Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/DORA / Finance/DORA : guide complet du règlement sur la résilience opératio...
DORA / Finance

DORA : guide complet du règlement sur la résilience opérationnelle numérique

Le règlement DORA impose des exigences de résilience opérationnelle numérique au secteur financier. Guide complet : obligations, calendrier et sanctions.

Par Thiébaut DevergrannePublie le 29 janvier 2026Mis a jour le 29 janvier 202614 min de lecture
Sommaire
  1. Le contexte d’adoption du règlement DORA
  2. Les cinq piliers du règlement DORA
  3. Les entités concernées par le règlement DORA
  4. Le calendrier d’application
  5. Les sanctions en cas de non-conformité
  6. Les exigences de gouvernance
  7. L’articulation avec la directive NIS2
  8. Les normes techniques complémentaires
  9. Les étapes pratiques de mise en conformité
  10. Conclusion
  11. FAQ

Le règlement DORA (Digital Operational Resilience Act) constitue le cadre réglementaire européen de référence en matière de résilience opérationnelle numérique du secteur financier. Adopté le 14 décembre 2022 sous la référence Règlement (UE) 2022/2554, il est applicable depuis le 17 janvier 2025. Ce texte impose aux entités financières et à leurs prestataires de services TIC (technologies de l’information et de la communication) un ensemble d’obligations structurantes visant à garantir la continuité de leurs services face aux risques numériques.

Ce guide presente de manière exhaustive le contenu du règlement DORA, ses cinq piliers fondamentaux, les entités concernées, le calendrier d’application, les sanctions encourues et l’articulation avec la directive NIS2.

Le contexte d’adoption du règlement DORA

La transformation numérique du secteur financier a engendré une dépendance croissante aux systèmes d’information et aux prestataires technologiques tiers. Les incidents informatiques majeurs – cyberattaques, pannes systèmes, défaillances de prestataires cloud – sont devenus des risques systémiques capables de destabiliser l’ensemble du système financier européen.

Avant DORA, la réglementation de la résilience opérationnelle numérique était fragmentée entre différents textes sectoriels (directive CRD, directive Solvabilite II, directive MiFID II) et entre les États membres. Le législateur européen a donc souhaité adopter un cadre uniforme et directement applicable dans l’ensemble de l’Union.

Le règlement DORA s’inscrit dans le paquet législatif sur la finance numérique (Digital Finance Package), aux cotes du règlement MiCA sur les crypto-actifs et du règlement sur le régime piloté DLT. Il constitue la pierre angulaire de la stratégie européenne de renforcement de la cybersécurité financière.

Les cinq piliers du règlement DORA

Le règlement DORA repose sur cinq piliers complémentaires qui couvrent l’ensemble du cycle de gestion des risques numériques. Chaque pilier impose des obligations spécifiques aux entités financières.

Premier pilier : la gestion des risques TIC (articles 5 à 16)

Le premier pilier constitue le socle du règlement. Il impose aux entités financières de mettre en place un cadre de gestion des risques TIC complet, documenté et régulièrement mis à jour. Ce cadre doit couvrir cinq fonctions essentielles :

  • L’identification : les entités doivent identifier et classifier l’ensemble de leurs actifs TIC, cartographier leurs systèmes d’information, évaluer les risques associés et documenter les interdépendances avec les prestataires tiers.

  • La protection : des mesures de sécurité appropriées doivent être déployées pour protéger les systèmes et les données – contrôles d’accès, chiffrement, gestion des correctifs, segmentation des réseaux.

  • La détection : des mécanismes de surveillance et de détection des anomalies doivent être mis en place pour identifier rapidement les incidents et les menaces.

  • La réponse et le rétablissement : des plans de réponse aux incidents et de continuité d’activité doivent être elabores, testes et maintenus pour garantir la capacité de rétablissement des fonctions critiques.

  • L’apprentissage et l’évolution : les entités doivent tirer les enseignements des incidents et des tests pour améliorer continuellement leur dispositif.

Ce cadre de gestion des risques TIC doit être validé et supervise par l’organe de direction de l’entité, qui en porte la responsabilité ultime. Une fonction de gestion des risques TIC doit être désignée, avec un niveau d’indépendance suffisant.

Deuxieme pilier : la notification des incidents TIC (articles 17 à 23)

Le deuxième pilier impose un régime harmonise de classification et de notification des incidents liés aux TIC. Les entités financières doivent :

  • Mettre en place un processus de détection et de gestion des incidents TIC ;
  • Classifier les incidents selon des critères définis par le règlement (nombre de clients affectés, durée, étendue géographique, pertes de données, impact économique, criticite des services touches) ;
  • Notifier les incidents majeurs à leur autorité compétente dans des délais stricts : notification initiale, notification intermédiaire et rapport final ;
  • Tenir un registre de l’ensemble des incidents TIC, y compris les incidents non majeurs.

