DORA en pratique : premières expériences du secteur financier

1 min de lecture

DORA est pleinement applicable depuis le 17 janvier 2025. Après les premiers mois, il apparaît que les exigences techniques en matière de gestion des risques ICT, de tests et de contrôle des tiers sont complexes – mais le plus grand goulot d’étranglement est souvent non pas la technique, mais la gouvernance et les contrats avec les tiers.

L’essentiel

• DORA est obligatoire depuis janvier 2025 : Tous les établissements financiers de l’UE sont soumis aux exigences.
• 5 piliers : Gestion des risques ICT, déclaration des incidents, tests de résilience, gestion des tiers, partage d’informations.
• La gestion des tiers est le plus grand obstacle : Les contrats avec les prestataires ICT doivent inclure des clauses DORA.
• TLPT pour les institutions systémiques : Tests de pénétration basés sur les menaces – plus coûteux et plus complexes que les pentests classiques.
• Recoupements avec NIS2 : Les entreprises conformes à NIS2 ont une bonne base, mais DORA va plus loin dans certains domaines.

Les 5 piliers de DORA en vue d’ensemble

1. Gestion des risques ICT : Cadre complet avec politique de gestion des risques, inventaire des actifs, mesures de protection et surveillance. Non seulement documenté, mais vécu et régulièrement testé.

2. Déclaration des incidents ICT : Les incidents significatifs doivent être signalés à l’autorité compétente dans un délai de 4 heures (alerte initiale), 24 heures (rapport intermédiaire) et 1 mois (rapport final). Des critères de classification clairs pour « significatif » sont obligatoires.

3. Tests de résilience opérationnelle numérique : Programmes de tests ICT annuels, pour les institutions importantes, tests de pénétration basés sur les menaces (TLPT) tous les 3 ans avec des testeurs externes certifiés.

4. Gestion des tiers ICT : Registre de tous les prestataires ICT critiques, classification des risques, clauses contractuelles (droits d’audit, plans de sortie, sous-traitance), analyse des risques de concentration.

5. Partage d’informations : Échange volontaire d’informations sur les menaces cyber au sein du secteur financier – institutionnalisé par DORA.

Premières expériences pratiques : ce qui est plus difficile que prévu

Adaptations des contrats avec les tiers : Des milliers de contrats existants avec des prestataires ICT doivent inclure des clauses DORA. De nombreux fournisseurs s’opposent aux droits d’audit ou n’acceptent pas de réglementation de sous-traitance conforme à DORA. Cela prend du temps et mobilise des ressources juridiques et d’achat considérables.

Évaluation de la criticité : Quels prestataires ICT sont « critiques » ? Les critères DORA sont clairs, mais leur application en pratique l’est moins. De nombreux établissements ont identifié plus de 50 prestataires critiques – mettre en place une surveillance conforme à DORA pour chacun dépasse les capacités.

Préparation au TLPT : Les tests de pénétration basés sur les menaces sont plus complexes que les pentests classiques. Ils nécessitent une intelligence sur les menaces concernant le profil de menace spécifique de l’institution, un testeur externe certifié (cadre TIBER-EU) et des mois de préparation.

Ce qui fonctionne bien – et ce que les entreprises conformes à NIS2 peuvent faire

Les entreprises déjà conformes à NIS2 ont un avantage considérable : le cadre de gestion des risques ICT, les processus de réponse aux incidents et la surveillance des tiers sont déjà en place. DORA exige plus de granularité et des exigences de tests plus spécifiques, mais les bases sont solides.

Ce qui fonctionne bien : les chaînes de signalement des incidents sont plus claires qu’avec NIS2 seul – les banques ont des années d’expérience avec les obligations de signalement auprès de la BaFin et de l’EBA. Le délai de signalement initial de 4 heures est exigeant, mais techniquement réalisable avec des SIEM bien configurés et des processus d’appel en cas de besoin.

Key Facts en un coup d’œil

Date d’application de DORA : 17 janvier 2025

Établissements concernés : Plus de 22 000 entreprises financières dans l’UE

Délai de signalement initial : 4 heures pour les incidents ICT significatifs

Obligation de TLPT : Tous les 3 ans pour les institutions systémiques (cadre TIBER-EU)

Amendes : Jusqu’à 1 % du chiffre d’affaires quotidien mondial

Fait : Grâce à DORA, plus de 22 000 établissements financiers et leurs prestataires ICT critiques dans l’UE sont tenus de réaliser des tests de résilience numérique – une nouveauté réglementaire.

Fait : La BaFin rapporte que 38 % des établissements contrôlés présentaient des lacunes dans les cadres de gestion des risques ICT lors du premier contrôle de préparation à DORA.

Questions fréquentes

À qui s’applique DORA ?

À toutes les entreprises financières réglementées par l’UE : banques, assurances, entreprises d’investissement, prestataires de services de paiement, prestataires de services d’actifs crypto et prestataires ICT tiers critiques du secteur financier.

Quelle est la différence entre DORA et NIS2 ?

NIS2 est un cadre horizontal pour de nombreux secteurs. DORA est spécifique au secteur financier et va plus loin dans plusieurs domaines : exigences de tests plus spécifiques, gestion des tiers plus stricte, surveillance directe des prestataires ICT tiers critiques par les ESAs.

Qu’est-ce qu’un prestataire ICT tiers critique selon DORA ?

Les fournisseurs dont la défaillance pourrait avoir un effet systémique sur le secteur financier. Les prestataires ICT tiers critiques sont directement surveillés par les ESAs (EBA, EIOPA, ESMA) – avec leurs propres droits d’inspection et pouvoir de sanction.

Quelles sont les clauses contractuelles DORA les plus importantes ?

Clauses de sortie, droits d’audit (y compris pour les sous-prestataires), accords de niveau de service pour la continuité des activités, droits d’accès aux données en cas de faillite, clauses de sous-traitance et divulgation des risques de concentration.

Comment DORA est-il lié à TIBER-EU ?

TIBER-EU (Threat Intelligence-based Ethical Red Teaming) est le cadre européen pour les tests de pénétration basés sur les menaces. DORA rend obligatoire le TLPT selon les directives TIBER-EU pour les institutions importantes – transformant ainsi TIBER-EU d’un cadre volontaire en exigence réglementaire.

Autres articles sur le sujet

→ DORA : plus de sécurité informatique et juridique dans le secteur financier

→ Check-list NIS2 2026

Lectures complémentaires dans le réseau

FinTech & Réglementation : mybusinessfuture.com

Sécurité pour le secteur financier : digital-chiefs.de

Articles connexes

• RGPD 2026 : ce qui change et sur quoi les entreprises doivent prêter attention
• Check-list NIS2 2026 : ce que les entreprises doivent mettre en œuvre maintenant
• Étude de cas : migration vers le cloud d’un prestataire de services financiers – sécurité dès le départ

Plus du réseau MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Source de l’image : Pexels / Jonathan Borba

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow