Le règlement européen DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Son principe : dans la finance, une panne ou une cyberattaque peut déstabiliser bien plus qu'une entreprise - le règlement impose donc de prouver que vos systèmes résistent, détectent et se remettent d'un incident. Contrairement à une directive, un règlement s'applique directement, sans transposition nationale : il n'y a pas de délai français à attendre.
Qui est concerné ?
DORA vise le secteur financier au sens très large - une vingtaine de catégories d'entités :
- Banques et établissements de crédit
- Assurances, mutuelles et intermédiaires
- Sociétés de gestion et entreprises d'investissement
- Établissements de paiement et de monnaie électronique
- Prestataires de services sur crypto-actifs
- Et, point crucial : les prestataires de services informatiques jugés critiques pour ces entités
Ce dernier point étend l'effet de DORA bien au-delà de la finance : si votre société édite un logiciel, héberge des données ou infogère le SI d'un acteur financier, ses obligations ruissellent sur vous par contrat. Beaucoup de PME du numérique découvrent DORA dans les avenants que leur envoient leurs clients banques ou assurances.
Les 5 piliers du règlement
- Gestion des risques informatiques - un cadre documenté, approuvé et révisé par l'organe de direction, qui en porte la responsabilité directe.
- Notification des incidents - les incidents majeurs liés aux technologies de l'information doivent être classifiés et déclarés à l'autorité compétente (ACPR ou AMF en France) selon des délais stricts.
- Tests de résilience - tests réguliers des systèmes critiques, jusqu'aux tests d'intrusion avancés (TLPT) pour les entités les plus importantes.
- Risques liés aux tiers - registre complet des prestataires informatiques, clauses contractuelles obligatoires, stratégie de sortie pour les prestataires critiques.
- Partage d'informations - échanges volontaires de renseignements sur les menaces entre entités financières.
L'obligation que tout le monde sous-estime : la formation
L'article 13 de DORA impose des programmes de sensibilisation à la sécurité et des formations à la résilience opérationnelle numérique obligatoires, intégrées au plan de formation du personnel - y compris les dirigeants. L'organe de direction doit maintenir activement ses connaissances à jour.
En audit, cette exigence se vérifie en une question : « Montrez-moi le taux de complétion des formations cyber de vos équipes sur les 12 derniers mois. » Sans outil de suivi, impossible d'y répondre.
Par où commencer ?
- Déterminez si vous êtes dans le périmètre - directement (entité financière) ou indirectement (prestataire d'un acteur financier).
- Cartographiez vos actifs et prestataires informatiques critiques - le registre des tiers est l'un des premiers documents demandés.
- Mettez en place le socle : gestion des incidents documentée, sauvegardes testées, MFA généralisée.
- Lancez le volet formation - c'est l'obligation la plus rapide à satisfaire et la plus simple à prouver, à condition d'avoir des parcours suivis individuellement et des attestations exportables.
Cyvio Business couvre ce volet humain de DORA : parcours de sensibilisation suivis par collaborateur, simulations de phishing pour documenter le risque réel, attestations auditables. Pour situer DORA parmi les autres cadres (NIS2, ISO 27001, RGPD), consultez notre panorama conformité.