Le règlement DORA expliqué

Liudmyla Kharchenko

Liudmyla Kharchenko

Auteur
Mis à jour
9 juil. 2026
Egalement disponible

Découvrez le règlement sur la résilience opérationnelle numérique (DORA) et son impact sur la résilience digitale. Ce guide vous explique le contenu de DORA et ses exigences.

Si vous travaillez dans les opérations numériques, le Digital Operational Resilience Act (DORA) est un texte à connaître. Cette réglementation aide les institutions financières et leurs principaux prestataires de services à se préparer aux cyberattaques et aux défaillances système. Concrètement, qu'est-ce que cela signifie pour votre activité ? DORA garantit la stabilité et la continuité de vos opérations face aux défis inhérents à un environnement numérique.

Cet article vous présente les points clés de DORA – de ses objectifs et exigences de conformité DORA à son impact sur les entreprises européennes et non européennes. Que vous exerciez au sein de l'UE ou que vous travailliez avec des clients établis dans l'UE, comprendre DORA est indispensable pour maintenir votre résilience dans un monde de plus en plus numérisé. Nous aborderons également les implications de DORA pour le tracking côté serveur et la manière dont Stape appréhende cette nouvelle réglementation.

Stape est entièrement conforme à DORA, garantissant une protection des données et une fiabilité de service au plus haut niveau.

Qu'est-ce que DORA ?

Le règlement DORA est un texte majeur du droit européen, conçu pour renforcer la sécurité informatique et la résilience opérationnelle des institutions financières européennes. Il est entré en vigueur le 16 janvier 2023, et la conformité DORA est devenue obligatoire le 17 janvier 2025. DORA est reconnu comme un outil efficace de gestion des risques numériques dans le secteur financier.

NIS2 et DORA constituent deux cadres de référence essentiels en matière de cybersécurité et de résilience numérique. NIS2 vise à renforcer les mesures de sécurité pour les services essentiels au sein de l'UE, tandis que le Digital Operational Resilience Act a pour objectif de consolider la solidité opérationnelle des institutions financières. Ensemble, ils jouent un rôle déterminant dans la protection de l'infrastructure numérique européenne face aux cybermenaces émergentes.

En septembre 2023, la Commission européenne a clarifié les relations entre ces deux cadres dans sa directive NIS2 :

  • La directive NIS2 cible les secteurs critiques tels que l'énergie, les transports, l'approvisionnement en eau, la santé et l'infrastructure numérique. Elle vise à protéger ces services vitaux en introduisant des exigences de cybersécurité plus strictes et en améliorant les capacités de réponse aux incidents.
  • DORA, quant à lui, est spécifiquement conçu pour le secteur financier – banques, compagnies d'assurance, sociétés d'investissement. Il établit un cadre complet d'exigences pour la gestion des risques liés aux technologies de l'information et de la communication (TIC), afin que les institutions financières soient en mesure de résister aux perturbations liées aux TIC, d'y répondre et de s'en remettre.

Les institutions financières et les prestataires de services TIC établis dans l'UE sont ainsi tenus de satisfaire aux exigences de conformité DORA depuis le 17 janvier 2025. Chaque État membre est responsable du respect de cette obligation, et les autorités de régulation désignées sont habilitées à imposer des mesures de sécurité spécifiques et à remédier aux vulnérabilités connues.

Le non-respect du règlement peut entraîner de lourdes sanctions. Pour les prestataires TIC qualifiés de « critiques » par la Commission européenne, les amendes peuvent atteindre 1 % de leur chiffre d'affaires journalier moyen mondial de l'exercice précédent.

Pourquoi DORA est-il important ?

Le secteur financier, tant en Europe qu'à l'échelle mondiale, est confronté à une recrudescence des cyberattaques, dans un contexte de montée en puissance des cybermenaces à l'échelle internationale.

