Le règlement DORA redéfinit la cybersécurité du secteur financier européen

Le règlement européen DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il marque un tournant dans la manière dont les établissements financiers doivent anticiper et encadrer les risques technologiques. Pensé pour unifier les pratiques dans l’Union européenne, DORA redéfinit les standards de cybersécurité, de gestion des risques IT et de gouvernance des prestataires tiers.

DORA pose un cadre unifié pour la résilience opérationnelle numérique

Le secteur financier européen dépend fortement des systèmes numériques. Cette dépendance croissante s’accompagne de cybermenaces toujours plus sophistiquées. DORA vise à structurer une réponse commune, rigoureuse et proactive.

Ce règlement s’adresse à plus de 20 types d’entités financières, de la banque à l’assurance en passant par les fintechs et les sociétés d’investissement. Il s’applique aussi aux prestataires de services TIC critiques, avec des exigences de transparence et de contrôle inédites.

Cinq piliers structurent l’approche réglementaire DORA

Le texte repose sur une architecture claire et opérationnelle. Chaque pilier apporte des exigences concrètes, avec une logique de gestion continue et proportionnée aux risques.

• Gouvernance et gestion des risques TIC : mise en place d’un cadre organisationnel robuste avec des responsabilités claires.
• Notification des incidents majeurs : standardisation des seuils, formats et délais de déclaration aux autorités.
• Tests de résilience numérique : simulations de crise obligatoires, incluant des tests avancés pour les entités systémiques.
• Gestion des risques liés aux tiers : encadrement strict des contrats, du suivi et de la dépendance technologique.
• Partage d’information : promotion des échanges sur les menaces pour améliorer la posture défensive collective.

Un calendrier clair et une mise en conformité progressive

Le texte est entré en vigueur le 16 janvier 2023, mais ne sera applicable qu’à partir du 17 janvier 2025. Cela laisse aux acteurs du secteur un délai de deux ans pour adapter leurs systèmes, contrats et processus.

Les autorités, dont l’ACPR et EIOPA, accompagnent les entreprises avec des guides, webinaires, canevas de reporting et normes techniques déléguées. Des précisions continuent d’être publiées, notamment sur la désignation des prestataires TIC critiques et les frais de supervision associés.

DORA pousse à une nouvelle approche de la cybersécurité

Au-delà de la conformité, DORA est un levier stratégique. Il incite les entreprises à professionnaliser leur pilotage du risque numérique, à instaurer une culture cyber transversale et à mieux contractualiser avec leurs partenaires technologiques.

Cette évolution rapproche le pilotage des risques IT de celui des risques financiers. Elle valorise les fonctions conformité, IT et cybersécurité au sein des comités de direction.

Tableau récapitulatif des exigences DORA

Une opportunité pour structurer les pratiques en cybersécurité

DORA offre aux acteurs financiers un cadre clair, évolutif et homogène pour traiter les risques numériques. Il ne s’agit pas simplement d’une obligation réglementaire mais d’un outil structurant pour renforcer la résilience globale des systèmes et services critiques.

Les entreprises les plus agiles peuvent tirer profit de ce cadre pour améliorer leur attractivité, sécuriser leur chaîne de valeur numérique et professionnaliser leur gestion des crises IT.