DORA : guide complet du reglement sur la resilience operationnelle numerique

Le reglement DORA (Digital Operational Resilience Act) constitue le cadre reglementaire europeen de reference en matiere de resilience operationnelle numerique du secteur financier. Adopte le 14 decembre 2022 sous la reference Reglement (UE) 2022/2554, il est applicable depuis le 17 janvier 2025. Ce texte impose aux entites financieres et a leurs prestataires de services TIC (technologies de l’information et de la communication) un ensemble d’obligations structurantes visant a garantir la continuite de leurs services face aux risques numeriques.

Ce guide presente de maniere exhaustive le contenu du reglement DORA, ses cinq piliers fondamentaux, les entites concernees, le calendrier d’application, les sanctions encourues et l’articulation avec la directive NIS2.

Le contexte d’adoption du reglement DORA

La transformation numerique du secteur financier a engendre une dependance croissante aux systemes d’information et aux prestataires technologiques tiers. Les incidents informatiques majeurs – cyberattaques, pannes systemes, defaillances de prestataires cloud – sont devenus des risques systemiques capables de destabiliser l’ensemble du systeme financier europeen.

Avant DORA, la reglementation de la resilience operationnelle numerique etait fragmentee entre differents textes sectoriels (directive CRD, directive Solvabilite II, directive MiFID II) et entre les Etats membres. Le legislateur europeen a donc souhaite adopter un cadre uniforme et directement applicable dans l’ensemble de l’Union.

Le reglement DORA s’inscrit dans le paquet legislatif sur la finance numerique (Digital Finance Package), aux cotes du reglement MiCA sur les crypto-actifs et du reglement sur le regime pilote DLT. Il constitue la pierre angulaire de la strategie europeenne de renforcement de la cybersecurite financiere.

Les cinq piliers du reglement DORA

Le reglement DORA repose sur cinq piliers complementaires qui couvrent l’ensemble du cycle de gestion des risques numeriques. Chaque pilier impose des obligations specifiques aux entites financieres.

Premier pilier : la gestion des risques TIC (articles 5 a 16)

Le premier pilier constitue le socle du reglement. Il impose aux entites financieres de mettre en place un cadre de gestion des risques TIC complet, documente et regulierement mis a jour. Ce cadre doit couvrir cinq fonctions essentielles :

• L’identification : les entites doivent identifier et classifier l’ensemble de leurs actifs TIC, cartographier leurs systemes d’information, evaluer les risques associes et documenter les interdependances avec les prestataires tiers.

• La protection : des mesures de securite appropriees doivent etre deployees pour proteger les systemes et les donnees – controles d’acces, chiffrement, gestion des correctifs, segmentation des reseaux.

• La detection : des mecanismes de surveillance et de detection des anomalies doivent etre mis en place pour identifier rapidement les incidents et les menaces.

• La reponse et le retablissement : des plans de reponse aux incidents et de continuite d’activite doivent etre elabores, testes et maintenus pour garantir la capacite de retablissement des fonctions critiques.

• L’apprentissage et l’evolution : les entites doivent tirer les enseignements des incidents et des tests pour ameliorer continuellement leur dispositif.

Ce cadre de gestion des risques TIC doit etre valide et supervise par l’organe de direction de l’entite, qui en porte la responsabilite ultime. Une fonction de gestion des risques TIC doit etre designee, avec un niveau d’independance suffisant.

Deuxieme pilier : la notification des incidents TIC (articles 17 a 23)

Le deuxieme pilier impose un regime harmonise de classification et de notification des incidents lies aux TIC. Les entites financieres doivent :

• Mettre en place un processus de detection et de gestion des incidents TIC ;
• Classifier les incidents selon des criteres definis par le reglement (nombre de clients affectes, duree, etendue geographique, pertes de donnees, impact economique, criticite des services touches) ;
• Notifier les incidents majeurs a leur autorite competente dans des delais stricts : notification initiale, notification intermediaire et rapport final ;
• Tenir un registre de l’ensemble des incidents TIC, y compris les incidents non majeurs.

Les normes techniques de reglementation (RTS) adoptees par les autorites europeennes de surveillance (AES) precisent les seuils de classification des incidents majeurs et les modeles de notification. Ce regime vise a permettre aux autorites d’avoir une vision consolidee des menaces pesant sur le systeme financier et de coordonner les reponses.

