P.I.L.O.T.E

4 min de lecture

2. Objectifs et finalité du règlement DORA

Info

Le règlement DORA (Digital Operational Resilience Act) poursuit une finalité claire : assurer la résilience numérique du secteur financier européen, en fixant des obligations contraignantes et vérifiables.
Dernière mise à jour : 25 août 2025

2.1. Pourquoi des objectifs spécifiques ?

Les crises passées (attaques sur les paiements interbancaires, pannes Cloud, incidents de prestataires critiques) ont révélé que la continuité numérique du secteur financier reposait sur des dispositifs fragmentés et souvent insuffisants. DORA vise à combler ces lacunes en fixant des objectifs harmonisés qui structurent la résilience des entités financières.

2.2. Les 5 piliers de DORA

1. Gestion des risques TIC

Les entités financières doivent mettre en place un cadre de gestion des risques TIC couvrant prévention, détection, réponse et rétablissement. Il inclut la cartographie des actifs critiques, l’évaluation des dépendances, les registres des risques TIC et la documentation des contrôles.
Preuves attendues : registre des risques TIC, matrices RACI, politique validée par le Conseil/COMEX, KPI/KRI suivis en comités.

2. Gestion des incidents TIC

DORA impose une notification harmonisée des incidents majeurs (délais, seuils, canaux) et une capacité d’analyse post‑incident pour en tirer des leçons. L’objectif est de garantir une visibilité partagée avec les autorités (EBA, ESMA, EIOPA).
Preuves attendues : registres incidents, journaux de notification, rapports post‑mortem, communication réglementaire.

3. Tests de résilience numérique

Les entités doivent conduire des tests réguliers, adaptés à leur taille et profil de risque : PRA/PCA, bascule, charge, vulnérabilités, et pour certains acteurs, des exercices avancés de type TLPT (Threat‑Led Penetration Testing).
Preuves attendues : rapports de tests, preuves de remédiation, calendrier validé, KPI/KRI.

4. Gestion des tiers critiques

DORA intègre pour la première fois les prestataires TIC critiques (Cloud, infogérance, services de paiement, cybersécurité) dans la supervision. Les contrats doivent contenir des clauses précises (auditabilité, réversibilité, pénalités, SLA/OLA) et des plans de sortie.
Preuves attendues : contrats amendés, clauses DORA, registre fournisseurs critiques, audits tiers, plans de sortie documentés.

5. Partage d’information et coopération

Les entités doivent mettre en place des mécanismes de partage d’information sur les menaces, incidents et vulnérabilités, dans un cadre sectoriel sécurisé et supervisé. L’objectif est de renforcer la cyber‑conscience collective et la détection anticipée.
Preuves attendues : adhésion à un ISAC (Information Sharing and Analysis Center), comptes‑rendus de partage, preuves de coopération sectorielle.

2.3. Confiance et stabilité du secteur financier

DORA contribue à :

  • prévenir les effets systémiques (effet domino en cas d’incident majeur),
  • renforcer la confiance des clients et partenaires,
  • aligner l’Europe sur les pratiques mondiales (TIBER‑EU, NIST, Bâle).

2.4. Impacts organisationnels et gouvernance

Les Conseils/COMEX doivent approuver la stratégie de résilience, valider les politiques et suivre les KPI/KRI. Le RSSI pilote la mise en œuvre opérationnelle, les achats sécurisent les contrats, les métiers s’assurent de la continuité des services.
Les preuves d’audit attendues couvrent les cinq piliers : registres, contrats, rapports de test, notifications, preuves de partage d’information.

2.5. Cas concrets

  • Panne d’un fournisseur Cloud entraînant une indisponibilité de paiement → DORA exige cartographie, registre fournisseur critique, clauses contractuelles et plan de sortie.
  • Cyberattaque ciblant un prestataire TIC → obligation de notification, post‑mortem, renforcement des contrats et partage sectoriel.
  • Exercice TLPT sur une banque systémique → preuves d’audit, plan de remédiation, communication vers le régulateur.

2.6. Checklist RSSI – Objectifs

  • Vérifier l’existence d’un cadre de gestion des risques TIC approuvé par le Conseil/COMEX.
  • Mettre à jour les registres incidents et procédures de notification.
  • Planifier et documenter un programme de tests de résilience adapté au profil de risque.
  • Identifier et contractualiser les fournisseurs TIC critiques avec clauses DORA.
  • Mettre en place ou rejoindre un mécanisme sectoriel de partage d’information.

2.7. Objectifs pédagogiques

À l’issue de ce chapitre, le lecteur :

  • maîtrise les 5 piliers de DORA et leurs implications,
  • sait relier chaque pilier à des preuves d’audit concrètes,
  • comprend les impacts de gouvernance (Conseil, RSSI, métiers),
  • peut illustrer chaque pilier par un cas concret sectoriel,
  • dispose d’une checklist pour initier ou renforcer sa conformité.

Vue Graphique