DORA 2025 : guide de mise en conformité pour les entités financières et leurs prestataires IT

Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il s'applique à plus de 22 000 entités financières dans l'Union européenne, ainsi qu'à leurs prestataires critiques de services TIC. Tour d'horizon de ce qu'il faut mettre en place.

Qui est concerné par DORA ?

DORA s'applique à :

• Banques, établissements de crédit et de paiement
• Compagnies d'assurance et de réassurance
• Sociétés de gestion d'actifs et fonds d'investissement
• Plateformes de crypto-actifs (CASP)
• Prestataires tiers critiques de services TIC (cloud, SaaS, infrastructure)

Les petites entités bénéficient d'un régime proportionné, mais aucune entité financière n'est totalement exemptée.

Les 5 piliers de DORA

1. Gouvernance de la résilience TIC

Le conseil d'administration et la direction générale doivent assumer la responsabilité directe du risque TIC. Un cadre de gestion documenté est obligatoire, révisé annuellement.

2. Gestion des risques TIC

Chaque entité doit identifier, classifier et traiter ses actifs TIC critiques. Cela inclut :

• Cartographie des systèmes
• Analyse des dépendances
• Plans de continuité et de reprise (BCDR)

3. Gestion et notification des incidents

DORA impose un processus structuré pour détecter, classer et notifier les incidents majeurs. Les délais de notification aux autorités compétentes sont stricts : 4h pour la notification initiale, 72h pour le rapport intermédiaire.

4. Tests de résilience opérationnelle

Tests obligatoires annuels (tests de base) et tous les 3 ans pour les entités critiques (TLPT — Threat-Led Penetration Testing). Les résultats doivent être remontés à la direction.

5. Gestion du risque lié aux tiers

Contrôle renforcé des prestataires TIC : registre des contrats, clauses contractuelles minimales (droit d'audit, continuité de service), et surveillance spéciale des CTPP (Critical Third-Party Providers).

Plan d'action DORA en 5 étapes

1. Inventaire TIC : cartographier tous les systèmes et prestataires
2. Gap analysis : comparer la situation actuelle aux exigences DORA
3. Mise à niveau contractuelle : intégrer les clauses DORA dans les contrats tiers
4. Programme de tests : planifier les tests de pénétration et de continuité
5. Registre incidents : implémenter un outil de suivi et notification

Pour aller plus loin, dora-finance.fr propose des guides pratiques et des modèles de documentation adaptés aux exigences du règlement.

Sanctions

Les sanctions varient selon les autorités nationales, mais peuvent atteindre 1% du chiffre d'affaires mondial quotidien en cas de manquement persistant. Mieux vaut agir maintenant que d'attendre un contrôle.