Si vous travaillez dans une entité financière ou dans une entreprise qui lui fournit des services technologiques, DORA fait déjà partie de votre quotidien. Le règlement sur la résilience opérationnelle numérique s'applique directement dans toute l'Union européenne depuis le 17 janvier 2025, et ce n'est pas une recommandation : c'est une obligation. Dans cet article, je vous explique sans détour ce que c'est, qui est concerné, ce qu'il exige et par où il convient de commencer.
Qu'est-ce que DORA, en une phrase
DORA (Digital Operational Resilience Act) est le règlement européen qui oblige le secteur financier à résister, réagir et se rétablir face à tout incident lié aux technologies de l'information. Autrement dit : il ne suffit plus d'avoir une sécurité informatique ; il faut démontrer que l'organisation continue de fonctionner même quand quelque chose tombe en panne.
À qui ça s'applique
Le périmètre de DORA est large. Il concerne quasiment tout le secteur financier européen et, de façon indirecte mais bien réelle, ses prestataires technologiques. Parmi les entités assujetties :
- Établissements de crédit, de paiement et de monnaie électronique.
- Entreprises d'investissement et sociétés de gestion de fonds.
- Compagnies d'assurance et de réassurance.
- Prestataires de services sur crypto-actifs.
- Et, de façon notable, les prestataires tiers de services TIC jugés critiques, placés sous supervision directe.
Si vous êtes un prestataire technologique de la banque, il vaut mieux comprendre DORA même si vous n'êtes pas une entité financière : vos clients vont vous l'imposer par contrat.
Les cinq piliers de DORA
Tout le règlement s'articule autour de cinq blocs. Les comprendre, c'est comprendre DORA :
1. Gestion du risque lié aux TIC
La base de tout. Elle exige un cadre solide pour identifier, protéger, détecter, réagir et se rétablir. Ce n'est ni optionnel ni délégable : la responsabilité ultime incombe à l'organe de direction.
2. Gestion, classification et notification des incidents
Il faut détecter les incidents liés aux TIC, les classer selon leur gravité et notifier les plus graves aux autorités dans des délais précis. L'improvisation coûte cher ici.
3. Tests de résilience opérationnelle numérique
Il ne suffit pas de dire qu'on est prêt : il faut le démontrer par des tests réguliers. Les entités les plus significatives doivent réaliser des tests avancés fondés sur des menaces réelles.
4. Gestion du risque lié aux tiers
L'un des points les plus exigeants. Il oblige à maîtriser le risque qu'introduisent les prestataires technologiques, avec des clauses contractuelles spécifiques et un registre d'informations tenu à jour.
5. Partage d'informations
DORA encourage les entités à partager le renseignement sur les menaces entre elles, pour renforcer la résilience du secteur dans son ensemble.
Par où commencer si vous n'avez pas encore avancé
Si vous êtes en retard, pas de panique, mais il faut s'y mettre. Voici les premiers pas que je recommande dans les projets sur lesquels je travaille :
- Analyse d'écart. Comparez ce que vous avez déjà (probablement beaucoup, si vous êtes conforme à ISO 27001) avec ce que DORA exige. Identifiez les vrais manques.
- Inventaire des prestataires TIC. Savoir de qui vous dépendez, c'est la moitié du pilier tiers. Sans cette cartographie, impossible de le gérer.
- Cadre de gestion des incidents. Définissez comment vous détectez, classez et notifiez, avec des délais clairs.
- Impliquez la direction. DORA relève de la responsabilité de l'organe d'administration. S'il n'est pas informé et engagé, le projet reste à mi-chemin.
Un avantage peu exploité : si votre organisation dispose déjà d'un système de management de la sécurité de l'information conforme à ISO 27001, vous partez avec une bonne partie du chemin déjà fait. DORA et la gestion des risques de sécurité se recoupent sur de nombreux points.
Se former à DORA : pourquoi la certification fait la différence
Comprendre DORA en lisant le règlement est possible, mais lent et plein de nuances. Une certification reconnue, comme DORA Lead Manager de PECB, vous donne le cadre complet et structuré, et vous accrédite auprès de votre organisation et du marché comme la personne capable de piloter la mise en conformité. Pour les équipes de conformité et de risque du secteur financier, c'est l'une des formations les plus porteuses en ce moment. La formation DORA Lead Manager est disponible en Self-Study officiel PECB pour avancer à votre rythme, ou avec un coaching individuel jusqu'à ce que vous soyez prêt pour l'examen, dans les normes que j'enseigne en tant que Formateur Certifié.