Aller au contenu
FortaRisks
Retour au glossaireConformité et réglementation

DORA

DORA (Digital Operational Resilience Act) est le règlement européen qui impose au secteur financier une résilience opérationnelle numérique. Il harmonise la gestion du risque lié aux technologies, la notification des incidents, les tests de résilience et la surveillance des prestataires TIC critiques, avec application depuis janvier 2025.

Mis à jour le 2 juillet 2026

Qu'est-ce que DORA ?

DORA, le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act), est un texte européen entré en application en janvier 2025. Il part d'un constat simple : le secteur financier dépend désormais massivement de systèmes numériques et de prestataires tiers, et une défaillance technologique peut se propager à tout le système financier aussi vite qu'une crise de liquidité.

DORA transforme la résilience opérationnelle, longtemps traitée comme un sujet technique, en une obligation réglementaire structurée et contrôlée.

Pourquoi c'est important pour votre organisation

Pour une entité financière, DORA n'est pas optionnel : les autorités de supervision peuvent exiger des preuves de conformité et sanctionner les manquements. Le règlement engage aussi la responsabilité de l'organe de direction, qui doit approuver et suivre le cadre de gestion du risque TIC.

Point souvent sous-estimé : DORA s'étend à la chaîne de sous-traitance. Une organisation reste responsable du risque porté par ses prestataires TIC, y compris les fournisseurs de ses fournisseurs.

Les piliers de DORA

  • Gestion du risque TIC : un cadre documenté, gouverné au plus haut niveau.
  • Notification des incidents : classification et déclaration harmonisées des incidents majeurs.
  • Tests de résilience : tests réguliers, incluant des tests de pénétration fondés sur la menace (TLPT) pour les entités les plus critiques.
  • Gestion du risque des prestataires tiers : registre des prestataires, clauses contractuelles obligatoires, stratégies de sortie.
  • Partage d'informations : échange volontaire de renseignements sur les cybermenaces entre entités.

Où les organisations pèchent le plus souvent

Les écarts fréquents portent sur le registre des prestataires TIC, souvent incomplet, et sur les clauses contractuelles qui ne couvrent pas la notification ni le droit d'audit. Beaucoup d'entités testent leurs systèmes, mais sans le formalisme et la fréquence exigés par DORA, et sans relier ces tests à un plan de remédiation gouverné par la direction.

Questions fréquentes

Qui est concerné par DORA ?

Un large éventail d'entités financières : banques, assureurs, entreprises d'investissement, prestataires de services de paiement, plateformes de crypto-actifs, mais aussi les prestataires tiers de services TIC qu'elles utilisent. Un fournisseur cloud jugé critique peut être placé sous surveillance directe des autorités européennes.

Quelle différence entre DORA et NIS2 ?

NIS2 est une directive transversale qui couvre de nombreux secteurs et laisse une marge de transposition aux États. DORA est un règlement directement applicable, spécifique au secteur financier, plus prescriptif sur les tests de résilience et la gestion du risque des prestataires TIC. Pour les entités financières, DORA prime en tant que lex specialis.

Voyez votre vrai risque en 30 minutes de démo.

Un membre de notre équipe vous guide dans FortaRisks sur des menaces pertinentes pour votre secteur. Sans chatbot.