Troisieme pilier : les tests de resilience operationnelle numerique (articles 24 a 27)

Le troisieme pilier impose aux entites financieres de tester regulierement leur resilience operationnelle numerique. Deux niveaux de tests sont prevus :

• Les tests de base, obligatoires pour toutes les entites : evaluations de vulnerabilite, tests de securite des reseaux, analyses des ecarts, examens de la securite physique, audits des codes sources, tests de performance et tests de scenarios.

• Les tests avances de penetration fondes sur la menace (TLPT – Threat-Led Penetration Testing), obligatoires pour les entites identifiees par les autorites competentes sur la base de criteres lies a leur importance systemique. Ces tests, inspires du cadre TIBER-EU, simulent des attaques realistes menees par des testeurs externes qualifies contre les fonctions critiques de l’entite.

Les tests doivent etre realises au moins une fois par an pour les tests de base, et au moins tous les trois ans pour les TLPT. Les resultats doivent etre communiques a l’autorite competente et donner lieu a des plans de remediation.

Quatrieme pilier : la gestion des risques lies aux prestataires tiers de services TIC (articles 28 a 44)

Le quatrieme pilier traite de la dependance des entites financieres a l’egard de leurs prestataires de services TIC – fournisseurs cloud, editeurs de logiciels, centres de donnees, prestataires d’infrastructure. Il impose :

• Un cadre de gestion des risques lies aux tiers TIC : les entites doivent evaluer les risques avant toute externalisation, integrer des clauses contractuelles obligatoires dans leurs contrats (droits d’audit, localisation des donnees, plans de sortie, garanties de continuite) et maintenir un registre des accords contractuels avec les prestataires TIC.

• Un cadre de supervision des prestataires TIC critiques : les prestataires TIC designes comme critiques par les AES sont soumis a un regime de supervision directe par un superviseur principal (Lead Overseer). Celui-ci peut mener des inspections, formuler des recommandations et, en dernier recours, demander aux entites financieres de suspendre ou de rompre leurs relations contractuelles avec un prestataire non conforme.

Ce pilier constitue une innovation majeure car il etend pour la premiere fois la surveillance reglementaire au-dela du perimetre des entites financieres elles-memes, pour couvrir les acteurs technologiques dont elles dependent.

Cinquieme pilier : le partage d’informations (article 45)

Le cinquieme pilier encourage les entites financieres a partager entre elles des informations et des renseignements sur les cybermenaces. Ce partage, base sur le volontariat, doit s’effectuer au sein de communautes de confiance et dans le respect des regles de confidentialite, de protection des donnees personnelles et de concurrence.

L’objectif est de renforcer la capacite collective du secteur financier a anticiper et a reagir face aux menaces communes, en favorisant la cooperation entre entites et avec les autorites.

Les entites concernees par le reglement DORA

Le champ d’application du reglement DORA est particulierement large. Il couvre 21 categories d’entites financieres, parmi lesquelles :

1. Les etablissements de credit
2. Les etablissements de paiement
3. Les etablissements de monnaie electronique
4. Les entreprises d’investissement
5. Les prestataires de services sur crypto-actifs
6. Les depositaires centraux de titres
7. Les contreparties centrales
8. Les plates-formes de negociation
9. Les referentiels centraux
10. Les societes de gestion
11. Les gestionnaires de fonds d’investissement alternatifs
12. Les entreprises d’assurance et de reassurance
13. Les intermediaires d’assurance et de reassurance
14. Les institutions de retraite professionnelle
15. Les agences de notation de credit
16. Les prestataires de services de communication de donnees
17. Les administrateurs d’indices de reference critiques
18. Les prestataires de services de financement participatif
19. Les referentiels des titrisations
20. Les emetteurs de jetons se referant a des actifs
21. Les prestataires de services TIC tiers

Ce dernier point est essentiel : les prestataires de services TIC tiers – fournisseurs cloud (AWS, Azure, Google Cloud), editeurs de logiciels critiques, centres de donnees – sont directement dans le champ du reglement lorsqu’ils fournissent des services a des entites financieres.

Le reglement prevoit un principe de proportionnalite : les obligations sont modulees en fonction de la taille, du profil de risque et de la complexite des entites. Les microentreprises beneficient d’un regime simplifie pour le cadre de gestion des risques TIC.

