Conformite DORA : le guide complet pour les etablissements financiers francais
Introduction
Le reglement DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Pour les banques, les assureurs, les societes de gestion et les prestataires de services de paiement en France, ce n'est plus un sujet a anticiper : c'est une obligation en vigueur.
Pourtant, de nombreux etablissements francais n'ont pas encore finalise leur mise en conformite DORA. Entre les exigences de l'ACPR, les attentes de l'AMF et la complexite des cinq piliers du reglement, il est facile de se perdre. Ce guide a ete concu pour les RSSI, les Compliance Officers et les directeurs des risques qui ont besoin d'un panorama clair, actionnable et adapte au contexte reglementaire francais.
Qu'est-ce que le reglement DORA ?
Le reglement (UE) 2022/2554, dit DORA, etablit un cadre harmonise pour la resilience operationnelle numerique du secteur financier europeen. Contrairement a une directive, DORA est un reglement : il s'applique directement dans tous les Etats membres, sans transposition nationale.
Son objectif est double :
- Renforcer la resilience operationnelle des entites financieres face aux risques lies aux technologies de l'information et de la communication (TIC)
- Harmoniser les exigences a l'echelle europeenne, la ou chaque regulateur national avait auparavant ses propres referentiels
En France, l'ACPR (Autorite de controle prudentiel et de resolution) et l'AMF (Autorite des marches financiers) sont les autorites competentes pour superviser l'application de DORA dans leurs perimetres respectifs.
Qui est concerne par DORA en France ?
Le champ d'application de DORA est large. Sont concernes :
- Les etablissements de credit : banques commerciales, banques en ligne, etablissements specialises
- Les entreprises d'investissement : societes de gestion de portefeuille, prestataires de services d'investissement
- Les societes de gestion : OPCVM, FIA, societes de gestion de placements collectifs
- Les entreprises d'assurance et de reassurance
- Les prestataires de services de paiement (PSP) et les etablissements de monnaie electronique
- Les infrastructures de marche : bourses, depositaires centraux, chambres de compensation
- Les prestataires de services sur actifs numeriques (PSAN)
- Les prestataires tiers critiques de services TIC : fournisseurs cloud, hebergeurs, editeurs de logiciels critiques
En pratique, si votre etablissement est supervise par l'ACPR ou l'AMF, vous etes tres probablement dans le perimetre de DORA.
Cas particulier : les petites entites
DORA prevoit un principe de proportionnalite (article 4). Les entites de petite taille beneficient d'exigences allegees, notamment en matiere de gouvernance et de tests. Cela ne signifie pas qu'elles sont exemptees : elles doivent neanmoins mettre en place un cadre de gestion des risques TIC adapte a leur taille et a la complexite de leurs activites.
Les 5 piliers de DORA
Le reglement DORA s'articule autour de cinq piliers fondamentaux. Chacun d'entre eux represente un domaine d'exigences specifiques que les entites financieres doivent satisfaire.
Pilier 1 : Gestion des risques lies aux TIC (Articles 5 a 16)
C'est le socle de DORA. Chaque entite financiere doit mettre en place un cadre de gestion des risques TIC complet, valide par l'organe de direction.
Ce que cela implique concretement :
- Definir une strategie de resilience numerique approuvee par le conseil d'administration ou le directoire
- Identifier et cartographier l'ensemble des actifs TIC, y compris les interconnexions avec les prestataires tiers
- Mettre en place des mecanismes de detection des anomalies et des incidents
- Definir des politiques de sauvegarde, de restauration et de continuite d'activite
- Documenter des plans de reponse et de retablissement en cas d'incident majeur
- Former les collaborateurs aux risques TIC et a la cybersecurite
Point d'attention ACPR : L'ACPR a indique dans ses communications que la gouvernance du risque TIC doit etre integree dans le dispositif global de gestion des risques de l'etablissement. Il ne suffit pas d'avoir un document isole : le cadre TIC doit etre articule avec le PUPA (Plan d'urgence et de poursuite d'activite) et le dispositif de controle interne.
Pilier 2 : Gestion, classification et notification des incidents TIC (Articles 17 a 23)
DORA impose un processus structure de gestion des incidents lies aux TIC, avec des obligations de notification aux autorites competentes.
