Conformité DORA : Résilience Opérationnelle Numérique pour les Entités Financières

DORA — le Règlement sur la Résilience Opérationnelle Numérique (Règlement 2022/2554/UE) — est un règlement européen obligatoire qui s'applique aux entités financières de toute l'UE depuis le 17 janvier 2025, couvrant les banques, compagnies d'assurance, entreprises d'investissement, établissements de paiement, établissements de monnaie électronique, prestataires de services sur crypto-actifs, et les prestataires de services TIC tiers désignés comme critiques. DORA exige de ces entités la mise en œuvre d'un cadre complet de gestion des risques TIC, la déclaration des incidents TIC majeurs aux autorités compétentes (notamment le Banco de España et la CNMV pour les entités espagnoles), la réalisation de tests réguliers de résilience opérationnelle numérique incluant des tests de pénétration pilotés par la menace (TLPT), et la gestion du risque des prestataires TIC tiers via des dispositions contractuelles conformes à l'art. 30 du Règlement. Le non-respect est supervisé et sanctionné par les autorités nationales compétentes.

Notre équipe de conformité réglementaire financière combine une connaissance approfondie du Règlement DORA avec une expérience pratique de la mise en œuvre de cadres de gestion des risques TIC dans des entités du secteur financier.

Ce service s’inscrit dans notre conseil juridique.

Pourquoi DORA est Plus qu’un Exercice Documentaire

DORA s’applique directement dans toute l’UE depuis janvier 2025. Contrairement à de nombreux cadres de conformité, DORA ne se limite pas aux exigences documentaires — il exige de véritables changements opérationnels dans la manière dont les entités financières gouvernent leur technologie, gèrent les incidents et contractent avec leurs prestataires. L’expérience des premiers mois d’application confirme une préparation inégale du secteur, avec des lacunes significatives notamment dans la conformité des contrats avec les prestataires TIC et la capacité opérationnelle à respecter les délais de notification d’incidents.

Les Quatre Piliers en Pratique

Le cadre de gestion des risques TIC requis par l’art. 6 de DORA exige des politiques de risques TIC approuvées par la direction, un inventaire complet des systèmes et actifs TIC critiques, une méthodologie d’évaluation des risques régulière et un plan de continuité d’activité spécifique aux perturbations technologiques. Pour de nombreuses entités financières de taille intermédiaire, ce niveau de gouvernance TIC formelle est véritablement nouveau — la gestion opérationnelle de l’informatique existait, mais pas le cadre structuré que DORA exige.

Le risque des prestataires TIC tiers est le deuxième grand domaine de complexité. Presque toutes les entités financières dépendent aujourd’hui de prestataires cloud, de plateformes SaaS et d’éditeurs de logiciels spécialisés essentiels à leurs opérations quotidiennes. DORA impose des obligations contractuelles détaillées pour ces relations, notamment des droits d’audit que de nombreux prestataires mondiaux n’accordent pas par défaut, et un registre complet de tous les accords avec les prestataires TIC.

TLPT et Tests de Résilience Avancés

Pour les entités de grande taille soumises aux Tests de Pénétration Pilotés par la Menace, nous coordonnons le processus de bout en bout : sélection d’un prestataire red-team certifié, définition du périmètre avec l’autorité de supervision, exécution des tests sur les fonctions et systèmes critiques, et production du rapport final avec un plan de remédiation documenté. DORA est explicite sur le fait que les résultats des TLPT — y compris les vulnérabilités identifiées — doivent être partagés avec le superviseur et accompagnés d’un calendrier de remédiation concret.

Relation avec NIS2 et les Autres Cadres

Les entités financières soumises à DORA sont exemptées de NIS2 dans les domaines que DORA réglemente. Pour les groupes ayant à la fois des activités financières et non financières, nous cartographions les périmètres respectifs pour identifier où un cadre de gouvernance unique peut servir les deux réglementations et où un traitement séparé est requis. Nous intégrons également la conformité DORA avec les programmes de conformité NIS2 pour les groupes qui ont besoin des deux, en veillant à ce que les investissements en sécurité soient valorisés à travers les exigences réglementaires plutôt que dupliqués.

