Se connecter
logiciel rgpd
  1. 1 - Qu’est-ce que le DORA ?
    1. 2 - Qui est concerné par le DORA ? 
      1. 3 - Objectifs principaux du DORA
        1. 4 - Étapes clés pour se mettre en conformité
          1. 5 - Sanctions et implications
            1. 6 - Impact du DORA sur la cybersécurité et la conformité

              DORA : Les 8 étapes incontournables pour garantir votre conformité en 2025

              CybersécuritéJanuary 17, 2025

              Le 17 janvier 2025 marque une date clé pour le secteur financier européen : l’entrée en application du Digital Operational Resilience Act (DORA). Avec cette législation, l’Union européenne établit un cadre ambitieux pour garantir que les institutions financières et leurs prestataires critiques soient en mesure de prévenir, gérer et surmonter les perturbations numériques.

              De quoi s’agit-il exactement ? Quelles sont les étapes essentielles pour s’y conformer ? Qui est concerné par cette nouvelle réglementation ?

              Faisons le point sur le DORA : on vous explique tout ce que vous devez savoir pour être en conformité. 

              Qu’est-ce que le DORA ?

              Le DORA est une législation adoptée par l’UE pour garantir que toutes les entités financières et leurs prestataires de services critiques dans l’écosystème financier sont capables de résister, répondre et se remettre des perturbations opérationnelles liées aux technologies numériques.

              Il vise à harmoniser les pratiques en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC) au sein du secteur financier européen. 

              Qui est concerné par le DORA ? 

              Le DORA s’applique à un large éventail d’entités financières, notamment :

              • Banques.

              • Sociétés d’assurance.

              • Entreprises d’investissement.

              • Fournisseurs de services de paiement.

              • Infrastructures de marché (comme les chambres de compensation).

              • Prestataires tiers critiques (services cloud, logiciels, gestion des données, etc.).

              Les prestataires de services numériques critiques, même en dehors de l’UE, doivent également se conformer s’ils offrent des services aux institutions financières européennes.

              Sont exclus du champ d’application de DORA :

              • Certains gestionnaires de fonds d’investissement alternatifs.

              • Certaines entreprises d’assurance et de réassurance, selon leur taille.

              • Certaines institutions de retraite professionnelle qui gèrent des régimes de retraite comptant au total 15 affiliés ou moins.

              • Certaines personnes physiques ou morales exemptées conformément aux articles 2 et 3 de la directive 2014/65/UE relative aux marchés d’instruments financiers.

              • Certains intermédiaires d’assurance, de réassurance et d’assurance à titre accessoire qui sont des micro-entreprises ou des PME employant moins de 10 personnes et dont le chiffre d’affaires annuel ou le bilan total ne dépasse pas 2 millions d’euros.

              • Certains offices des chèques postaux.

              Objectifs principaux du DORA

              • Renforcer la résilience numérique : Les institutions financières doivent avoir des systèmes robustes et sécurisés pour prévenir les cyberattaques, pannes techniques ou perturbations opérationnelles.

              • Harmoniser la gestion des risques TIC : Fournir un cadre commun pour la gestion des risques technologiques à travers l’UE.

              • Superviser les prestataires tiers critiques : Introduire une surveillance réglementaire des fournisseurs critiques de services TIC, comme les services cloud.

              • Tester la résilience : Obligation de tests réguliers pour évaluer la résilience opérationnelle numérique.

              • Améliorer la coopération et la transparence : Favoriser une coopération accrue entre les institutions financières, les régulateurs, et les prestataires pour gérer les cybercrises.

              Étapes clés pour se mettre en conformité

              Étape 1 : Évaluation initiale de conformité

              Action immédiate : Réaliser un audit complet des systèmes, processus et outils TIC existants pour évaluer leur résilience numérique.

              Pourquoi ? Identifier les écarts entre la situation actuelle de l’entreprise et les exigences du DORA.

              Outils nécessaires : Audit TIC, analyse de risques, évaluation des prestataires tiers. Vous pouvez utiliser un logiciel de conformité globale comme Witik, pour auditer votre conformité ou celle de vos tiers. Nous avons un modèle d'audit de DORA prêt à l'emploi.

              Étape 2 : Mettre en place une gouvernance solide pour la gestion des risques TIC

              Action immédiate :

              • Nommer une équipe ou un responsable dédié à la gestion des risques TIC.

              • Intégrer les risques TIC dans la stratégie globale de gouvernance.

              • Définir des politiques et procédures pour la gestion des risques liés aux technologies de l’information.