C'est pour répondre à ce défi que l'Union européenne a adopté le Digital Operational Resilience Act. L'objectif est de bâtir un système unifié de cyberrésilience et d'assurer la stabilité financière à travers l'UE. DORA encourage des pratiques proactives qui aident les organisations à atténuer l'impact des cybermenaces sur leurs systèmes TIC.

DORA vise également à harmoniser les réglementations à l'échelle européenne. Auparavant, chaque pays disposait de ses propres règles et mécanismes de supervision, créant une fragmentation préjudiciable. En y remédiant, DORA instaure une approche cohérente qui soutient l'ambition européenne d'une plus grande convergence législative et économique.

Pour les institutions financières et les autres entités concernées, DORA présente l'avantage supplémentaire d'obligations légales plus lisibles en matière de cybersécurité et de résilience. Cette clarté s'applique au-delà des frontières nationales, offrant un cadre de référence uniforme et réduisant les incertitudes face aux cybermenaces.

Objectifs de DORA

Pour mieux appréhender la conformité DORA, penchons-nous sur ses objectifs fondamentaux.

DORA poursuit deux objectifs principaux :

  1. Établir des pratiques complètes de gestion des risques TIC pour le secteur financier, incluant des normes pour les évaluations de risques, la notification des incidents et les tests de résilience.
  2. Harmoniser les réglementations en matière de gestion des risques TIC à travers les États membres de l'UE, créer des conditions équitables et réduire les contraintes de conformité pour les entités financières opérant dans plusieurs pays européens.

Avant DORA, la fragmentation des réglementations nationales compliquait la conformité pour les institutions financières transfrontalières. DORA y remédie en instaurant des normes réglementaires uniformes, en réduisant la confusion et en renforçant la sécurité dans l'ensemble du secteur financier européen.

À qui s'applique DORA ?

Le règlement DORA s'applique à plus de 22 000 institutions financières et prestataires de services TIC opérant au sein de l'UE, ainsi qu'aux infrastructures TIC qui les soutiennent depuis l'extérieur de l'UE. Il concerne notamment :

  • Les banques
  • Les compagnies d'assurance
  • Les sociétés d'investissement
  • Les prestataires de services de paiement
  • Les bourses de valeurs
  • Les infrastructures de marché
  • Les agences de notation
  • Les prestataires de services sur crypto-actifs

DORA s'étend également aux prestataires de services TIC critiques qui soutiennent ces institutions. Les organisations doivent identifier leurs dépendances vis-à-vis de prestataires TIC tiers et les diversifier afin d'éviter une concentration excessive sur un seul fournisseur ou un groupe limité de fournisseurs.

Les exigences de DORA

Voici les principales exigences de DORA :

1. Réduction des risques TIC

En vertu de l'article 6, DORA impose la mise en place d'un cadre de gestion des risques TIC robuste, complet et bien documenté, intégré au système global de gestion des risques de l'institution. Les éléments clés comprennent :

  • Identification et évaluation des risques. Évaluez et documentez régulièrement les risques TIC, y compris ceux découlant de dépendances vis-à-vis de tiers.
  • Mesures de protection et de prévention. Mettez en place des stratégies, des politiques et des outils pour protéger les systèmes et les données – notamment des solutions d'accès sans mot de passe pour atténuer les risques de phishing.
  • Mécanismes de détection. Utilisez des technologies permettant d'identifier rapidement les anomalies et les incidents de sécurité potentiels.
  • Planification de la réponse et de la reprise. Élaborez des plans de continuité d'activité et de gestion de crise.
  • Formation et amélioration continue. Améliorez continuellement les systèmes sur la base des incidents passés et des résultats des tests.

DORA exige également la désignation d'un responsable de la supervision de la gestion des risques TIC, afin de garantir une gouvernance claire et une responsabilisation effective.

2. Notification des incidents

La gestion et la notification des incidents constituent des éléments centraux de DORA. Les institutions doivent mettre en place des systèmes pour suivre et catégoriser les incidents liés aux TIC. En vertu de l'article 19, les organisations doivent soumettre :

  • Un rapport initial dans un délai défini après l'identification d'un incident significatif.
  • Un rapport intermédiaire si la situation évolue significativement.
  • Un rapport final après la réalisation de l'analyse des causes profondes et l'évaluation de l'impact de l'incident.

