Conformité DORA : Résilience Opérationnelle Numérique pour les Entités Financières

DORA — le Règlement sur la Résilience Opérationnelle Numérique (Règlement 2022/2554/UE) — est un règlement européen obligatoire qui s'applique aux entités financières de toute l'UE depuis le 17 janvier 2025, couvrant les banques, compagnies d'assurance, entreprises d'investissement, établissements de paiement, établissements de monnaie électronique, prestataires de services sur crypto-actifs, et les prestataires de services TIC tiers désignés comme critiques. DORA exige de ces entités la mise en œuvre d'un cadre complet de gestion des risques TIC, la déclaration des incidents TIC majeurs aux autorités compétentes (notamment le Banco de España et la CNMV pour les entités espagnoles), la réalisation de tests réguliers de résilience opérationnelle numérique incluant des tests de pénétration pilotés par la menace (TLPT), et la gestion du risque des prestataires TIC tiers via des dispositions contractuelles conformes à l'art. 30 du Règlement. Le non-respect est supervisé et sanctionné par les autorités nationales compétentes.

Notre équipe de conformité réglementaire financière combine une connaissance approfondie du Règlement DORA avec une expérience pratique de la mise en œuvre de cadres de gestion des risques TIC dans des entités du secteur financier.

Pourquoi DORA est Plus qu’un Exercice Documentaire

DORA s’applique directement dans toute l’UE depuis janvier 2025. Contrairement à de nombreux cadres de conformité, DORA ne se limite pas aux exigences documentaires — il exige de véritables changements opérationnels dans la manière dont les entités financières gouvernent leur technologie, gèrent les incidents et contractent avec leurs prestataires. L’expérience des premiers mois d’application confirme une préparation inégale du secteur, avec des lacunes significatives notamment dans la conformité des contrats avec les prestataires TIC et la capacité opérationnelle à respecter les délais de notification d’incidents.

Les Quatre Piliers en Pratique

Le cadre de gestion des risques TIC requis par l’art. 6 de DORA exige des politiques de risques TIC approuvées par la direction, un inventaire complet des systèmes et actifs TIC critiques, une méthodologie d’évaluation des risques régulière et un plan de continuité d’activité spécifique aux perturbations technologiques. Pour de nombreuses entités financières de taille intermédiaire, ce niveau de gouvernance TIC formelle est véritablement nouveau — la gestion opérationnelle de l’informatique existait, mais pas le cadre structuré que DORA exige.

Le risque des prestataires TIC tiers est le deuxième grand domaine de complexité. Presque toutes les entités financières dépendent aujourd’hui de prestataires cloud, de plateformes SaaS et d’éditeurs de logiciels spécialisés essentiels à leurs opérations quotidiennes. DORA impose des obligations contractuelles détaillées pour ces relations, notamment des droits d’audit que de nombreux prestataires mondiaux n’accordent pas par défaut, et un registre complet de tous les accords avec les prestataires TIC.

TLPT et Tests de Résilience Avancés

Pour les entités de grande taille soumises aux Tests de Pénétration Pilotés par la Menace, nous coordonnons le processus de bout en bout : sélection d’un prestataire red-team certifié, définition du périmètre avec l’autorité de supervision, exécution des tests sur les fonctions et systèmes critiques, et production du rapport final avec un plan de remédiation documenté. DORA est explicite sur le fait que les résultats des TLPT — y compris les vulnérabilités identifiées — doivent être partagés avec le superviseur et accompagnés d’un calendrier de remédiation concret.

Relation avec NIS2 et les Autres Cadres

Les entités financières soumises à DORA sont exemptées de NIS2 dans les domaines que DORA réglemente. Pour les groupes ayant à la fois des activités financières et non financières, nous cartographions les périmètres respectifs pour identifier où un cadre de gouvernance unique peut servir les deux réglementations et où un traitement séparé est requis. Nous intégrons également la conformité DORA avec les programmes de conformité NIS2 pour les groupes qui ont besoin des deux, en veillant à ce que les investissements en sécurité soient valorisés à travers les exigences réglementaires plutôt que dupliqués.