Retour au glossaire
D
Définition

DORA Définition IT

Digital Operational Resilience Act : règlement européen qui impose aux institutions financières des exigences strictes de résilience IT, en vigueur depuis janvier 2025.

DORA (Digital Operational Resilience Act, Règlement européen 2022/2554) est le règlement européen qui impose aux institutions financières et à leurs prestataires IT critiques des exigences renforcées de résilience opérationnelle numérique. Entré en application le 17 janvier 2025, il a un impact direct sur la gouvernance SI, la cybersécurité et la gestion des fournisseurs IT de toute entité financière opérant dans l'Union européenne.

Son ambition : harmoniser et durcir, à l'échelle européenne, les exigences déjà éparses sur la résilience IT du secteur financier (orientations EBA, instructions ACPR, recommandations BCE), et étendre la supervision aux fournisseurs IT critiques (cloud providers, éditeurs SaaS, opérateurs de marché).

Qui est concerné par DORA

DORA s'applique à un périmètre très large :

  • Banques: (établissements de crédit).
  • Assurances et réassurances: .
  • Entreprises d'investissement, gestionnaires de fonds: .
  • Prestataires de services de paiement, monnaie électronique: .
  • Plateformes de crypto-actifs: (MiCA-compliant).
  • Infrastructures de marché: : bourses, chambres de compensation, dépositaires.
  • Fournisseurs IT critiques: désignés : hyperscalers, éditeurs SaaS structurants, prestataires d'externalisation.

Au total, plus de 22 000 entités sont directement concernées en Europe, et l'effet indirect sur leurs prestataires IT touche plusieurs centaines de milliers de fournisseurs.

Les cinq piliers de DORA

DORA s'organise autour de cinq exigences structurantes :

### 1. Gestion des risques IT (Chapitre II)

Mise en place d'un cadre de gestion des risques IT documenté, validé par la direction, mis à jour annuellement. Couvre identification des actifs critiques, analyse d'impact, plans de continuité (PCA / PRA).

### 2. Gestion des incidents IT (Chapitre III)

Procédure formelle de détection, classification, notification et reporting des incidents IT majeurs. Notification dans les 4 heures pour les incidents critiques, rapport intermédiaire à 72h, rapport final à 1 mois.

### 3. Tests de résilience (Chapitre IV)

Programme annuel de tests : tests fonctionnels, scans de vulnérabilités, audits, simulations. Pour les entités les plus critiques (~10 %), tests TLPT (Threat-Led Penetration Testing) tous les 3 ans, basés sur le framework TIBER-EU.

### 4. Gestion des risques tiers IT (Chapitre V)

Cartographie complète des fournisseurs IT, contrats encadrés (clauses obligatoires : audit, sortie, sous-traitance), évaluation continue, plans de sortie. Désignation des prestataires IT critiques soumis à supervision directe européenne.

### 5. Partage d'information (Chapitre VI)

Échange volontaire de renseignements sur les menaces cyber entre entités financières, via des accords cadres.

Sanctions

Les sanctions DORA sont sévères :

  • Amendes administratives: jusqu'à 1 % du chiffre d'affaires mondial quotidien par jour de violation (jusqu'à 6 mois).
  • Sanctions individuelles: pour les dirigeants (jusqu'à 1 M€).
  • Suspension d'activité: dans les cas extrêmes.
  • Publication des sanctions: sur le site de l'ACPR / AMF.

DORA et la cartographie applicative

DORA exige explicitement (article 8) une cartographie complète des actifs IT critiques et de leurs interdépendances. Cette obligation va bien au-delà d'un inventaire Excel statique :

  • Identification continue des applications, infrastructures, données critiques.
  • Cartographie des dépendances avec fournisseurs IT externes.
  • Lien entre actifs IT et processus métier critiques.
  • Mise à jour en continu, auditable.

C'est précisément ce que Kabeen apporte : un graphe vivant du SI, exploitable pour la conformité DORA et auditable face à l'ACPR ou la BCE.

DORA et [NIS2](/fr/glossary/nis2)

DORA est lex specialis face à NIS2 : les entités financières relèvent de DORA pour la cybersécurité, pas de NIS2. Mais les deux régulations partagent une logique commune (gestion des risques, notification incidents, supervision des tiers), et beaucoup d'entreprises non financières s'inspirent de DORA pour anticiper l'évolution de NIS2.

Mise en conformité

Démarche type sur 12 à 18 mois :

  1. Gap analysis vis-à-vis du règlement.
  2. Cartographie des actifs critiques et de leurs dépendances.
  3. Revue contractuelle des fournisseurs IT.
  4. Renforcement du cadre de gestion des risques et des plans de continuité.
  5. Mise en place du reporting des incidents.
  6. Programme de tests de résilience.
  7. Audit interne et rapport annuel.

Standards et référentiels complémentaires

  • ISO 27001: : management de la sécurité de l'information.
  • ISO 22301: : continuité d'activité.
  • NIST CSF: : cybersécurité.
  • CRI Profile: : profil de risque cyber sectoriel finance.
  • TIBER-EU: : framework de Threat-Led Penetration Testing.

Questions fréquentes

Qu'est-ce que DORA ?

+

DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est le règlement européen qui impose aux institutions financières des exigences renforcées de résilience opérationnelle numérique. Entré en application le 17 janvier 2025, il couvre la gestion des risques IT, les incidents, les tests de résilience, les fournisseurs IT et le partage d'information, avec des sanctions jusqu'à 1 % du chiffre d'affaires quotidien.

Qui est concerné par DORA ?

+

Plus de 22 000 entités financières européennes : banques, assurances, gestionnaires de fonds, prestataires de paiement, plateformes crypto, infrastructures de marché. Mais aussi leurs fournisseurs IT critiques (hyperscalers, éditeurs SaaS structurants, prestataires d'externalisation), désignés comme tels par les autorités de supervision européennes et soumis à un contrôle direct.

Quelle différence entre DORA et NIS2 ?

+

DORA et NIS2 partagent une logique commune (gestion des risques, notification incidents, supervision des tiers) mais DORA est lex specialis pour le secteur financier : les entités financières relèvent de DORA, pas de NIS2. NIS2 couvre 18 autres secteurs critiques (énergie, santé, transports, eau, administration publique). Beaucoup d'organisations non financières s'inspirent de DORA pour anticiper l'évolution de NIS2.

Comment se mettre en conformité avec DORA ?

+

Démarche type sur 12 à 18 mois : (1) gap analysis vis-à-vis du règlement, (2) cartographie des actifs critiques et de leurs dépendances (article 8), (3) revue contractuelle des fournisseurs IT avec clauses obligatoires, (4) renforcement du cadre de gestion des risques et des PCA/PRA, (5) procédure de notification des incidents (4h pour les critiques), (6) programme annuel de tests de résilience, (7) audit interne et rapport annuel.

Tous les termes

ABCDEFGHIJKLMNOPQRSTUVWXYZ
5

Méthode des 5R

Une stratégie utilisée lors de la rationalisation des applications pour déterminer la meilleure approche de gestion.

8

Méthode des 8R

Une version étendue de la méthode 5R utilisée dans la gestion du portefeuille d'applications et les stratégies de migration.

A

Application

Un programme informatique ou un ensemble de programmes conçus pour rationaliser les opérations commerciales.

A

Architecture

Réfère à la structure et au comportement des systèmes informatiques, des processus et de l'infrastructure au sein d'une organisation.

Retour au glossaire

Besoin d'aide pour cartographier votre SI ?

Kabeen vous aide à inventorier, analyser et optimiser votre portefeuille d'applications.

Essayer gratuitement