Qu'est-ce que DORA ?
DORA, le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act), est un texte européen entré en application en janvier 2025. Il part d'un constat simple : le secteur financier dépend désormais massivement de systèmes numériques et de prestataires tiers, et une défaillance technologique peut se propager à tout le système financier aussi vite qu'une crise de liquidité.
DORA transforme la résilience opérationnelle, longtemps traitée comme un sujet technique, en une obligation réglementaire structurée et contrôlée.
Pourquoi c'est important pour votre organisation
Pour une entité financière, DORA n'est pas optionnel : les autorités de supervision peuvent exiger des preuves de conformité et sanctionner les manquements. Le règlement engage aussi la responsabilité de l'organe de direction, qui doit approuver et suivre le cadre de gestion du risque TIC.
Point souvent sous-estimé : DORA s'étend à la chaîne de sous-traitance. Une organisation reste responsable du risque porté par ses prestataires TIC, y compris les fournisseurs de ses fournisseurs.
Les piliers de DORA
- Gestion du risque TIC : un cadre documenté, gouverné au plus haut niveau.
- Notification des incidents : classification et déclaration harmonisées des incidents majeurs.
- Tests de résilience : tests réguliers, incluant des tests de pénétration fondés sur la menace (TLPT) pour les entités les plus critiques.
- Gestion du risque des prestataires tiers : registre des prestataires, clauses contractuelles obligatoires, stratégies de sortie.
- Partage d'informations : échange volontaire de renseignements sur les cybermenaces entre entités.
Où les organisations pèchent le plus souvent
Les écarts fréquents portent sur le registre des prestataires TIC, souvent incomplet, et sur les clauses contractuelles qui ne couvrent pas la notification ni le droit d'audit. Beaucoup d'entités testent leurs systèmes, mais sans le formalisme et la fréquence exigés par DORA, et sans relier ces tests à un plan de remédiation gouverné par la direction.