Par ailleurs, en vertu des articles 18 à 20, les organisations sont tenues de :

  • Classer les incidents TIC selon des niveaux d'impact prédéfinis.
  • Utiliser des modèles standardisés pour notifier les incidents aux autorités de régulation.
  • Informer rapidement les utilisateurs finaux et les clients des incidents graves et des mesures d'atténuation mises en œuvre.
  • Veiller à ce que les rapports soient soumis avant la fin de la journée ouvrable ou dans les quatre heures suivant l'ouverture du jour ouvrable suivant si l'incident survient peu avant la clôture.

3. Tests de résilience opérationnelle numérique

En vertu de l'article 25, DORA impose des tests réguliers des systèmes de gestion des risques TIC pour s'assurer de leur efficacité. Les étapes de test comprennent :

  • Évaluations de vulnérabilités. Effectuez des analyses régulières pour identifier les failles dans les systèmes et les applications.
  • Évaluation de la sécurité des réseaux et des infrastructures. Testez les défenses réseau.
  • Tests de sécurité applicative. Évaluez les logiciels utilisés pour les fonctions métier critiques.
  • Tests basés sur des scénarios. Simulez différents scénarios de cybermenaces pour évaluer les capacités de réponse.
  • Tests de pénétration pilotés par la menace. Des tests avancés pour les institutions financières critiques, réalisés au moins tous les trois ans.

L'article 26 impose également aux organisations de réaliser des tests de pénétration pour les processus TIC soutenant des fonctions critiques, y compris les services externalisés.

4. Gestion des risques liés aux tiers

Reconnaissant l'importance des prestataires de services TIC, DORA introduit des exigences strictes en matière de gestion des risques tiers, notamment :

  • Diligence raisonnable. Évaluez les prestataires TIC avant de conclure des contrats.
  • Garanties contractuelles. Intégrez des dispositions relatives à la sécurité, à la notification des incidents et aux droits d'audit dans les contrats.
  • Surveillance continue. Évaluez régulièrement les performances et les mesures de sécurité des tiers.
  • Stratégies de sortie. Élaborez, si nécessaire, des plans de transition vers un autre prestataire.

DORA établit également des cadres de supervision pour les prestataires TIC tiers critiques, permettant aux autorités de supervision européennes de contrôler directement leur conformité.

5. Partage d'informations

DORA encourage la collaboration entre organisations financières de confiance afin de :

  • Sensibiliser aux risques liés aux TIC.
  • Limiter la propagation des vecteurs de menaces TIC.
  • Partager des stratégies défensives, des techniques d'atténuation et du renseignement sur les menaces.

Mise en œuvre de DORA

Se préparer à la conformité DORA

Atteindre la conformité DORA peut sembler complexe, mais la démarche devient gérable avec une approche structurée. Passez en revue vos pratiques de cybersécurité et votre plan de gestion des risques afin d'identifier les axes d'amélioration. Formez régulièrement l'ensemble de vos collaborateurs, y compris les dirigeants – c'est indispensable pour constituer une équipe solide et préparée.

Examinez vos contrats avec les prestataires de services TIC pour vous assurer qu'ils répondent aux exigences de DORA. Établissez un inventaire exhaustif de tous vos accords – services cloud, éditeurs de logiciels – pour identifier les dépendances et atténuer les risques. En adoptant ces mesures stratégiques, votre organisation peut renforcer sa résilience opérationnelle et s'aligner sur les exigences de conformité DORA.

DORA au Royaume-Uni vs DORA dans l'UE : quelles différences ?

DORA introduit des normes de résilience unifiées à l'échelle européenne, et les entreprises britanniques doivent en être informées.