Les obligations cles :
- Mettre en place un processus de detection, de gestion et de suivi des incidents TIC
- Classifier les incidents selon des criteres definis (impact, duree, nombre de clients affectes, pertes financieres, etendue geographique)
- Notifier les incidents majeurs a l'ACPR ou a l'AMF dans les delais prescrits :
- Notification initiale : dans les 4 heures suivant la classification de l'incident comme majeur (ou au plus tard 24 heures apres la detection)
- Rapport intermediaire : dans les 72 heures
- Rapport final : dans le mois suivant la resolution
- Tenir un registre de tous les incidents TIC, y compris ceux qui ne sont pas qualifies de majeurs
Pilier 3 : Tests de resilience operationnelle numerique (Articles 24 a 27)
DORA introduit des exigences de tests reguliers pour verifier la solidite des dispositifs de resilience.
Deux niveaux de tests :
- Tests de base (obligatoires pour toutes les entites) : tests de vulnerabilite, analyses de code source, tests de performance, tests de penetration, revues de securite des reseaux
- Tests avances de penetration fondes sur la menace (TLPT) : obligatoires pour les entites identifiees par les autorites competentes, ces tests doivent etre realises au moins tous les 3 ans selon le cadre TIBER-EU (ou TIBER-FR en France)
Important : Les tests TLPT doivent etre realises par des testeurs independants et certifies. L'ACPR et la Banque de France supervisent le cadre TIBER-FR pour les etablissements bancaires et financiers francais.
Pilier 4 : Gestion des risques lies aux prestataires tiers de services TIC (Articles 28 a 44)
C'est l'un des aspects les plus structurants de DORA pour les etablissements francais, qui font largement appel a l'externalisation (cloud, infogestion, edition de logiciels).
Les exigences principales :
- Tenir un registre d'information (Register of Information) de tous les accords contractuels avec des prestataires tiers de services TIC
- Evaluer les risques de concentration lies aux prestataires (dependance excessive a un seul fournisseur cloud, par exemple)
- Inclure dans les contrats des clauses specifiques : droits d'audit, obligations de notification, plans de sortie, localisation des donnees
- Mettre en place un suivi continu de la performance et de la securite des prestataires
- Disposer de strategies de sortie operationnelles en cas de defaillance d'un prestataire critique
Le cas des prestataires tiers critiques : Les AES (Autorites europeennes de surveillance) designent les prestataires tiers critiques de services TIC. Ces prestataires font l'objet d'une supervision directe au niveau europeen, avec un superviseur principal designe parmi les trois AES (ABE, AEAPP, AEMF).
Pilier 5 : Partage d'informations (Article 45)
DORA encourage le partage d'informations sur les cybermenaces entre entites financieres, dans le respect du RGPD et des regles de concurrence.
En pratique :
- Participation volontaire a des dispositifs de partage d'informations sur les menaces
- Notification a l'autorite competente des accords de partage conclus
- Respect des regles de confidentialite et de protection des donnees personnelles
En France, l'ANSSI et le CERT-FR jouent un role complementaire dans le partage d'informations sur les menaces cyber, au-dela du perimetre strictement financier.
Calendrier et echeances
Le calendrier de DORA s'articule autour de dates cles :
| Date | Echeance |
|---|---|
| 16 janvier 2023 | Entree en vigueur du reglement DORA |
| 17 janvier 2024 | Publication des normes techniques de reglementation (RTS) de niveau 1 par les AES |
| 17 juillet 2024 | Publication des RTS de niveau 2 |
| 17 janvier 2025 | Date d'application de DORA |
| 2025-2026 | Premiers controles de conformite par l'ACPR et l'AMF |
| Avril 2025 | Soumission du premier registre d'information aux autorites |
Ou en sommes-nous ? Depuis le 17 janvier 2025, DORA est pleinement applicable. Les entites financieres qui n'ont pas encore finalise leur mise en conformite s'exposent a des sanctions. L'ACPR a d'ores et deja integre DORA dans ses priorites de controle pour 2025-2026.
Les sanctions en cas de non-conformite
DORA prevoit un regime de sanctions robuste. Les autorites competentes nationales (ACPR, AMF) disposent de pouvoirs etendus :
- Sanctions administratives : amendes, injonctions, retrait d'agrement dans les cas les plus graves
- Sanctions pecuniaires : le montant des amendes est fixe par les Etats membres. En France, l'ACPR peut prononcer des sanctions allant jusqu'a 100 millions d'euros ou 10 % du chiffre d'affaires annuel pour les manquements les plus graves
- Publication des sanctions : les decisions de sanction peuvent etre rendues publiques, avec un impact reputationnel significatif
- Responsabilite des dirigeants : les membres de l'organe de direction sont personnellement responsables de la mise en place du cadre de gestion des risques TIC
A noter : Pour les prestataires tiers critiques, le superviseur principal europeen peut imposer des astreintes journalieres pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen.
DORA et les tests de penetration : ce qu'il faut savoir
Les articles 24 a 27 de DORA imposent des exigences precises en matiere de tests de securite. C'est un domaine ou de nombreux etablissements francais doivent encore progresser.