Le calendrier d’application

Le reglement DORA a ete adopte le 14 decembre 2022 et publie au Journal officiel de l’Union europeenne le 27 decembre 2022. Il est entre en vigueur le 16 janvier 2023.

La date d’application est fixee au 17 janvier 2025. Depuis cette date, l’ensemble des obligations du reglement sont pleinement applicables. Les entites financieres doivent etre en conformite avec les exigences du texte et les normes techniques de reglementation associees.

Les autorites europeennes de surveillance (ABE, AEAPP, AEMF) ont adopte plusieurs trains de normes techniques (RTS et ITS) qui precisent les modalites d’application du reglement. Ces normes couvrent notamment le cadre de gestion des risques TIC, la classification des incidents, les tests de resilience et le registre des accords contractuels.

Les sanctions en cas de non-conformite

Le reglement DORA confie aux autorites nationales competentes le pouvoir de prononcer des sanctions en cas de manquement aux obligations du texte. Les sanctions peuvent inclure :

• Des injonctions de mise en conformite
• Des sanctions administratives pecuniaires
• Des astreintes
• Le retrait ou la suspension d’agrement dans les cas les plus graves

Pour les prestataires TIC critiques, le superviseur principal (Lead Overseer) dispose du pouvoir d’imposer des astreintes pouvant atteindre 1 % du chiffre d’affaires mondial journalier moyen du prestataire, et ce pendant une duree maximale de six mois, pour contraindre a la mise en conformite.

Chaque Etat membre est charge de definir le regime de sanctions applicable aux entites financieres dans sa legislation nationale. Les sanctions doivent etre effectives, proportionnees et dissuasives.

Les exigences de gouvernance

Le reglement DORA accorde une importance particuliere a la gouvernance de la resilience operationnelle numerique. L’organe de direction de l’entite financiere porte une responsabilite directe et ne peut la deleguer. Il doit :

• Definir, approuver et superviser la mise en oeuvre du cadre de gestion des risques TIC
• Approuver la strategie de resilience operationnelle numerique
• Approuver la politique de continuite des activites TIC et les plans de reprise
• Approuver et reexaminer periodiquement les plans d’audit TIC
• Allouer un budget suffisant a la resilience operationnelle numerique
• Se former regulierement aux risques TIC et a leur evolution

Cette responsabilisation directe de la gouvernance constitue un changement culturel majeur pour de nombreuses entites financieres ou les questions de cybersecurite etaient historiquement traitees a un niveau operationnel.

L’articulation avec la directive NIS2

La question de l’articulation entre le reglement DORA et la directive NIS2 est fondamentale pour les entites financieres. Les deux textes portent sur la cybersecurite et la resilience, mais leur champ d’application se recoupe partiellement.

Le legislateur europeen a resolu ce conflit potentiel par le principe de lex specialis : le reglement DORA constitue une legislation sectorielle specifique qui prevaut sur les dispositions generales de la directive NIS2 pour les entites relevant de son champ d’application. En d’autres termes, une banque soumise a DORA n’a pas a appliquer les obligations de la directive NIS2 dans les domaines couverts par DORA.

Toutefois, la directive NIS2 peut s’appliquer pour les aspects qu’elle couvre et que DORA ne traite pas – par exemple certaines obligations relatives a la securite des donnees ou a la securite de la chaine d’approvisionnement au sens large.

L’articulation entre DORA et NIS2 merite une analyse detaillee, car elle a des consequences pratiques importantes pour les entites financieres qui doivent determiner quelles obligations s’appliquent a elles et eviter une double conformite inutile.

Les normes techniques complementaires

Le reglement DORA est complete par un ensemble de normes techniques de reglementation (RTS) et de normes techniques d’execution (ITS) adoptees par les autorites europeennes de surveillance. Ces normes precisent les modalites d’application des obligations du reglement dans les domaines suivants :

• Cadre de gestion des risques TIC : contenu minimal du cadre, elements de politique de securite, procedures de gestion des actifs TIC
• Classification des incidents : criteres de classification, seuils de materialite, modeles de notification
• Tests de resilience : methodologie des TLPT, qualifications des testeurs, perimetres de test
• Registre des accords contractuels : format et contenu du registre que les entites doivent transmettre aux autorites
• Supervision des prestataires TIC critiques : criteres de designation, pouvoirs du superviseur principal, modalites de cooperation

Ces normes techniques constituent le niveau de detail operationnel indispensable a la mise en oeuvre concrete des obligations du reglement.

