Règlement (UE) 2022/2554 relatif à la résilience opérationnelle numérique du secteur financier
Direct answer
Le règlement DORA (Règlement (UE) 2022/2554 relatif à la résilience opérationnelle numérique du secteur financier) est le texte européen qui impose aux entités financières de résister, de réagir et de se remettre des perturbations liées aux technologies de l'information et de la communication (TIC). Applicable depuis le 17 janvier 2025, il couvre cinq domaines : la gestion des risques TIC, le signalement des incidents liés aux TIC, les tests de résilience opérationnelle numérique, le risque TIC lié aux tiers et le partage d'informations. Il s'applique à la plupart des entités financières réglementées dans l'UE et étend la supervision aux prestataires TIC critiques dont elles dépendent. En France, l'AMF et l'ACPR exercent la supervision des entités financières concernées.
Avant DORA, la résilience opérationnelle des services financiers européens relevait d'un patchwork de règles nationales et de lignes directrices sectorielles. DORA remplace cela par un règlement unique, directement applicable, de sorte qu'une banque, un assureur et une entreprise d'investissement sont tenus au même socle pour survivre à une défaillance technologique ou à une cyberattaque. Le changement de perspective est l'élément essentiel : DORA traite la perturbation TIC non comme un problème informatique, mais comme une menace pour la stabilité financière, et rend le conseil d'administration responsable de sa gestion.
DORA s'organise autour de cinq domaines. Lus ensemble, ils décrivent un cycle de vie complet : gouverner le risque, détecter et signaler ce qui dysfonctionne, prouver votre résilience en la testant, maîtriser les tiers dont vous dépendez, et partager ce que vous apprenez.
| Pilier | Ce qu'il exige |
|---|---|
| Gestion des risques TIC | Un cadre documenté, porté par l'organe de direction, couvrant l'identification, la protection, la détection, la réponse et la reprise. |
| Gestion et signalement des incidents TIC | Classifier les incidents par gravité et signaler les incidents majeurs à l'autorité compétente dans les délais fixés. |
| Tests de résilience opérationnelle numérique | Un programme de tests, incluant des tests de pénétration fondés sur les menaces (TLPT) pour les entités significatives. |
| Risque TIC lié aux tiers | Un registre des arrangements contractuels TIC et des clauses contractuelles obligatoires, avec des règles plus strictes pour les fonctions critiques ou importantes. |
| Partage d'informations | Participation facultative à des dispositifs de partage d'informations sur les cybermenaces entre entités financières. |
DORA couvre un large éventail d'entités financières établies dans l'UE, et s'étend au-delà d'elles aux prestataires technologiques dont elles dépendent. Le périmètre est volontairement large : pour une entité financière européenne, l'hypothèse prudente est d'être concernée jusqu'à confirmation contraire. En France, cela inclut notamment les établissements de crédit, les sociétés d'assurance, les entreprises d'investissement et les sociétés de gestion d'OPCVM, sous la supervision de l'AMF et de l'ACPR. Un régime de supervision distinct s'applique aux prestataires TIC tiers désignés comme critiques, qui deviennent soumis à une supervision directe par un superviseur principal.
| Catégorie | Exemples |
|---|---|
| Entités financières | Établissements de crédit, établissements de paiement et de monnaie électronique, entreprises d'investissement, assureurs et intermédiaires, prestataires de services sur crypto-actifs, sociétés de gestion d'OPCVM, et plus encore. |
| Prestataires TIC tiers | Plateformes cloud, fournisseurs de logiciels et de données, et autres fournisseurs technologiques, avec un régime de supervision dédié pour ceux désignés comme critiques. |
DORA impose à chaque entité financière de tenir un registre d'informations sur l'ensemble de ses arrangements contractuels pour l'utilisation de services TIC. Le registre doit être maintenu au niveau de l'entité et, le cas échéant, du groupe, tenu à jour lorsque les arrangements évoluent, et mis à disposition de l'autorité compétente sur demande. En pratique, c'est l'exigence la plus difficile à maintenir fiable, car elle n'est exacte que s'il est lié aux relations fournisseurs qu'il décrit plutôt que maintenu comme un document séparé. Acuna maintient ce registre en direct par rapport à votre inventaire fournisseurs de gestion des risques tiers, ce qui constitue l'alignement le plus étroit entre DORA et la plateforme.
Chaque entité concernée conduit un programme de tests de résilience opérationnelle numérique dimensionné à son profil de risque. Les entités identifiées comme significatives vont plus loin et réalisent des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, menés par des testeurs qualifiés sur des systèmes de production en service, en s'appuyant sur le cadre TIBER-EU. Le TLPT représente l'extrémité exigeante de l'obligation de test ; son périmètre est défini et validé avec l'autorité compétente.
DORA précise explicitement que l'organe de direction assume la responsabilité finale de la gestion du risque TIC. Il doit approuver et superviser le cadre de gestion des risques TIC, et ne peut déléguer cette responsabilité. C'est la raison pratique pour laquelle DORA ne peut pas rester confiné à l'équipe sécurité : les personnes qui valident doivent pouvoir constater que le cadre est réel et maintenu, ce qu'un système en fonctionnement fournit mieux qu'un ensemble de documents.