Les tests de base (Article 25)
Toutes les entites financieres soumises a DORA doivent realiser, au minimum une fois par an :
- Des tests de vulnerabilite sur les systemes et reseaux TIC
- Des analyses de code source (statiques et dynamiques)
- Des evaluations de la securite des reseaux
- Des tests de performance et de charge
- Des tests de penetration (pentests) sur les systemes critiques
Ces tests doivent etre realises par des equipes internes independantes ou des prestataires externes qualifies.
Les tests TLPT (Article 26)
Les tests avances de penetration fondes sur la menace (TLPT - Threat-Led Penetration Testing) constituent le niveau le plus exigeant. Ils s'appliquent aux entites identifiees par les autorites competentes, generalement les etablissements d'importance systemique.
Caracteristiques des TLPT :
- Bases sur des scenarios de menaces reelles (Red Team)
- Couvrent l'ensemble de la chaine d'attaque : reconnaissance, exploitation, post-exploitation
- Doivent inclure les prestataires tiers critiques dans le perimetre
- Realises au minimum tous les 3 ans
- Encadres par le framework TIBER-FR en France
L'apport du pentest automatise par IA
Face a la frequence des tests imposee par DORA et au cout eleve des pentests manuels traditionnels, le pentest automatise par intelligence artificielle represente une evolution majeure.
Les avantages pour la conformite DORA :
- Tests continus : la ou un pentest manuel est realise une a deux fois par an, un pentest IA peut tourner en continu, offrant une couverture permanente
- Couverture elargie : l'IA peut scanner des perimetres plus larges en un temps reduit, couvrant l'ensemble des actifs TIC recenses dans le registre d'information
- Documentation automatisee : les rapports sont generes automatiquement, facilitant la production de preuves de conformite pour l'ACPR et l'AMF
- Reduction des couts : un pentest IA coute une fraction du prix d'un test manuel, permettant de multiplier les campagnes de tests
Matproof propose une solution de pentest automatise par IA specifiquement concue pour repondre aux exigences de DORA. La plateforme genere des rapports conformes aux attentes des regulateurs francais et integre les resultats directement dans votre tableau de bord de conformite.
Mise en conformite DORA : par ou commencer ?
Si votre etablissement n'a pas encore finalise sa mise en conformite, voici une feuille de route pragmatique en 8 etapes.
Etape 1 : Realiser un diagnostic de maturite
Avant toute chose, evaluez votre niveau de conformite actuel par rapport aux cinq piliers de DORA. Identifiez les ecarts entre votre dispositif existant et les exigences du reglement.
Actions concretes :
- Cartographier les politiques et procedures existantes en matiere de risques TIC
- Comparer votre cadre actuel avec les exigences des RTS publiees par les AES
- Identifier les domaines ou les lacunes sont les plus critiques
Etape 2 : Structurer la gouvernance
DORA exige que l'organe de direction assume la responsabilite du cadre de gestion des risques TIC. La gouvernance doit etre formalisee.
Actions concretes :
- Nommer un responsable de la resilience operationnelle numerique (ou etendre le mandat du RSSI)
- Definir les roles et responsabilites des premiere, deuxieme et troisieme lignes de defense
- Integrer la resilience numerique dans l'ordre du jour du comite des risques
Etape 3 : Constituer le registre d'information
Le registre d'information (Register of Information) est un livrable obligatoire de DORA. Il recense tous les accords contractuels avec les prestataires tiers de services TIC.
Actions concretes :
- Inventorier l'ensemble des contrats avec les prestataires TIC
- Classifier les prestataires selon leur criticite
- Documenter les interdependances et les risques de concentration
- Preparer la soumission du registre a l'ACPR et a l'AMF
Etape 4 : Mettre a jour les contrats avec les prestataires
Les articles 28 a 30 de DORA imposent des clauses contractuelles specifiques pour les accords avec les prestataires TIC.
Clauses obligatoires :
- Droits d'acces, d'inspection et d'audit
- Obligations de notification des incidents
- Engagements en matiere de disponibilite et de performance
- Localisation des donnees et conditions de transfert
- Strategies de sortie et de transition
- Cooperation avec les autorites de surveillance
Etape 5 : Renforcer le dispositif de gestion des incidents
Mettez en place ou ameliorez votre processus de gestion des incidents TIC pour repondre aux exigences de classification et de notification.
Actions concretes :
- Definir des criteres de classification des incidents alignes sur les RTS
- Mettre en place des procedures de notification a l'ACPR/AMF dans les delais requis
- Tester les procedures de gestion de crise par des exercices reguliers
Etape 6 : Planifier les tests de resilience
Etablissez un programme de tests conforme aux articles 24 a 27, incluant les tests de base annuels et, le cas echeant, les tests TLPT.
