DORA (Digital Operational Resilience Act)

Le règlement (UE) 2022/2554, connu sous le nom de DORA (Digital Operational Resilience Act), est un règlement de l'Union européenne adopté le 14 décembre 2022, publié au Journal officiel de l'Union européenne (JOUE L 333) le 27 décembre 2022 et entré en application le 17 janvier 2025. Il établit un cadre harmonisé et contraignant de résilience opérationnelle numérique pour le secteur financier européen, couvrant la gestion du risque lié aux TIC, le signalement des incidents, les tests de résistance et la surveillance des prestataires tiers de technologies de l'information et de la communication (TIC). DORA s'applique à 21 catégories d'entités financières et introduit une surveillance directe des fournisseurs tiers critiques de TIC par les Autorités de surveillance européennes.

Avant l'adoption de DORA, les exigences en matière de résilience opérationnelle numérique dans le secteur financier variaient significativement selon les États membres et les sous-secteurs (banque, assurance, marchés financiers), créant des inégalités réglementaires et des risques systémiques couverts de façon hétérogène. La Directive NIS de 2016 avait posé un socle général pour la sécurité des réseaux et des systèmes d'information des opérateurs de services essentiels, mais sans cibler spécifiquement les particularités du secteur financier.

La Commission européenne a publié sa proposition de règlement le 24 septembre 2020, dans le cadre du Digital Finance Package accompagnant également le règlement MiCA sur les marchés de crypto-actifs. Le règlement DORA a été adopté selon la procédure législative ordinaire, est entré en vigueur le 16 janvier 2023, puis applicable à compter du 17 janvier 2025 après une période de transition de 24 mois pendant laquelle les entités financières ont dû adapter leur organisation, leurs processus et leurs contrats.

DORA s'inscrit dans un triptyque réglementaire européen : la Directive NIS2 (applicable depuis octobre 2024 aux opérateurs de services essentiels, dont certaines entités financières à titre subsidiaire), le Cyber Resilience Act (applicable aux produits numériques) et DORA lui-même, qui constitue la lex specialis pour le secteur financier.

DORA s'applique à 21 types d'entités financières, parmi lesquels :

• Les établissements de crédit, établissements de paiement et établissements de monnaie électronique
• Les entreprises d'investissement et les gestionnaires de fonds d'investissement alternatifs (FIA) et d'OPCVM
• Les contreparties centrales (CCP), dépositaires centraux de titres et référentiels centraux
• Les prestataires de services sur crypto-actifs au sens du règlement MiCA
• Les entreprises d'assurance et de réassurance, les institutions de retraite professionnelle
• Les agences de notation de crédit et les prestataires de services de financement participatif
• Les référentiels de titrisation et les administrateurs d'indices de référence critiques

Les microentreprises (moins de 10 salariés et chiffre d'affaires annuel inférieur à 2 millions d'euros) bénéficient d'un régime allégé pour plusieurs piliers du règlement, notamment les tests avancés de résilience et certaines exigences de gouvernance.

DORA introduit une innovation majeure : la surveillance directe, au niveau européen, des fournisseurs tiers critiques de TIC (Critical ICT Third-Party Providers, CTPP). Ces entités — fournisseurs de services cloud, de centres de données ou de logiciels utilisés à grande échelle dans le secteur financier — peuvent être désignées comme critiques par les Autorités de surveillance européennes sur la base de critères objectifs : nombre et types d'entités financières clientes, importance systémique, degré de substitution possible, impact potentiel d'une défaillance sur la stabilité financière. Une fois désignés, ils sont soumis à un régime de surveillance renforcée incluant des recommandations, des injonctions et des inspections sur site.

Toute entité financière doit disposer d'un cadre interne de gestion du risque TIC documenté, approuvé par l'organe de direction et révisé au minimum une fois par an. Ce cadre s'articule autour de cinq fonctions :

• Identification : cartographie des actifs TIC, des fonctions critiques et des dépendances internes et externes
• Protection et prévention : politiques d'accès, chiffrement des données, pare-feu, gestion des correctifs de sécurité, authentification multifacteur
• Détection : surveillance continue des anomalies, notamment via des SIEM
• Réponse et rétablissement : plan de continuité d'activité et plan de reprise d'activité informatique testés régulièrement
• Communication : procédures formalisées de notification interne et externe

L'organe de direction est personnellement responsable de la mise en œuvre et du contrôle du cadre, ce qui implique une formation minimale annuelle de ses membres sur les risques TIC. Le RSSI est l'interlocuteur opérationnel central de cette gouvernance.

Les entités financières doivent tenir un registre de l'ensemble des incidents et cybermenaces liés aux TIC. Les incidents sont classifiés selon des critères harmonisés définis par les Autorités de surveillance européennes : nombre de clients ou de transactions affectés, durée de l'interruption, impact géographique, importance des pertes financières ou de données, criticité des services touchés.

Pour les incidents qualifiés de majeurs, des délais stricts de notification aux autorités compétentes s'appliquent :

Les SOC et les SIEM sont des dispositifs essentiels pour détecter les incidents dans les délais requis. Les cyberattaques, les incidents liés aux ransomwares et les indisponibilités prolongées de systèmes critiques constituent les situations les plus fréquemment soumises à cette obligation de notification.

Les entités financières doivent mettre en place un programme annuel de tests comprenant au minimum des tests de vulnérabilité, des évaluations par sources ouvertes (OSINT), des revues de configuration réseau, des analyses de code source et des tests d'intrusion de base.