Les normes techniques de réglementation (RTS) adoptées par les autorités européennes de surveillance (AES) precisent les seuils de classification des incidents majeurs et les modèles de notification. Ce régime vise à permettre aux autorités d’avoir une vision consolidée des menaces pesant sur le système financier et de coordonner les réponses.

Troisieme pilier : les tests de résilience opérationnelle numérique (articles 24 à 27)

Le troisième pilier impose aux entités financières de tester régulièrement leur résilience opérationnelle numérique. Deux niveaux de tests sont prévus :

  • Les tests de base, obligatoires pour toutes les entités : évaluations de vulnérabilité, tests de sécurité des réseaux, analysés des écarts, examens de la sécurité physique, audits des codes sources, tests de performance et tests de scénarios.

  • Les tests avancés de penetration fondés sur la menace (TLPT – Threat-Led Penetration Testing), obligatoires pour les entités identifiées par les autorités compétentes sur la base de critères liés à leur importance systémique. Ces tests, inspires du cadre TIBER-EU, simulent des attaques réalistes menées par des testeurs externes qualifiés contre les fonctions critiques de l’entité.

Les tests doivent être réalisés au moins une fois par an pour les tests de base, et au moins tous les trois ans pour les TLPT. Les résultats doivent être communiqués à l’autorité compétente et donner lieu à des plans de remédiation.

Quatrieme pilier : la gestion des risques liés aux prestataires tiers de services TIC (articles 28 à 44)

Le quatrième pilier traité de la dépendance des entités financières à l’égard de leurs prestataires de services TIC – fournisseurs cloud, éditeurs de logiciels, centres de données, prestataires d’infrastructure. Il impose :

  • Un cadre de gestion des risques liés aux tiers TIC : les entités doivent évaluer les risques avant toute externalisation, intégrer des clauses contractuelles obligatoires dans leurs contrats (droits d’audit, localisation des données, plans de sortie, garanties de continuité) et maintenir un registre des accords contractuels avec les prestataires TIC.

  • Un cadre de supervision des prestataires TIC critiques : les prestataires TIC désignés comme critiques par les AES sont soumis à un régime de supervision directe par un superviseur principal (Lead Overseer). Celui-ci peut mener des inspections, formuler des recommandations et, en dernier recours, demander aux entités financières de suspendre ou de rompre leurs relations contractuelles avec un prestataire non conforme.

Ce pilier constitue une innovation majeure car il étend pour la première fois la surveillance réglementaire au-delà du périmètre des entités financières elles-mêmes, pour couvrir les acteurs technologiques dont elles dépendent.

Cinquieme pilier : le partagé d’informations (article 45)

Le cinquième pilier encourage les entités financières a partager entre elles des informations et des renseignements sur les cybermenaces. Ce partagé, basé sur le volontariat, doit s’effectuer au sein de communautes de confiance et dans le respect des règles de confidentialité, de protection des données personnelles et de concurrence.

L’objectif est de renforcer la capacité collective du secteur financier à anticiper et a réagir face aux menaces communes, en favorisant la coopération entre entités et avec les autorités.

Les entités concernées par le règlement DORA

Le champ d’application du règlement DORA est particulièrement large. Il couvre 21 catégories d’entités financières, parmi lesquelles :

  1. Les établissements de crédit
  2. Les établissements de paiement
  3. Les établissements de monnaie électronique
  4. Les entreprises d’investissement
  5. Les prestataires de services sur crypto-actifs
  6. Les dépositaires centraux de titres
  7. Les contreparties centrales
  8. Les plates-formes de négociation
  9. Les référentiels centraux
  10. Les sociétés de gestion
  11. Les gestionnaires de fonds d’investissement alternatifs
  12. Les entreprises d’assurance et de reassurance
  13. Les intermédiaires d’assurance et de reassurance
  14. Les institutions de retraite professionnelle
  15. Les agences de notation de crédit
  16. Les prestataires de services de communication de données
  17. Les administrateurs d’indices de référence critiques
  18. Les prestataires de services de financement participatif
  19. Les référentiels des titrisations
  20. Les emetteurs de jetons se referant à des actifs
  21. Les prestataires de services TIC tiers

Ce dernier point est essentiel : les prestataires de services TIC tiers – fournisseurs cloud (AWS, Azure, Google Cloud), éditeurs de logiciels critiques, centres de données – sont directement dans le champ du règlement lorsqu’ils fournissent des services à des entités financières.

Le règlement prévoit un principe de proportionnalité : les obligations sont modulees en fonction de la taille, du profil de risque et de la complexité des entités. Les microentreprises bénéficient d’un régime simplifié pour le cadre de gestion des risques TIC.

