Le règlement européen DORA (Digital Operational Resilience Act) est applicable depuis janvier 2025. Contrairement à une directive, il s’applique directement, sans transposition nationale, et son périmètre dépasse largement les banques : assureurs, sociétés de gestion, établissements de paiement, entreprises d’investissement, et par extension leurs prestataires de services numériques. Voici ce qu’il impose réellement.
Cinq piliers, une logique
DORA s’articule autour de cinq blocs. La gouvernance et la gestion des risques TIC d’abord : un cadre documenté, approuvé par l’organe de direction, qui reste responsable en dernier ressort. La gestion des incidents ensuite : classification, notification des incidents majeurs au régulateur selon des délais stricts, et capitalisation. Les tests de résilience opérationnelle : de la revue régulière jusqu’aux tests de pénétration fondés sur la menace (TLPT) pour les entités les plus importantes. La gestion des risques liés aux tiers : c’est le pilier le plus structurant au quotidien. Le partage d’informations enfin, encouragé entre pairs.
Le vrai sujet : vos prestataires
DORA oblige chaque entité financière à tenir un registre d’informations recensant l’ensemble de ses contrats avec des prestataires TIC, à y intégrer des clauses contractuelles précises (audit, sécurité, réversibilité, localisation des données), et à évaluer la criticité de chaque prestataire. Les fournisseurs jugés critiques à l’échelle européenne sont eux-mêmes placés sous surveillance directe des autorités. Conséquence pratique : même sans être une entité financière, un prestataire TIC du secteur se voit imposer DORA par ricochet contractuel.
DORA et les opérations M&A
Un point mérite l’attention des fonds et des directions : dans une acquisition ou une cession touchant le secteur financier, le dispositif DORA de la cible fait partie du périmètre de due diligence, et le registre d’informations doit survivre à la séparation ou à l’intégration. Un carve-out qui démembre un contrat TIC mutualisé sans le recontractualiser proprement crée une non-conformité au Day 1.
Par où commencer ?
Par le registre d’informations et la cartographie des prestataires : c’est l’exercice qui révèle l’écart réel. Puis par une analyse d’écarts sur les cinq piliers, débouchant sur un plan d’action priorisé. Comme pour NIS2, un socle bien construit sert plusieurs conformités à la fois : DORA, NIS2 et ISO 27001 se recoupent largement.
Ce qu’il faut retenir
DORA déplace la question de « votre SI est-il sécurisé » vers « votre activité survivrait-elle à une défaillance numérique, y compris chez vos prestataires ». C’est une question de résilience, donc de gouvernance, et elle se pilote comme un programme.