               Pourquoi ? Le DORA impose une gouvernance claire et une responsabilité directe pour la gestion des risques TIC.

              Étape 3 : Renforcer les systèmes de détection et de réponse aux incidents

              Action immédiate :

              • Mettre en place des outils pour détecter, surveiller et signaler les incidents TIC.

              • Établir un processus de reporting des incidents critiques aux régulateurs dans les délais prescrits (souvent 24 à 72 heures).

              Pourquoi ? Les entreprises doivent démontrer leur capacité à gérer les incidents rapidement et efficacement pour minimiser leur impact.

              Étape 4 : Élaborer des plans de continuité et de reprise d’activité

              Action immédiate :

              • Développer ou mettre à jour les plans existants pour assurer la continuité des opérations en cas de perturbations TIC.

              • Tester régulièrement ces plans avec des scénarios réalistes (simulations d’attaques, pannes critiques, etc.).

              Pourquoi ? Le DORA exige que les entreprises puissent prouver leur capacité à maintenir leurs opérations en cas de cyberattaque ou d’autres incidents.

              Étape 5 : Superviser les prestataires tiers critiques

              Action immédiate :

              • Identifier les prestataires TIC critiques (services cloud, logiciels, etc.).

              • Réviser ou négocier les contrats pour inclure des clauses de conformité au DORA.

              • Superviser ces prestataires avec des audits réguliers pour garantir leur alignement avec les normes de résilience numérique.

              Pourquoi ? Le DORA introduit une supervision réglementaire des prestataires tiers critiques.

              Étape 6 : Mettre en place un programme de tests de résilience numérique

              Action immédiate :

              • Planifier et exécuter des tests réguliers (tests de pénétration, exercices de simulation, audits techniques).

              • Documenter les résultats et les améliorations mises en œuvre suite aux tests.

              Pourquoi ? Les tests permettent de démontrer la capacité de l’entreprise à identifier et remédier aux vulnérabilités.

              Étape 7 : Sensibilisation et formation des employés

              Action immédiate :

              • Former les employés sur les bonnes pratiques en cybersécurité et sur leurs rôles respectifs dans le cadre des exigences du DORA.

              • Sensibiliser à la gestion des incidents et aux plans de continuité.

              Pourquoi ? La cybersécurité est un effort collectif, et les erreurs humaines représentent une grande partie des incidents TIC.

              Étape 8 : Documenter

              Action immédiate :

              • Maintenir une documentation détaillée des politiques, procédures, tests, incidents, et des actions prises pour démontrer la conformité.

              • Mettre en place un système de gestion documentaire pour centraliser ces informations.

              Pourquoi ? Les régulateurs peuvent demander à tout moment des preuves de conformité.

              Sanctions et implications

              Les institutions qui ne respectent pas le DORA s’exposent à des sanctions réglementaires significatives. Cela peut inclure des amendes, des restrictions sur l’utilisation de prestataires tiers critiques, ou d’autres mesures correctives imposées par les régulateurs nationaux et européens.

              Impact du DORA sur la cybersécurité et la conformité

              • Synergies avec le RGPD : Le DORA complète le RGPD en renforçant la protection des données personnelles dans les systèmes numériques critiques.

              • Cyberrésilience : Les institutions financières doivent investir davantage dans la cybersécurité pour respecter les nouvelles exigences, ce qui pourrait inclure des solutions comme les audits réguliers, l’analyse des vulnérabilités et la gestion des incidents.

              • Collaborations renforcées : Les entreprises devront coopérer étroitement avec leurs fournisseurs et les autorités pour se conformer aux normes du DORA.

              • DORA VS NIS2 : La directive NIS 2 vise à renforcer la cybersécurité dans 18 secteurs essentiels et importants au sein de l’Union européenne, en imposant des mesures de gestion des risques et de coopération entre autorités nationales. Le règlement DORA, spécifiquement destiné au secteur financier, garantit la résilience opérationnelle numérique des 21 types d’entités financières, tout en prévalant sur NIS 2 pour ces acteurs grâce à son statut de “lex specialis”.

                Si vous souhaitez en savoir plus, consulter notre article DORA VS NIS 2 : Tout ce que vous devez savoir

              La plateforme 100% made in France qui vous permet de simplifier, accélérer et pérenniser vos différents programmes de conformité.

              Vous souhaitez rester au courant des dernières actualités ? Abonnez-vous à la newsletter !

              Nous (Witik) collectons et traitons vos données conformément à notre Politique de protection des données.

              • All rights reserved ©Witik 2025