent être dissuasives.
L'enjeu est autant opérationnel que stratégique : une résilience opérationnelle solide est un avantage concurrentiel dans un environnement de plus en plus digitalisé et exposé aux cyber-risques.
💡 Ce qu'il faut retenir
- Entrée en vigueur : 17 janvier 2025 — application immédiate
- Gouvernance : responsabilité du conseil, désignation d'un responsable ICT
- Risque tiers : cartographie des prestataires et registre des contrats ICT
- TLPT : tests de pénétration avancés tous les 3 à 5 ans
- Reporting incidents : 4h → 72h → 1 mois
- Sanctions : amendes jusqu'à 10 % du CA