Les entités significatives — principaux établissements de crédit, grandes bourses de valeurs, principales contreparties centrales — sont tenues de réaliser des tests de pénétration ciblés par la menace (TLPT — Threat-Led Penetration Testing) au moins tous les 3 ans. Ces tests, inspirés du cadre TIBER-EU développé par la Banque centrale européenne, simulent des attaques réalistes menées par des équipes red team certifiées sur des systèmes de production en conditions réelles. Les résultats sont communiqués aux autorités compétentes et peuvent conduire à des mesures correctives obligatoires.

Ce quatrième pilier constitue l'un des apports les plus structurants de DORA pour les équipes juridiques, achats et sécurité des entités financières. Les obligations comprennent :

• La tenue d'un registre détaillé de l'ensemble des contrats passés avec des prestataires TIC, distinguant les fonctions critiques ou importantes des fonctions ordinaires
• L'insertion de clauses contractuelles minimales obligatoires : description précise des services, niveaux de service garantis (SLA), localisation et transfert des données, droits d'audit de l'entité financière et de l'autorité compétente, procédures de résolution d'incidents, plan de sortie
• La réalisation d'une analyse de concentration des risques, notamment la dépendance critique à un seul prestataire ou à un groupe restreint de prestataires pour des fonctions critiques
• L'élaboration de stratégies de sortie (exit strategies) documentées pour les fonctions critiques ou importantes sous-traitées

DORA encourage — sans l'imposer — la mise en place d'arrangements volontaires de partage d'informations sur les cybermenaces entre entités financières : tactiques, techniques et procédures (TTP) des attaquants, indicateurs de compromission (IoC) et vulnérabilités identifiées. Ces échanges doivent s'effectuer dans le respect du droit de la concurrence européen et de la réglementation sur la protection des données personnelles.

Chaque État membre désigne une ou plusieurs autorités compétentes chargées de superviser l'application de DORA pour les entités relevant de sa juridiction. En France, l'Autorité de contrôle prudentiel et de résolution (ACPR) est compétente pour les établissements de crédit, les entreprises d'assurance et les établissements de paiement, tandis que l'Autorité des marchés financiers (AMF) supervise les sociétés de gestion, les prestataires de services d'investissement et les plateformes de financement participatif.

L'ANSSI n'est pas désignée autorité compétente au sens de DORA, mais conserve son rôle d'autorité nationale de référence en matière de cybersécurité, notamment via le CERT-FR pour la gestion des incidents de sécurité affectant les infrastructures critiques.

Trois autorités de supervision européennes participent à la mise en œuvre de DORA et ont publié conjointement les normes techniques de réglementation (RTS) et d'exécution (ITS) qui en précisent les modalités opérationnelles :

• L'Autorité bancaire européenne (EBA) pour les établissements de crédit, de paiement et de monnaie électronique
• L'Autorité européenne des assurances et des pensions professionnelles (EIOPA) pour les entreprises d'assurance, de réassurance et les institutions de retraite professionnelle
• L'Autorité européenne des marchés financiers (ESMA) pour les entreprises d'investissement, les contreparties centrales et les référentiels centraux

Ces trois autorités, réunies en Joint Committee, coordonnent la désignation des fournisseurs tiers critiques de TIC et nomment un lead overseer (autorité de surveillance principale) parmi elles selon la nature prédominante des services fournis par l'entité désignée.

L'entrée en application de DORA génère une demande accrue de compétences spécialisées dans le secteur financier et chez les prestataires TIC :

• La gestion du risque TIC dans les établissements financiers (responsable conformité DORA, risk manager spécialisé)
• L'audit de cybersécurité et les tests d'intrusion avancés (red team, TLPT)
• La réponse aux incidents de sécurité et la gestion de crise cyber au sein des SOC
• La gouvernance de la sécurité des systèmes d'information (RSSI) avec une composante réglementaire financière renforcée
• La gestion des contrats et des relations fournisseurs TIC (vendor risk management, analyse de concentration)
• La conception d'architectures sécurisées reposant sur le modèle Zero Trust, l'authentification multifacteur et la gestion des identités et des accès

Les certifications ISO/IEC 27001, ISO/IEC 27035 (gestion des incidents de sécurité de l'information) et ISO/IEC 27017 (sécurité des services cloud) constituent des socles de compétences reconnus dans le cadre de la mise en conformité DORA.

DORA ne fixe pas directement les montants des sanctions applicables aux entités financières, mais renvoie aux cadres sectoriels nationaux et européens existants en imposant que les régimes nationaux prévoient des sanctions administratives effectives, proportionnées et dissuasives. Les États membres ont transposé cette obligation dans leurs dispositions nationales d'application.

Pour les fournisseurs tiers critiques de TIC directement surveillés par les Autorités de surveillance européennes, le règlement prévoit explicitement des astreintes journalières pouvant atteindre 1 % du chiffre d'affaires journalier mondial moyen enregistré au cours de l'exercice précédent, applicables pendant une durée maximale de 6 mois consécutifs.

• Directive NIS2
• Cyber Resilience Act
• Cybersécurité
• Gestion des risques informatiques
• Plan de continuité d'activité
• Responsable de la sécurité des systèmes d'information
• Audit de cybersécurité
• Réponse aux incidents de sécurité
• ISO/IEC 27001