Le calendrier d’application

Le règlement DORA a été adopté le 14 décembre 2022 et publié au Journal officiel de l’Union européenne le 27 décembre 2022. Il est entre en vigueur le 16 janvier 2023.

La date d’application est fixée au 17 janvier 2025. Depuis cette date, l’ensemble des obligations du règlement sont pleinement applicables. Les entités financières doivent être en conformité avec les exigences du texte et les normes techniques de réglementation associées.

Les autorités européennes de surveillance (ABE, AEAPP, AEMF) ont adopté plusieurs trains de normes techniques (RTS et ITS) qui precisent les modalités d’application du règlement. Ces normes couvrent notamment le cadre de gestion des risques TIC, la classification des incidents, les tests de résilience et le registre des accords contractuels.

Les sanctions en cas de non-conformité

Le règlement DORA confié aux autorités nationales compétentes le pouvoir de prononcer des sanctions en cas de manquement aux obligations du texte. Les sanctions peuvent inclure :

  • Des injonctions de mise en conformité
  • Des sanctions administratives pécuniaires
  • Des astreintes
  • Le retrait ou la suspension d’agrément dans les cas les plus graves

Pour les prestataires TIC critiques, le superviseur principal (Lead Overseer) dispose du pouvoir d’imposer des astreintes pouvant atteindre 1 % du chiffre d’affaires mondial journalier moyen du prestataire, et ce pendant une durée maximale de six mois, pour contraindre à la mise en conformité.

Chaque État membre est charge de définir le régime de sanctions applicable aux entités financières dans sa législation nationale. Les sanctions doivent être effectives, proportionnées et dissuasives.

Les exigences de gouvernance

Le règlement DORA accorde une importance particulière à la gouvernance de la résilience opérationnelle numérique. L’organe de direction de l’entité financière porte une responsabilité directe et ne peut la déléguer. Il doit :

  • Définir, approuver et superviser la mise en oeuvre du cadre de gestion des risques TIC
  • Approuver la stratégie de résilience opérationnelle numérique
  • Approuver la politique de continuité des activités TIC et les plans de reprise
  • Approuver et reexaminer périodiquement les plans d’audit TIC
  • Allouer un budget suffisant à la résilience opérationnelle numérique
  • Se former régulièrement aux risques TIC et à leur évolution

Cette responsabilisation directe de la gouvernance constitue un changement culturel majeur pour de nombreuses entités financières ou les questions de cybersécurité étaient historiquement traitées à un niveau opérationnel.

L’articulation avec la directive NIS2

La question de l’articulation entre le règlement DORA et la directive NIS2 est fondamentale pour les entités financières. Les deux textes portent sur la cybersécurité et la résilience, mais leur champ d’application se recoupé partiellement.

Le législateur européen a résolu ce conflit potentiel par le principe de lex specialis : le règlement DORA constitue une législation sectorielle spécifique qui prévaut sur les dispositions générales de la directive NIS2 pour les entités relevant de son champ d’application. En d’autres termes, une banque soumise à DORA n’a pas à appliquer les obligations de la directive NIS2 dans les domaines couverts par DORA.

Toutefois, la directive NIS2 peut s’appliquer pour les aspects qu’elle couvre et que DORA ne traité pas – par exemple certaines obligations relatives à la sécurité des données ou à la sécurité de la chaîne d’approvisionnement au sens large.

L’articulation entre DORA et NIS2 mérite une analyse détaillée, car elle à des conséquences pratiques importantes pour les entités financières qui doivent déterminer quelles obligations s’appliquent a elles et éviter une double conformité inutile.

Les normes techniques complémentaires

Le règlement DORA est complété par un ensemble de normes techniques de réglementation (RTS) et de normes techniques d’exécution (ITS) adoptées par les autorités européennes de surveillance. Ces normes precisent les modalités d’application des obligations du règlement dans les domaines suivants :

  • Cadre de gestion des risques TIC : contenu minimal du cadre, éléments de politique de sécurité, procédures de gestion des actifs TIC
  • Classification des incidents : critères de classification, seuils de materialite, modèles de notification
  • Tests de résilience : méthodologie des TLPT, qualifications des testeurs, perimetres de test
  • Registre des accords contractuels : format et contenu du registre que les entités doivent transmettre aux autorités
  • Supervision des prestataires TIC critiques : critères de désignation, pouvoirs du superviseur principal, modalités de coopération

Ces normes techniques constituent le niveau de détail opérationnel indispensable à la mise en oeuvre concrète des obligations du règlement.

