Réglement DORA

Nos certifications
Normes & Directives Règlement DORA

Qu'est-ce que le réglement DORA ?

Le Digital Operational Resilience Act (DORA) est un règlement européen adopté en 2022 qui s’applique aux banques, assurances et autres acteurs des services financiers à partir du 17 janvier 2025.

Son objectif est de renforcer la résilience opérationnelle numérique de l’ensemble du secteur financier de l’UE, dans un contexte d’attaque croissante et de dépendance accrue aux technologies. En harmonisant les règles entre tous les États membres, DORA les différents acteurs du secteur puisse être résilient.

Il doit pouvoir résister, réagir et se remettre de tout incident informatique (cyberattaque, panne majeure) de manière efficace.

Qui est concerné par DORA ?

Le règlement DORA s’applique aux entités financières ce qui englobe 21 acteurs différents tels que :

  • Les établissements de crédit
  • Les établissements de paiement
  • Les établissements de monnaie électronique
  • Les prestataires de services sur crypto-actifs
  • Les sociétés de gestion
  • Les institutions de retraite
  • Etc.

Il concerne aussi bien les entités financières que leurs prestataires de services TIC qui fournissent une fonction critique ou importante c’est-à-dire une fonction dont la perturbation pourrait gravement affecter la stabilité financière, la continuité des services ou la conformité réglementaire d’une entité financière.

En France, cela représente potentiellement des centaines d’entités supervisées qui seront contrôlées par l’Autorité de Contrôle Prudentiel et de résolution (ACPR) qui est adossée à la Banque de France.

Les entités de marchés financiers restent soumises à l’Autorité des marchés Financiers.

DORA est une lex specialis de la directive NIS 2: les entités financières devront, lorsqu’elles y sont soumises, respecter à la fois NIS 2 et DORA.

Les opérateurs d’importance vitale quant à eux restent soumis à la Loi de programmation militaire qui est plus stricte et ne seront pas contrôlés par l’ACPR au titre de DORA.

Quelles sont les exigences du règlement DORA ?

DORA impose un socle commun aux entités financières qui s’articule autour de cinq piliers clés qui structurent les obligations des entités financières :

01

Gestion des risques

  • Instaurer un cadre de gouvernance des risques informatiques
  • Réaliser une analyse des risques liés aux TIC complète et approfondie
  • Surveiller et tester régulièrement les systèmes et les mesures de sécurité mises en place pour assurer la résilience de l’entité
  • Garantir un suivi des risques
  • Rédiger un rapport annuel sur demande du superviseur (ACPR ou AMF)
Faites-vous accompagner dans la réalisation de votre Analyse de Risque DORA

02

Gestion des incidents et notification

  • Protéger la disponibilité des fonctions essentielles et de bases par des mesures de résilience.
  • Mettre en place un PCA/PRA
  • Prévoir un dispositif de classification des incidents de sécurité informatique
  • Notifier tout incident majeur au superviseur (ACPR ou AMF)
  • dora.exigences.incidents.item5
Le Centre Opérationnel de Cybersécurité de ZIWIT à votre service

03

Test de résilience opérationelle

  • Tests classiques :
    • Exercices annuels de continuité d’activité
    • Tests de reprise après sinistre
    • Exercices de gestion de crise
    • Scans de vulnérabilités
    • Pentests
    • Etc.
  • Tests avancés: les tests de pénétration fondés sur la menace (TLPT – Threat-Led Penetration Testing) tous les 3 ans pour certaines entités importantes
Faites réaliser votre TLPT DORA par une équipe experte

04

Gestion des tiers critiques

  • Recenser et surveiller les prestataires TIC
  • Clauses contractuelles spécifiques DORA et clauses prestataires critiques
  • Registre des prestataires tiers de services TIC
  • Audit des prestataires tiers critiques
  • Stratégie de sortie pour les services qui soutiennent des fonctions critiques

05

Test de résilience opérationelle

  • Echange d’informations sur les cybermenaces et vulnérabilités
  • Intégration de groupes de partages

En synthèse, DORA apporte une vision holistique de la résilience numérique du secteur financier. Il ne se contente pas de demander la mise en place de pare-feux ou la réalisation de pentest annuels: il mobilise toutes les fonctions de l’entreprise (dirigeants, RSSI, équipes IT, risk managers, conformité) pour assurer une réponse coordonnée et maintenir la continuité d’activité en cas d’incident.

Le règlement insiste autant sur la préparation (anticipation des risques, tests) que sur la réaction aux incidents. Notons qu’il s’aligne souvent sur des principes déjà présents dans les textes bancaires : par exemple, l’arrêté français du 3 novembre 2014 (contrôle interne bancaire) imposait depuis 2021 aux établissements d’établir « une organisation de la gestion du risque informatique » intégrant la sécurité des SI et la continuité d’activité.

Quelles sont les sanctions en cas de non-respect du règlement DORA ?

Le règlement DORA instaure un régime de sanctions renforcées pour dissuader les entités financières et les prestataires critiques de ne pas se conformer à ses exigences.