Les entreprises régulées au Royaume-Uni doivent gérer les risques opérationnels de manière responsable et efficace, et s'assurer que leur organisation repose sur des systèmes de gestion des risques robustes. Les règles de la Financial Conduct Authority (FCA) définissent cette obligation, qui couvre la gouvernance, la gestion des risques, les contrôles internes, la continuité d'activité, la planification de contingence et les pratiques d'externalisation.

Ces exigences existantes sont désormais complétées par de nouvelles dispositions ciblant la résilience opérationnelle. Le cadre de cybersécurité DORA renforce ces mesures, en s'assurant que les entreprises traitent les risques TIC de manière globale et se protègent contre les menaces numériques. Le dispositif actualisé introduit des exigences pour certains types d'entreprises et envisage de les étendre aux prestataires de services non régulés par la FCA.

Le régime britannique de résilience opérationnelle

Le régime britannique de résilience opérationnelle adopte une approche plus large des risques opérationnels que le DORA européen. Il met l'accent sur la capacité d'une entreprise à résister aux perturbations – et pas seulement celles d'origine numérique ou liées aux TIC.

Ce cadre s'applique aux banques, aux assureurs et aux principales sociétés d'investissement. Les gestionnaires d'actifs peuvent également être inclus s'ils répondent à certains critères.

Contrairement à DORA, le cadre britannique tient compte d'un éventail plus large de risques et adopte une vision plus globale de la résilience. Il concerne un périmètre d'organisations moins étendu que DORA, mais aborde la résilience sous un angle plus large, au-delà des seuls risques numériques, pour aider les entreprises à faire face aux perturbations quelle qu'en soit la source.

L'avenir de la résilience opérationnelle numérique

Qu'est-ce que la conformité DORA représente réellement – une contrainte réglementaire de plus, ou une opportunité de repenser en profondeur la manière dont les entreprises abordent la résilience et la cybersécurité ? Pour beaucoup, c'est un nouveau départ : l'occasion de remplacer des systèmes épars par une approche unifiée qui construit confiance et stabilité dans le monde numérique.

La conformité DORA pousse les entreprises à adopter une posture proactive, à traiter les risques TIC et à garantir la résilience de toute la chaîne d'approvisionnement – y compris les prestataires tiers. DORA incite les organisations à rendre leurs opérations plus résistantes aux cybermenaces et à s'aligner sur la vision européenne d'une économie sécurisée et interconnectée.

La valeur réelle de la conformité DORA dépend de la façon dont les entreprises y répondront. Y verront-elles une contrainte ou une opportunité de renforcer leur résilience et de gagner un avantage concurrentiel ? L'avenir le dira.

DORA et le tracking côté serveur

Le tracking côté serveur aide les entreprises à satisfaire des réglementations comme DORA en améliorant la sécurité et la fiabilité des données. Stape œuvre à répondre aux standards DORA depuis leur entrée en vigueur.

Stape est certifié ISO 27001, HIPAA et RGPD, afin de protéger les données et de garantir la confidentialité. Nous nous engageons à rester à jour vis-à-vis des nouvelles réglementations et à fournir des solutions de tracking sécurisées et fiables. Stape est un partenaire sûr et de confiance pour toute entreprise souhaitant protéger ses données tout en tirant le meilleur parti de son dispositif de tracking.

FAQs

En résumé

Dans un monde où les cybermenaces se font de plus en plus fréquentes et intenses, il est impératif de se doter d'un bouclier solide pour y faire face. Des réglementations comme DORA aident les entreprises à anticiper ces risques et à y répondre de manière adaptée. L'objectif de DORA est clair : maintenir la sécurité des systèmes, protéger les données des clients et assurer la continuité des opérations en période de turbulences.

Resources

Vous souhaitez passer au server side ?s'inscrire !

author

Liudmyla Kharchenko

Author

Liuda est Content Manager chez Stape. Elle écrit sur le suivi serveur. Elle aide les entreprises à améliorer la précision des données, trouver les bons clients et établir des connexions.

Commentaires

Essayez Stape pour tout ce qui concerne le côté serveur