Aller au contenu
FortaRisks
Retour au blogConformité

DORA : la résilience opérationnelle numérique, expliquée

14 novembre 2025 · 4 min de lecture

Beaucoup d'entités financières ont vu DORA comme une échéance lointaine, avant de constater, le 17 janvier 2025, qu'il était déjà en vigueur. Certaines disposaient d'un classeur de politiques et d'une liste de fournisseurs, et se croyaient prêtes. Puis un superviseur a réclamé leur registre d'information, ou un incident TIC a déclenché le compte à rebours de notification, et l'écart est apparu au grand jour.

Le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act) est un règlement de l'UE qui s'applique directement dans tous les États membres, sans transposition. Il vise un large éventail d'entités financières : banques, assureurs, entreprises d'investissement, établissements de paiement, prestataires de services sur crypto-actifs, gestionnaires de fonds et bien d'autres. Fait notable, il atteint aussi leurs prestataires TIC tiers critiques : un hébergeur infonuagique ou un éditeur de logiciel sans agrément bancaire peut donc entrer dans le périmètre. Voici ce que DORA exige réellement, et où se cachent les écarts les plus fréquents.

Les cinq piliers

DORA repose sur cinq piliers imbriqués, conçus pour fonctionner ensemble et non comme des listes de contrôle séparées.

  1. Cadre de gestion du risque TIC. La gouvernance est au centre : votre organe de direction porte le cadre et en répond. Celui-ci doit couvrir le cycle complet, à savoir identifier les actifs et les dépendances, les protéger, détecter les anomalies, puis répondre et rétablir l'activité, avec des dispositifs de continuité et de sauvegarde réellement testés, pas seulement documentés.
  2. Gestion des incidents liés aux TIC. Il vous faut un processus cohérent pour détecter, journaliser, classifier et gérer les incidents. Les incidents majeurs doivent être signalés à l'autorité compétente selon des modèles et des délais harmonisés (notification initiale, rapport intermédiaire et rapport final), les cybermenaces importantes pouvant être signalées de manière volontaire.
  3. Tests de résilience opérationnelle numérique. Un programme de tests fondé sur le risque couvre l'ensemble du parc, des analyses de vulnérabilité aux exercices plus avancés. Les entités importantes doivent aussi réaliser des tests de pénétration fondés sur la menace (TLPT) au moins tous les trois ans, à partir d'un renseignement réel plutôt que d'une analyse générique.
  4. Gestion du risque lié aux tiers TIC. Vous devez tenir un registre d'information couvrant tous les contrats TIC, intégrer des clauses contractuelles obligatoires (droits d'audit, accès, sous-traitance, sortie), analyser le risque de concentration et prévoir des stratégies de sortie crédibles. À cela s'ajoute un cadre de supervision européen : les prestataires désignés comme tiers TIC critiques sont supervisés directement par les autorités européennes de surveillance.
  5. Partage d'informations et de renseignements. DORA permet explicitement aux entités d'échanger des renseignements sur les cybermenaces au sein de communautés de confiance, afin que l'écosystème apprenne plus vite qu'une entreprise isolée ne le pourrait.

Pourquoi les prestataires non financiers sont concernés

Une erreur fréquente consiste à croire que DORA ne concerne que les banques. Par le jeu des règles sur les tiers, les prestataires TIC héritent d'obligations contractuelles transmises par leurs clients financiers, et les plus critiques relèvent d'une supervision européenne directe. Si vous vendez de l'infonuagique, de l'hébergement, des services gérés ou du logiciel à des entités réglementées, DORA façonne déjà les contrats que l'on vous demande de signer.

Pourquoi l'exposition est réelle

  • Problème : DORA est souvent traité comme une simple mise à jour documentaire, alors qu'il repose sur des processus vivants, un rétablissement testé et de la preuve qu'un superviseur peut inspecter.
  • Impact : les autorités compétentes peuvent exiger des mesures correctives, imposer des sanctions administratives et, pour les prestataires critiques, appliquer des astreintes. À cela s'ajoutent les conséquences contractuelles et de réputation lorsqu'un incident majeur est mal géré ou signalé trop tard.
  • Action : traitez DORA comme un programme de résilience continu, avec un organe de direction responsable, un registre d'information complet, et une capacité à prouver, sur demande, que vos contrôles et vos dispositifs de rétablissement fonctionnent réellement.

Les écarts que l'on sous-estime le plus

Trois angles morts reviennent constamment. D'abord, un registre d'information incomplet : beaucoup d'entités ne parviennent pas à produire un inventaire complet et structuré des contrats et dépendances TIC dans le format attendu par les superviseurs. Ensuite, des stratégies de sortie faibles et le risque de concentration : dépendre fortement d'un seul prestataire infonuagique sans moyen crédible d'en sortir est un risque de résilience, pas un simple détail d'approvisionnement. Enfin, des tests qui ne sont pas fondés sur la menace : se contenter d'analyses génériques, alors que les entités importantes sont censées se tester face à des scénarios réalistes et guidés par le renseignement.

Faites le point en quelques minutes

Avant d'investir dans un chantier de résilience complet, situez votre point de départ. Notre auto-diagnostic gratuit de préparation à DORA parcourt les cinq piliers, calcule un score de maturité et met en évidence vos priorités. Aucune inscription, aucune donnée transmise : tout est calculé dans votre navigateur.

Une fois vos écarts identifiés, le module Conformité de FortaRisks transforme ces exigences en plan d'action priorisé, avec une preuve de conformité continue plutôt qu'un audit ponctuel.

DORA n'est pas un formulaire à cocher une fois. C'est une manière de démontrer, en tout temps, que votre organisation peut résister aux perturbations TIC, y répondre et s'en rétablir. Ce diagnostic ne remplace pas un avis juridique ni une consigne de votre superviseur, mais il vous dit précisément par où commencer.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.