Actions concretes :
- Definir le perimetre des tests de penetration
- Planifier les campagnes de tests de vulnerabilite et de pentests
- Evaluer la pertinence d'une solution de pentest automatise par IA pour couvrir les exigences de frequence
- Se preparer au cadre TIBER-FR si votre etablissement est identifie pour les TLPT
Etape 7 : Documenter et produire les preuves de conformite
DORA impose une documentation rigoureuse. Les autorites competentes attendront des preuves tangibles lors de leurs controles.
Documents cles :
- Politique de gestion des risques TIC
- Registre d'information des prestataires tiers
- Registre des incidents TIC
- Rapports de tests de penetration et de vulnerabilite
- Plans de continuite d'activite et de reprise apres sinistre
- Comptes rendus des comites de direction traitant des risques TIC
Etape 8 : Mettre en place un suivi continu
La conformite DORA n'est pas un projet ponctuel. C'est un processus continu qui necessite un suivi permanent.
Actions concretes :
- Mettre en place des tableaux de bord de suivi de la conformite
- Planifier des revues periodiques du cadre de gestion des risques TIC
- Suivre l'evolution des RTS et des orientations publiees par les AES, l'ACPR et l'AMF
- Former regulierement les equipes aux evolutions reglementaires
DORA et les reglementations existantes en France
DORA ne remplace pas les reglementations nationales existantes. Il les complete et les harmonise.
DORA et les orientations de l'ACPR
L'ACPR avait deja publie des attentes en matiere de risques TIC et d'externalisation (notamment les orientations EBA sur l'externalisation). DORA vient formaliser et renforcer ces exigences dans un cadre reglementaire contraignant. Les etablissements qui se conformaient deja aux orientations EBA/ACPR sur l'externalisation ont une longueur d'avance.
DORA et le RGPD
DORA et le RGPD sont complementaires. Le RGPD protege les donnees personnelles ; DORA protege la resilience operationnelle des systemes qui traitent ces donnees. Un incident TIC au sens de DORA peut egalement constituer une violation de donnees au sens du RGPD, avec des obligations de notification distinctes (a la CNIL sous 72 heures pour le RGPD).
DORA et NIS 2
NIS 2, la directive europeenne sur la securite des reseaux et des systemes d'information, s'applique egalement a certaines entites financieres. DORA est considere comme lex specialis pour le secteur financier : lorsque DORA et NIS 2 se chevauchent, les exigences de DORA prevalent. Neanmoins, les entites financieres doivent verifier si certaines de leurs activites relevent du perimetre specifique de NIS 2.
Comment Matproof simplifie la conformite DORA
Matproof est une plateforme de gestion de la conformite concue pour les etablissements financiers europeens. Elle couvre l'ensemble des exigences de DORA a travers une interface unique.
Ce que Matproof apporte :
- Cartographie automatisee des exigences : les cinq piliers de DORA sont decomposes en controles actionnables, avec un suivi en temps reel de votre taux de conformite
- Registre d'information integre : gerez votre inventaire de prestataires tiers directement dans la plateforme, avec evaluation des risques et alertes de concentration
- Pentest automatise par IA : lancez des tests de penetration en continu, generez des rapports conformes aux attentes de l'ACPR et de l'AMF
- Collecte automatisee des preuves : connectez vos systemes (cloud, endpoints, SIEM) pour alimenter automatiquement votre dossier de conformite
- Tableaux de bord reglementaires : visualisez votre position de conformite DORA en un coup d'oeil, avec des indicateurs adaptes au contexte regulatoire francais
Demandez une demonstration de Matproof pour decouvrir comment accelerer votre mise en conformite DORA.
Conclusion
La conformite DORA n'est plus un horizon lointain : c'est une obligation en vigueur depuis le 17 janvier 2025. Les etablissements financiers francais sont sous la surveillance de l'ACPR et de l'AMF, qui ont clairement integre DORA dans leurs priorites de controle.
La complexite du reglement - cinq piliers, des dizaines de RTS, des obligations de notification strictes - ne doit pas paralyser l'action. En suivant une approche structuree, en s'appuyant sur des outils adaptes et en mobilisant la gouvernance de l'etablissement, la mise en conformite est un objectif atteignable.
L'essentiel est de commencer maintenant, en traitant les ecarts les plus critiques en priorite : le registre d'information, la gouvernance des risques TIC et le dispositif de gestion des incidents. Le reste suivra naturellement dans une demarche d'amelioration continue.