Les etapes pratiques de mise en conformite

La mise en conformite avec le reglement DORA suppose une demarche structuree en plusieurs etapes :

1. Analyse d’applicabilite. Determiner si l’organisation entre dans le champ d’application du reglement et identifier les obligations specifiques qui s’appliquent compte tenu de sa taille et de son profil de risque.

2. Diagnostic de l’existant. Evaluer le niveau de maturite actuel en matiere de resilience operationnelle numerique par rapport aux exigences du reglement. Identifier les ecarts.

3. Gouvernance. Mettre en place ou adapter la gouvernance de la resilience operationnelle numerique : responsabilisation de l’organe de direction, designation de la fonction de gestion des risques TIC, definition de la strategie.

4. Cadre de gestion des risques TIC. Elaborer ou actualiser le cadre de gestion des risques TIC conformement aux exigences du reglement et des normes techniques.

5. Gestion des prestataires tiers. Recenser les accords contractuels avec les prestataires TIC, evaluer les risques de concentration, renegocier les contrats pour y integrer les clauses obligatoires prevues par le reglement.

6. Tests de resilience. Planifier et mettre en oeuvre le programme de tests de resilience, y compris les TLPT pour les entites concernees.

7. Notification des incidents. Mettre en place le dispositif de detection, classification et notification des incidents TIC conformement aux exigences du reglement.

8. Amelioration continue. Integrer la resilience operationnelle numerique dans les processus de gouvernance et de controle interne pour en assurer le maintien dans la duree.

Conclusion

Le reglement DORA marque un tournant dans la reglementation de la cybersecurite du secteur financier europeen. En imposant un cadre harmonise et directement applicable, il eleve significativement le niveau d’exigence en matiere de resilience operationnelle numerique. Les entites financieres et leurs prestataires TIC doivent desormais demontrer leur capacite a prevenir, resister et se retablir face aux incidents numeriques.

La mise en conformite avec DORA represente un effort substantiel, mais elle constitue aussi une opportunite de renforcer durablement la securite et la robustesse des systemes d’information financiers. Les entites qui integrent les exigences de DORA dans une demarche globale de gestion des risques – en articulation avec les obligations du RGPD, de NIS2 et des reglementations sectorielles – disposeront d’un avantage competitif en termes de confiance et de resilience.

FAQ

Qui est concerne par le reglement DORA ?

DORA s’applique a 21 categories d’entites financieres : banques, assurances, societes de gestion, etablissements de paiement, prestataires sur crypto-actifs, agences de notation, etc. Les prestataires de services TIC tiers (cloud, editeurs de logiciels critiques) sont egalement directement concernes lorsqu’ils fournissent des services a des entites financieres.

Quelle est la difference entre DORA et NIS2 ?

DORA est une legislation sectorielle specifique au secteur financier qui prevaut sur les dispositions generales de NIS2 (principe de lex specialis). Les entites financieres soumises a DORA n’appliquent pas les obligations de NIS2 dans les domaines couverts par DORA. Toutefois, NIS2 peut s’appliquer pour les aspects qu’elle couvre et que DORA ne traite pas.

Quelles sont les sanctions en cas de non-conformite DORA ?

Les autorites nationales peuvent prononcer des injonctions, des amendes administratives, des astreintes et, dans les cas graves, un retrait d’agrement. Pour les prestataires TIC critiques, les astreintes peuvent atteindre 1% du chiffre d’affaires mondial journalier moyen pendant six mois maximum. Le montant des amendes est defini par chaque Etat membre.

Les tests de penetration (TLPT) sont-ils obligatoires pour toutes les entites ?

Non, les tests avances de penetration fondes sur la menace (TLPT) ne sont obligatoires que pour les entites identifiees par les autorites competentes sur la base de leur importance systemique. Toutes les entites sont en revanche soumises aux tests de base (evaluations de vulnerabilite, tests de securite des reseaux) au moins une fois par an.

Comment DORA traite-t-il les prestataires cloud (AWS, Azure, Google Cloud) ?

DORA impose aux entites financieres d’integrer des clauses contractuelles obligatoires dans leurs contrats avec les prestataires TIC (droits d’audit, localisation des donnees, plans de sortie). Les prestataires designes comme critiques par les autorites europeennes sont soumis a une supervision directe par un superviseur principal disposant de pouvoirs d’inspection et de recommandation.