Notre processus de mise en œuvre de la conformité DORA

Nous mettons en œuvre le cadre complet de conformité DORA : analyse des écarts par rapport aux RTS publiées et aux lignes directrices ABE/AEMF, conception du cadre de gestion des risques TIC, protocole de notification des incidents majeurs, programme de tests de résilience (y compris coordination des TLPT le cas échéant), et examen et remédiation des contrats TIC pour intégrer les clauses obligatoires de l’art. 30 du Règlement.

Notre processus se déroule en phases structurées :

Analyse des écarts DORA — Nous évaluons votre état de conformité actuel par rapport aux quatre piliers DORA et aux Normes Techniques de Réglementation publiées. Nous identifions les écarts prioritaires et produisons un plan de remédiation avec des estimations d’effort, un calendrier et une documentation d’approbation par la direction. Cadre de gestion des risques TIC — Nous concevons et mettons en œuvre le cadre de gouvernance des risques TIC requis par l’art. 6 de DORA : politiques, procédures, registre des actifs TIC et d’information, méthodologie d’évaluation des risques et plan de continuité d’activité spécifique aux perturbations TIC. Protocole de classification et notification d’incidents — Nous établissons les critères de classification des incidents TIC (mineurs, majeurs), les seuils de notification réglementaire et le processus de notification en trois phases (initiale, intermédiaire, finale) avec des formulaires alignés sur les exigences des RTS ABE/AEMF. Contrats TIC et surveillance des tiers — Nous auditons et remedions les contrats de prestataires TIC pour intégrer les clauses obligatoires de l’art. 30 de DORA : droits d’audit, continuité de service, localisation des données, gestion des sous-traitants et coopération avec les autorités de supervision — y compris pour les prestataires TIC tiers critiques désignés.

Chaque étape est documentée et produit des livrables concrets. Nous privilégions la clarté opérationnelle : à l’issue de chaque phase, vous savez exactement où vous en êtes, ce qui reste à faire et quel est votre niveau de conformité ou de protection réelle.

Ce qu’inclut notre service de conformité DORA

Notre service couvre l’ensemble du périmètre nécessaire à une protection réelle et durable :

Analyse des Écarts DORA & Plan de Remédiation : Évaluation structurée de la conformité actuelle par rapport aux quatre piliers DORA et aux RTS/ITS publiés par l’ABE et l’AEMF. Rapport de lacunes priorisé et plan de remédiation avec calendrier et estimations de coûts, formatés pour l’approbation par la direction et l’examen prudentiel.

Cadre de Gestion des Risques TIC : Conception et mise en œuvre du cadre de gouvernance des risques TIC requis par l’art. 6 de DORA : politiques, procédures, inventaire des actifs critiques, méthodologie d’évaluation des risques, plan de continuité d’activité TIC et fonctions de contrôle interne.

Protocole de Notification des Incidents TIC : Système de classification des incidents aligné sur les critères des RTS de l’ABE, workflow d’escalade et de notification en trois phases (initiale, intermédiaire, finale), modèles de rapports alignés sur les exigences prudentielles et intégration avec l’équipe de réponse aux incidents de cybersécurité.

Audit & Remédiation des Contrats TIC : Audit systématique de tous les contrats de prestataires TIC, identification des dispositions manquantes ou insuffisantes par rapport à l’art. 30 de DORA et support à la négociation avec les prestataires pour atteindre la conformité — avec traitement prioritaire pour les contrats cloud et logiciels critiques.

Programme de Tests de Résilience : Conception du programme annuel de tests de résilience numérique : tests basés sur des scénarios, tests de pénétration avancés et coordination des TLPT pour les entités obligées — incluant l’interaction prudentielle tout au long du processus, le cadrage du renseignement sur les menaces et le rapport final.

