Conformité DORA 2025 : Le guide des institutions financières

Le secteur financier a subi une profonde transformation ces dernières décennies avec l'intégration des technologies de l'information et des communications (TIC) dans ses processus : outils de paiement électronique, plateformes de trading, services bancaires en ligne, vérification d’identité digitalisés, solutions d'intelligence artificielle (IA), etc. Si cette évolution a permis de gagner en efficacité, d'accroître l'accessibilité des services et de répondre aux exigences croissantes des clients, elle a également fait naître de nouveaux risques en matière de cybersécurité. 

Entre janvier 2023 et juin 2024, l'ENISA (Agence de l'Union européenne pour la cybersécurité) a analysé 488 incidents signalés publiquement, affectant le secteur financier en Europe.¹ Parmi eux, les banques européennes ont été les plus touchées (46 % des cas). Ces cyberattaques ont entraîné des pertes financières importantes, des interruptions de services, des perturbations considérables pour les clients et ont mis en lumière des vulnérabilités majeures au sein des systèmes de sécurité du secteur financier. 

Face à ces risques croissants, l'Union européenne a réagi en introduisant le règlement DORA (Digital Operational Resilience Act)². Entré en vigueur le 17 janvier 2025, ce règlement a pour objectif de renforcer la résilience numérique du secteur financier en Europe. Il impose aux institutions financières de mettre en place des mécanismes de protection plus solides pour être préparé et répondre rapidement à toute forme de perturbation numérique. DORA cherche à garantir non seulement la sécurité des services financiers, mais aussi à préserver la stabilité de l'ensemble du système économique européen. 

Règlement DORA : une réponse à la transformation numérique

Évolution numérique des activités et montée des risques informatiques

Les institutions financières ont adopté une multitude de technologies numériques pour moderniser leurs activités. Si cette évolution améliore l’expérience client, elle ouvre également des portes à de nouveaux risques ; les institutions financières deviennent des cibles privilégiées pour les cybercriminels. Ces attaques ont pour objectif de voler des informations sensibles, comme les identifiants de compte bancaire des clients ou des informations sur les transactions financières, laissant derrière elles, des répercussions, en termes de falsification de données, de perturbation des services, de vol d’informations sensibles, et de pertes financières directes.

Auparavant, plusieurs directives et orientations existaient déjà et régissaient certains aspects de la gestion des risques numériques et de la sécurité dans le secteur financier. DORA a pour objectif d’harmoniser et de centraliser ces règles de sécurité communes en établissant un cadre législatif unique, applicable à l’ensemble des États membres de l'UE.

Interdépendance de réseaux et des infrastructures

Au-delà des cyberattaques, les institutions financières sont de plus en plus dépendantes des prestataires de services TIC. Désormais interconnectés à des infrastructures (marchés financiers, bourses, etc.), des fournisseurs de services externes (cloud, solutions de cybersécurité), si l'un de ces fournisseurs est attaqué ou subit une défaillance, cela peut entraîner des conséquences en cascade qui perturbent l'ensemble du secteur.

Les entités financières sont à présent responsables de leur propre conformité mais également de celle de leurs prestataires tiers de services TIC, elles doivent vérifier que ces derniers respectent les mêmes critères de sécurité et de résilience. En imposant ces normes de résilience numérique, de gestion des risques, et en renforçant la supervision des prestataires, DORA assure la continuité des activités, même en période de crise. 

Quelle est la différence entre NIS2 et DORA ?

DORA partage des objectifs similaires avec la directive NIS2, qui vise à renforcer la cybersécurité dans les secteurs critiques de l'économie européenne ; couvrant ainsi des milliers d'entités, allant des PME aux grandes entreprises cotées en bourse, sur au moins 18 secteurs d'activité. Cependant, DORA se distingue en tant que « lex specialis » pour le secteur financier, ce qui signifie qu'elle prévaut sur les dispositions de la directive NIS2.

Qui est concerné par la réglementation DORA ?

Les institutions financières

Le règlement DORA couvre un large éventail d’institutions financières de l’Union européenne sur le secteur bancaire, secteur des marchés financiers, secteur des assurances, secteur de la gestion d'actifs, secteur des services de paiement et de monnaie électronique, secteur des infrastructures de marché. 

Le règlement DORA (Digital Operational Resilience Act) intègre des principes de proportionnalité et des exemptions pour tenir compte de la diversité des acteurs du secteur financier. En effet, cet acte législatif adapte ses exigences en fonction de la taille de l'entité, le profil de risque global, la nature, l'échelle et la complexité des activités. Cette approche nuancée permet que chaque acteur contribue à la résilience du secteur financier à son niveau, sans imposer des contraintes disproportionnées aux petites structures.