Les sanctions varient en fonction de l’entité qui ne respectent pas le règlement :

Pour les entités financières

Amendes administratives pouvant atteindre 10 millions d’euros ou 5% du chiffre d’affaires annuel total.

Pour les préstataires critiques

Astreinte journalière, jusqu’à 6 mois, équivalentes à 1% du chiffre d’affaires quotidien moyen mondial.

Il est à noter que les Etats-membres ont la possibilité de préférer des sanctions pénales aux sanctions administratives dans le cas où de telles sanctions existent déjà dans le droit national.

L'ACPR et l'AMF auront le pouvoir de mener des enquêtes, de réaliser des inspections et de délivrer des injonctions visant des pratiques jugées non conformes, ce qui pourrait aller jusqu'à la suspension de ces pratiques.

Comment se préparer au règlement DORA ?

Le règlement DORA est entré en vigueur le 17 janvier 2025.

Il représente une avancée majeure pour la résilience des infrastructures financières et devrait contribuer à mieux les protéger des cyberattaques.

Voici un guide pratique pour vous aider à vous préparer :

Evaluer votre situation

Identifier si votre organisation relève du champ d'application du règlement DORAIdentifier si votre organisation relève du champ d'application du règlement DORA

  • Le règlement vise plus d’une vingtaine d’entités financières
  • Les exigences varient en fonction de la taille de votre structure qui peuvent bénéficier d’un régime simplifié ou allégé

Réaliser une analyse approfondie de vos risques cybersécuritéRéaliser une analyse approfondie de vos risques cybersécurité

  • Identifiez vos actifs critiques, les menaces potentielles auxquelles ils sont exposés et les vulnérabilités existantes.
  • Cette analyse vous permettra de définir les priorités en matière de mise en œuvre des mesures de sécurité.
Faire réaliser mon analyse de risque par les experts ZIWIT

Mettre en place les mesures de sécurité nécessaires

Appliquer les exigences de base du règlement DORAAppliquer les exigences de base du règlement DORA

  • Cela comprend la mise en place de mesures de gestion des risques, de sécurité, de protection des données et de gestions des incidents que ce soit pour vos services mais aussi, pour votre structure
  • Vous pouvez vous référer aux règlements d’exécution et aux guides pratiques publiés par les autorités compétentes pour obtenir des orientations détaillées

Renforcer vos mesures de sécurité existantesRenforcer vos mesures de sécurité existantes

  • Évaluez si vos pratiques actuelles sont conformes aux exigences du règlement CRA
  • Mettez à jour vos politiques, procédures et technologies de sécurité si nécessaire
Faites-vous accompagner par des experts dans la création du corpus sécurité DORA

Adopter une approche proactive de la gestion des risquesAdopter une approche proactive de la gestion des risques

  • Mettez en place des mécanismes de surveillance et de détection continue pour identifier les cybermenaces et les intrusions potentielles en temps réel.
  • Implémentez des mesures de protection préventives telles que le contrôle d'accès strict, ou encore la mise à jour régulière des produits.

Renforcer vos capacités de gestion des incidents et des vulnérabilités

Elaborer un plan de réponse aux incidents documentéElaborer un plan de réponse aux incidents documenté

  • Ce plan doit définir les rôles, les responsabilités et les procédures à suivre en cas de cyberattaque.
  • Il doit également inclure des plans de communication et de restauration des systèmes

Tester vos vulnérabilitésTester vos vulnérabilités

  • Réaliser des tests de sécurité réguliers ( audits de configuration ou tests d'intrusion ) pour améliorer en continu votre sécurité

Rechercher des conseils et un soutien expert

N'hésitez pas à solliciter l'aide de consultants et d'experts en cybersécuritéN'hésitez pas à solliciter l'aide de consultants et d'experts en cybersécurité

  • Ces professionnels peuvent vous aider à évaluer vos risques, à mettre en œuvre les mesures de sécurité nécessaires et à se préparer aux audits de conformité.
Nous contacter

Restez informés des évolutions réglementaires et des nouvelles cybermenacesRestez informés des évolutions réglementaires et des nouvelles cybermenaces

  • Abonnez-vous aux communications des autorités compétentes et participez aux webinaires et aux formations proposés sur le règlement DORA.

Notre équipe a une expérience approfondie du secteur financier :nous avons suivi de près l’élaboration de DORA et aidé plusieurs banques et assureurs pilotes à anticiper sa mise en œuvre.

Ziwit propose une démarche pragmatique pour la conformité DORA, depuis le diagnostic d’écart initial jusqu’au déploiement des processus nécessaires (ex : élaboration du plan de gestion des risques TIC, refonte du plan de continuité selon les nouvelles normes, mise en place du registre des externalisations, etc.).

Notre approche privilégie la synergie avec les obligations NIS2 et ISO 27001 : ainsi, plutôt que de traiter DORA comme un silo supplémentaire, nous aidons nos clients à bâtir un système de management intégré qui couvre à la fois NIS2, DORA, ISO 27001, et les contrôles de l’ACPR – évitant les doublons et optimisant les ressources.

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités. Contactez-nous

Contactez-nous !

+33 1 85 09 15 09
*requis