Accompagnement sur Mesure

Toute intervention dans ce domaine commence par une analyse de votre situation spécifique — taille de l’entreprise, secteur d’activité, exposition géographique et historique de conformité. Nous ne proposons pas de solutions génériques : chaque recommandation est calibrée sur votre réalité opérationnelle et votre tolérance au risque.

Pour les groupes internationaux opérant en Espagne, nous coordonnons avec les équipes locales de conformité et les cabinets partenaires dans les autres juridictions concernées. Pour les PME, nous calibrons l’effort de mise en conformité de manière proportionnelle — en distinguant les obligations légalement exigibles des bonnes pratiques recommandées, pour que le budget juridique soit alloué de façon optimale.

Notre équipe maintient une veille réglementaire continue sur l’évolution du cadre espagnol et européen. Les clients bénéficient d’alertes proactives sur les changements législatifs les concernant — avant que ces changements ne créent une exposition réglementaire non anticipée.

Cas pratique : programme DORA pour une société de gestion d’actifs espagnole

Contexte

Une société de gestion d’actifs de taille intermédiaire (AUM : 450 M€) supervisée par la CNMV était soumise à DORA en tant qu’entité financière selon l’art. 2 du Règlement (UE) 2022/2554. Son programme de conformité technologique était limité : politique de sécurité de base, pas de gestion formalisée des risques ICT, pas de registre des tiers prestataires IT, et aucun test de résilience opérationnelle réalisé au cours des 3 derniers exercices.

La CNMV avait inclus la vérification de la conformité DORA dans ses priorités d’inspection pour 2026.

Intervention BMC

Phase 1 — Analyse des écarts (gap analysis) (semaines 1-4)

BMC a conduit une analyse exhaustive des 5 piliers DORA : gestion des risques ICT (Chapitre II), gestion des incidents ICT (Chapitre III), tests de résilience opérationnelle numérique (Chapitre IV), risque lié aux tiers prestataires ICT (Chapitre V), et partage d’informations (Chapitre VI). Résultat : 34 écarts identifiés, dont 8 majeurs nécessitant une action immédiate avant l’inspection CNMV.

Phase 2 — Mise en conformité prioritaire (semaines 5-16)

Pour les 8 écarts majeurs :

• Cadre de gouvernance et de stratégie ICT (art. 5-6) : rédaction de la stratégie de résilience numérique approuvée par le conseil d’administration
• Registre complet des tiers prestataires ICT (art. 28) : inventaire de 23 prestataires avec classification par criticité, inclusion des clauses DORA dans les contrats lors du prochain renouvellement
• Plan de gestion des incidents ICT (art. 17-19) : procédures de classification, notification au CNMV selon les délais DORA (rapport initial 4h après classification, rapport intermédiaire 72h, rapport final 1 mois)
• Tests de pénétration TLPT (art. 26) : planification du premier test TLPT avec prestataire accrédité

Phase 3 — Documentation et formation (semaines 17-20)

Préparation du dossier de conformité DORA complet, formation du conseil d’administration (2 heures) et des équipes opérationnelles (4 heures), et mise en place du tableau de bord de suivi des indicateurs DORA.

Résultats

L’inspection CNMV a été conduite 6 mois après le début du programme BMC. La société a présenté un dossier de conformité complet. L’inspecteur a noté “des progrès substantiels par rapport à la situation observée lors de l’inspection précédente” et n’a émis aucune exigence contraignante, uniquement deux recommandations non urgentes.

Questions pré-engagement

1. DORA s’applique-t-il à notre entreprise ? Nous sommes une société de conseil financier non bancaire.

DORA s’applique à un large spectre d’entités financières définies à l’art. 2 : établissements de crédit, entreprises d’investissement, sociétés de gestion, compagnies d’assurance, prestataires de services de paiement, contreparties centrales, et autres. Les sociétés de conseil financier relevant de la MiFID II (entreprises d’investissement) sont incluses. Pour les entités de petite taille ou avec un profil de risque limité, DORA prévoit des dispositions proportionnées. BMC détermine précisément votre statut DORA en 48 heures.

2. Quelles sont les sanctions prévues pour non-conformité DORA ?

DORA ne fixe pas de montant précis de sanctions — il délègue aux États membres et aux autorités compétentes nationales (CNMV, Banco de España, DGSFP selon les secteurs) la définition des sanctions. En pratique, les autorités espagnoles ont le pouvoir d’imposer des amendes, des mesures administratives (interdictions, suspensions) et des exigences de remédiation contraignantes. Les entités non conformes à l’échéance du 17 janvier 2025 (date d’application de DORA) sont exposées à ces mesures.

3. Nos principaux prestataires ICT sont des hyperscalers (AWS, Azure, Google Cloud). Devons-nous renégocier nos contrats avec eux ?

DORA impose des clauses contractuelles spécifiques pour les tiers prestataires ICT (art. 30), renforcées pour les prestataires critiques (art. 28). Les hyperscalers ont mis à jour leurs conditions générales pour inclure les clauses DORA — mais leur niveau de conformité avec les clauses optionnelles doit être vérifié. Pour les contrats existants, les clauses DORA doivent être intégrées lors du prochain renouvellement ou par avenant. BMC évalue votre situation contractuelle et prépare les avenants nécessaires.

4. Qu’est-ce qu’un test TLPT et devons-nous en réaliser un ?

Les TLPT (Threat-Led Penetration Tests) sont des tests de pénétration avancés basés sur des scénarios de menaces réelles, conduits par des prestataires accrédités selon le cadre TIBER-EU. Ils sont obligatoires pour les entités financières considérées comme systémiquement importantes (art. 26 DORA) selon les critères définis par les autorités compétentes. Pour les autres entités, des tests de pénétration standard sont exigés selon le programme de tests de résilience (art. 25). BMC détermine votre niveau d’obligation et planifie les tests avec des prestataires accrédités.

5. DORA est-il compatible avec la conformité NIS2 ou faut-il deux programmes distincts ?

DORA est une lex specialis pour le secteur financier — il remplace NIS2 pour les entités financières qui y sont soumises (art. 1.2 DORA). Un seul programme de conformité est nécessaire, axé sur DORA. En revanche, certains concepts sont communs (gestion des risques ICT, gestion des incidents, tests de résilience) et une approche intégrée avec le cadre ISO 27001, si vous l’avez déjà en place, est possible et recommandée par BMC.

Intégration avec l’écosystème BMC

• Cybersecurity audit : l’audit de cybersécurité est l’outil technique qui alimente l’analyse des risques ICT requise par DORA (art. 8-13). BMC coordonne les deux démarches.
• NIS2 compliance : pour les entités soumises à NIS2 (non financières), les approches méthodologiques sont similaires. BMC mutualise les travaux pour les groupes avec des entités soumises à différents régimes.
• Corporate governance : DORA renforce les responsabilités de la direction générale et du conseil d’administration sur la résilience numérique (art. 5). L’équipe gouvernance de BMC intègre ces responsabilités dans les mandats des organes.

Métriques de succès

DORA et la gouvernance des risques ICT : responsabilités de la direction

L’un des apports les plus significatifs de DORA est la formalisation des responsabilités de la direction générale et du conseil d’administration sur la résilience numérique. L’article 5 de DORA stipule que l’organe de direction définit, approuve, supervise et est responsable de la mise en oeuvre du cadre de gestion des risques ICT.

Cette disposition a des implications concrètes : les administrateurs et dirigeants ne peuvent plus déléguer entièrement la cybersécurité à la direction IT. Ils doivent approuver la stratégie de résilience numérique, superviser les investissements ICT significatifs, et s’assurer que les rapports sur les risques ICT sont régulièrement présentés aux organes de gouvernance. BMC prépare des formations adaptées aux membres des conseils d’administration pour leur permettre de remplir efficacement ce rôle de supervision sans avoir à devenir des experts techniques.