Les micro-entreprises par exemple bénéficient d’un régime simplifié et allégé. Et d’autres entités sont exclues du champ d'application de DORA, comme certains gestionnaires de fonds d'investissement alternatifs, certaines entreprises d'assurance et de réassurance, certaines institutions de retraite professionnelle et certaines personnes physiques ou morales exemptées en vertu de la directive MiFID II (article 2).

Retrouvez la liste détaillée des entités réglementées par DORA dans notre livre blanc 

Les prestataires tiers de services TIC

Un aspect clé du règlement DORA est sa gestion des prestataires tiers de services TIC. Le règlement s'applique également aux entreprises qui fournissent de manière permanente des services numériques et de données par l'intermédiaire des systèmes de technologies de l’information et communication (éditeurs de logiciels, cloud, etc).

Les trois autorités européennes de supervision (ESMA, EBA et EIOPA) publieront en 2025 et maintiendront à jour chaque année une liste des prestataires tiers de services TIC "critiques", au niveau de l'Union européenne (article 31). Ces prestataires dits “critiques” sont ceux qui, en cas de défaillance ou d'incident de ces derniers, pourraient avoir un impact significatif sur la stabilité financière, la continuité des services ou la qualité des services financiers.

Quels sont les 5 grands piliers de DORA ?

Le règlement DORA repose sur le principe de résilience opérationnelle numérique. Il s'agit de la capacité d'une entité financière à prévenir, à résister, à répondre et à se rétablir face à des incidents numériques. Ce concept s'éloigne d’une simple approche de prévention pour adopter une démarche plus proactive. En effet, plutôt que de chercher à éviter tous les risques potentiels, DORA propose une philosophie qui reconnaît que les incidents feront inévitablement partie du paysage numérique. Il s’agit donc de se préparer à ces événements, de les gérer de manière efficace et de garantir que, même en cas de perturbation majeure, les activités essentielles puissent être maintenues.

Découvrons ensemble les 5 piliers qui régissent la réglementation DORA. 

Retrouvez la checklist des actions à réaliser pour votre mise en conformité en téléchargeant le “Kit de conformité DORA 2025”. 

1. Gestion du risque lié aux TIC

Le règlement DORA impose aux institutions financières de créer un système de gouvernance des risques (défaillances techniques, cyberattaques, erreurs humaines, défaillances des processus de gestion des données) pour maintenir la sécurité de leurs infrastructures numériques.

Les entités doivent identifier et évaluer en continu les risques liés aux TIC, élaborer des politiques de sécurité de l’information, de continuité des activités, ainsi que de sauvegarde et restauration des données.

Zoom sur la politique de sécurité de l'information

Les politiques de sécurité de l'information dans le contexte du règlement DORA font référence à un ensemble de règles et procédures pour protéger les actifs informationnels d'une institution financière. Ces politiques comprennent généralement le chiffrement des données, la définition de niveaux de sensibilité des informations, la mise en place de règles pour l'authentification des utilisateurs, la gestion des droits d'accès et l'utilisation de mécanismes d'authentification robustes.

En réponse aux défis posés par ce pilier, des solutions comme LockSelf peuvent être mises en place pour renforcer la gestion de la sécurité des données. Ces outils permettent aux institutions financières de mieux contrôler l’accès aux informations : gestion centralisée et granulaire des accès, politique de mots de passe, générateurs de mots de passe robustes, connexion SSO, authentification MFA, traçabilité avec un dashboard de suivi des logs en temps réel, etc… 

2. Notification des incidents liés aux TIC

Lorsqu'un incident survient, il est impératif que les institutions financières réagissent rapidement. Chaque incident doit être classifié en fonction de son impact, de sa durée et de sa gravité (perte de données ou interruption des services). Une notification initiale doit être envoyée aux autorités compétentes dès que l'incident est identifié, suivie d'un rapport intermédiaire pour informer de l'évolution de la situation. Un rapport final doit ensuite être soumis, détaillant les mesures prises pour résoudre l'incident, les causes sous-jacentes et les actions correctives.

Ces notifications devront être effectuées selon les modèles et les délais, précisés par les Autorités compétentes. (Déclaration pour la banque ³ / Déclaration pour l’assurance ⁴).

3. Tests de résilience opérationnelle numérique

DORA exige des tests de résilience opérationnelle numérique pour s’assurer que les entités financières peuvent résister aux perturbations. Cela inclut des tests réguliers, tels que des tests de vulnérabilité, et des évaluations de la sécurité des réseaux, afin d'identifier les faiblesses avant qu'un incident majeur ne survienne. Il comprend des tests de continuité des activités et des plans de reprise. Il prévoit également des tests avancés, tels que les tests de pénétration fondés sur la menace, pour les entités financières qui ont été désignées comme particulièrement importantes. 

4. Gestion et surveillance des risques liés aux prestataires tiers de services TIC

La responsabilité des entreprises soumises à DORA ne se limite plus à leur propre système informatique, mais s’étend également à leurs prestataires tiers de services TIC. DORA impose aux entités financières de gérer les risques liés à leurs prestataires tiers. Cela inclut une vérification approfondie lors de la sélection des prestataires via des audits afin de s'assurer que le partenaire respecte les exigences de sécurité, la réévaluation des contrats en place avec l’ajout des clauses spécifiques de cybersécurité, et la surveillance continue des accès fournis. Un registre d’information répertoriant les prestataires et les accords contractuels doit également être tenu à jour. 

5. Partage d'informations sur les cybermenaces

La cybersécurité est une problématique collective qui nécessite une coopération étroite entre les acteurs du secteur financier. Cela inclut l’échange d’informations avec d’autres institutions financières, les régulateurs et les autorités compétentes (alertes de cybersécurité, indicateurs de compromission ou les stratégies, techniques et processus utilisés). L’objectif est de créer une approche proactive dans la lutte contre les cybermenaces, pour réagir plus rapidement et de manière coordonnée aux attaques potentielles.

Quand sera applicable le règlement DORA ?

• Entrée en vigueur du règlement DORA - 16 janvier 2023

Cette date marque le début de la validité juridique du règlement au sein de l’Union européenne. Cette étape a lancé un processus de transformation pour ces institutions, qui doivent adapter leurs systèmes, structures et processus en fonction des nouvelles règles.

• Texte de niveau 2 - Adoption des textes d’application - 17 juillet 2024

Le règlement DORA s'accompagne de textes d’application et de normes techniques (RTS et ITS), qui ont pour objectif de compléter et d’expliciter les exigences énoncées dans le règlement, en fournissant des précisions sur des aspects plus techniques et opérationnels. 

• Entrée en application du règlement DORA - 17 janvier 2025

Les entités financières doivent être pleinement conformes aux exigences du DORA à cette date. Cela implique des mises à jour des politiques de cybersécurité, des procédures d'audit, des tests de résilience, une révision des contrats avec des prestataires tiers de services TIC, etc.

• Première remise du RoI (Registre d’informations) - 15 avril 2025

Le registre d’informations (RoI) est à remettre aux autorités compétentes (AMF le 15 avril ou ACPR au plus tard le 30 avril 2025). Ce document obligatoire recense tous les accords contractuels entre une entité financière et ses prestataires TIC. Les entités supervisées directement par la BCE ne sont pas concernées.

Quels sont les sanctions imposées par le règlement DORA en cas de non-conformité ?

Une des conséquences de ce règlement est de rendre les dirigeants responsables de toute négligence informatique. Les entités doivent s’assurer que leurs systèmes et processus respectent les normes de cybersécurité, sous peine de sanctions ou d’actions en justice, notamment lors de fuites de données.

• Sanctions administratives (article 50) :  injonctions de cessation, suspension ou interdiction, amendes, communication publique, accès aux données, engagement de la responsabilité des dirigeants.

• Dans certains cas graves, les États membres pourront choisir d’appliquer des sanctions pénales (article 52).
  
  
• Quant aux prestataires tiers critiques de services TIC, s’ils ne respectent pas les mesures imposées dans un délai de 30 jours après notification, l'autorité compétente pourra imposer une astreinte quotidienne, qui correspond à 1 % du chiffre d'affaires quotidien moyen mondial de l'année précédente. (article 35.6-8)

DORA : une nécessité pour la sécurité du secteur financier européen

Au-delà d’être un ensemble de règles, DORA constitue un véritable bouleversement dans la manière dont les institutions financières doivent aborder la sécurité numérique. La gestion du risque ne se limite plus à un contrôle ponctuel des systèmes informatiques, mais implique une vision proactive des risques, qui prime sur une simple approche réactive. Au-delà de la compréhension théorique, il est essentiel de traduire cette transformation par des actions tangibles et opérationnelles.

Sources : 

1. https://www.enisa.europa.eu/sites/default/files/2025-02/Finance%20TL%202024_Final.pdf 

2. https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32022R2554 

3. https://esurfi.banque-france.fr/fr/esurfi-banque/informations-techniques/collectes/dora/17012025-mise-en-place-de-la-collecte-dora-pour-la-banque

4. https://esurfi.banque-france.fr/fr/esurfi-assurance/informations-techniques/collectes/dora/17012025-mise-en-place-de-la-collecte-dora-pour-lassurance

À lire aussi

Articles recommandés pour booster votre cybersécurité

Réglementation et normes

10 recommandations de l’ANSSI pour une bonne hygiène cyber

Coffre-fort de mots de passe

Gestion des accès : défis pour la DSI et solutions pratiques

Réglementation et normes

NIS2, DORA, CRA : Plan d'action 2024-25 pour vous conformer