Les étapes pratiques de mise en conformité

La mise en conformité avec le règlement DORA suppose une démarche structurée en plusieurs étapes :

1. Analyse d’applicabilité. Déterminer si l’organisation entre dans le champ d’application du règlement et identifier les obligations spécifiques qui s’appliquent compte tenu de sa taille et de son profil de risque.

2. Diagnostic de l’existant. Évaluer le niveau de maturité actuel en matière de résilience opérationnelle numérique par rapport aux exigences du règlement. Identifier les écarts.

3. Gouvernance. Mettre en place ou adapter la gouvernance de la résilience opérationnelle numérique : responsabilisation de l’organe de direction, désignation de la fonction de gestion des risques TIC, définition de la stratégie.

4. Cadre de gestion des risques TIC. Élaborer ou actualiser le cadre de gestion des risques TIC conformément aux exigences du règlement et des normes techniques.

5. Gestion des prestataires tiers. Recenser les accords contractuels avec les prestataires TIC, évaluer les risques de concentration, renegocier les contrats pour y intégrer les clauses obligatoires prévues par le règlement.

6. Tests de résilience. Planifier et mettre en oeuvre le programme de tests de résilience, y compris les TLPT pour les entités concernées.

7. Notification des incidents. Mettre en place le dispositif de détection, classification et notification des incidents TIC conformément aux exigences du règlement.

8. Amelioration continue. Intégrer la résilience opérationnelle numérique dans les processus de gouvernance et de contrôle interne pour en assurer le maintien dans la durée.

Conclusion

Le règlement DORA marque un tournant dans la réglementation de la cybersécurité du secteur financier européen. En imposant un cadre harmonise et directement applicable, il élevé significativement le niveau d’exigence en matière de résilience opérationnelle numérique. Les entités financières et leurs prestataires TIC doivent désormais démontrer leur capacité a prévenir, résister et se rétablir face aux incidents numériques.

La mise en conformité avec DORA représente un effort substantiel, mais elle constitue aussi une opportunité de renforcer durablement la sécurité et la robustesse des systèmes d’information financiers. Les entités qui intègrent les exigences de DORA dans une démarche globale de gestion des risques – en articulation avec les obligations du RGPD, de NIS2 et des réglementations sectorielles – disposeront d’un avantage compétitif en termes de confiance et de résilience.

FAQ

Qui est concerne par le règlement DORA ?

DORA s’appliqué à 21 catégories d’entités financières : banques, assurances, sociétés de gestion, établissements de paiement, prestataires sur crypto-actifs, agences de notation, etc. Les fintech sont pleinement concernées, avec des enjeux spécifiques de double conformité DORA-RGPD-DSP2. Les prestataires de services TIC tiers (cloud, éditeurs de logiciels critiques) sont également directement concernés lorsqu’ils fournissent des services à des entités financières.

Quelle est la différence entre DORA et NIS2 ?

DORA est une législation sectorielle spécifique au secteur financier qui prévaut sur les dispositions générales de NIS2 (principe de lex specialis). Les entités financières soumises à DORA n’appliquent pas les obligations de NIS2 dans les domaines couverts par DORA. Toutefois, NIS2 peut s’appliquer pour les aspects qu’elle couvre et que DORA ne traité pas.

Quelles sont les sanctions en cas de non-conformité DORA ?

Les autorités nationales peuvent prononcer des injonctions, des amendes administratives, des astreintes et, dans les cas graves, un retrait d’agrément. Pour les prestataires TIC critiques, les astreintes peuvent atteindre 1% du chiffre d’affaires mondial journalier moyen pendant six mois maximum. Le montant des amendes est défini par chaque État membre.

Les tests de penetration (TLPT) sont-ils obligatoires pour toutes les entités ?

Non, les tests avancés de penetration fondés sur la menace (TLPT) ne sont obligatoires que pour les entités identifiées par les autorités compétentes sur la base de leur importance systémique. Toutes les entités sont en revanche soumises aux tests de base (évaluations de vulnérabilité, tests de sécurité des réseaux) au moins une fois par an.

Comment DORA traité-t-il les prestataires cloud (AWS, Azure, Google Cloud) ?

DORA impose aux entités financières d’intégrer des clauses contractuelles obligatoires dans leurs contrats avec les prestataires TIC (droits d’audit, localisation des données, plans de sortie). Les prestataires désignés comme critiques par les autorités européennes sont soumis à une supervision directe par un superviseur principal disposant de pouvoirs d’inspection et de recommandation.

Articles lies

DORA / Finance

Tests de résilience DORA : TLPT et obligations

12 mars 2026 · 13 min
DORA / Finance

Gestion des risques TIC sous DORA : cadre et exigences

26 fevrier 2026 · 14 min
DORA / Finance

DORA et NIS2 : articulation et double conformité financière

12 fevrier 2026 · 12 min