DORA est entré en vigueur en janvier 2023 et s'applique depuis le 17 janvier 2025. Les normes techniques détaillées qui le sous-tendent — les normes techniques réglementaires et d'exécution élaborées par les autorités européennes de supervision — précisent les modalités de domaines tels que la classification des incidents, le registre et les tests. Comme ces normes continuent d'être finalisées et mises à jour, vérifiez le détail actuel de toute exigence technique spécifique par rapport à la dernière norme publiée avant de vous y fier.
EXPLORER
Le règlement, son périmètre et ce qu'il change pour les entités financières.
Le programme de tests que chaque entité concernée doit conduire.
Le registre d'informations de l'article 28, et comment le maintenir à jour.
Classifier les incidents TIC majeurs et les signaler à votre autorité.
Les tests avancés que les entités significatives doivent réaliser.
Quelles entités financières et prestataires TIC sont concernés.
Réponses associées
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
Le Chapitre IV de DORA exige que les entités financières maintiennent un programme de test de résilience opérationnelle numérique. Cela inclut les évaluations de vulnérabilités, les tests de sécurité réseau, l’analyse des lacunes et les revues de sécurité des applications. Les entités significatives doivent également conduire des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, simulant des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les menaces. Les TLPT doivent être réalisés par des testeurs qualifiés et les résultats communiqués à l’autorité nationale compétente. Acuna suit la planification des TLPT, les constats et les actions correctives dans le volet Assure.
Le registre d’informations DORA est le registre, exigé par l’article 28 du Règlement (UE) 2022/2554, de l’ensemble de vos arrangements contractuels pour l’utilisation de services TIC fournis par des tiers. Chaque entité financière doit le tenir à jour, le maintenir au niveau de l’entité et, le cas échéant, au niveau sous-consolidé et consolidé du groupe, et le mettre à disposition de son autorité de surveillance compétente — en France, l’AMF ou l’ACPR selon le type d’entité — sur demande. Il constitue l’ossature du régime de risque tiers de DORA : les superviseurs l’utilisent pour voir, à l’échelle du secteur financier, de quels prestataires le système dépend. Le registre n’est pas un inventaire ponctuel. C’est un enregistrement vivant qui doit refléter votre chaîne d’approvisionnement TIC telle qu’elle est réellement, y compris quels arrangements soutiennent des fonctions critiques ou importantes, car ceux-ci entraînent des exigences contractuelles et de supervision plus strictes. Le registre documente chaque arrangement contractuel TIC : le prestataire, le service, s’il soutient une fonction critique ou importante, et les clauses contractuelles exigées par DORA. Les autorités européennes de supervision fixent le modèle détaillé et les champs par des normes techniques. Un registre tenu dans un tableur, séparé des relations fournisseurs qu’il décrit, est exact le jour de sa création et erroné la semaine où un contrat change sans mise à jour — c’est précisément l’échec que vise l’exigence DORA de tenir le registre à jour.
DORA impose aux entités financières de détecter, gérer, classifier et signaler les incidents liés aux TIC. Les incidents majeurs doivent être signalés à l’autorité compétente — en France, l’AMF ou l’ACPR — par étapes : une notification initiale, puis un rapport intermédiaire au fil de l’évolution, et un rapport final une fois la cause racine établie. La classification de ce qui constitue un incident « majeur » repose sur des critères fixés par le règlement et ses normes techniques, couvrant notamment le nombre de clients affectés, la durée, l’étendue géographique, les pertes de données et l’impact économique. Les entités peuvent également signaler volontairement des cybermenaces significatives. Avant de signaler, vous classifiez. DORA et ses normes techniques définissent les seuils qui séparent un incident majeur d’un incident courant. Une classification correcte détermine si le délai de signalement s’applique. DORA structure le signalement en trois étapes : notification initiale dans les 4 heures suivant la classification comme majeur, et au plus tard 24 heures après la prise de connaissance ; rapport intermédiaire dans les 72 heures ; rapport final avec analyse des causes dans le mois. Ces délais sont fixés par le RTS 2025/301, avec les modèles de rapport dans l’ITS 2025/302, en vertu de l’article 19 de DORA.
Les tests de pénétration fondés sur les menaces (TLPT, threat-led penetration testing) constituent la forme avancée de tests de résilience que DORA impose aux entités financières identifiées comme significatives. Contrairement aux scans de vulnérabilités ou aux tests de pénétration classiques, le TLPT simule les tactiques, techniques et procédures de véritables acteurs de menace contre les systèmes de production en activité, en couvrant les fonctions critiques ou importantes qui soutiennent l’activité. Il est réalisé par des testeurs externes qualifiés, cadré et validé avec l’autorité compétente — AMF ou ACPR en France — et conduit au moins tous les trois ans. Le TLPT s’appuie sur le cadre TIBER-EU pour les tests fondés sur les menaces. Le TLPT se situe à l’extrémité exigeante du pilier tests de DORA. La plupart des entités concernées mènent un programme général de tests de résilience ; les entités significatives y ajoutent le TLPT, car le règlement considère leur perturbation comme un risque systémique plus élevé. Un test de pénétration standard vérifie si des faiblesses connues peuvent être exploitées. Le TLPT est guidé par le renseignement : il part d’une image des menaces qui ciblent réellement votre type d’entité, puis teste si vos systèmes en production et vos équipes résisteraient à ces comportements adverses spécifiques.
DORA s’applique à un large éventail d’entités financières établies dans l’UE, dont les établissements de crédit, les établissements de paiement et de monnaie électronique, les entreprises d’investissement, les entreprises d’assurance et de réassurance et leurs intermédiaires, les prestataires de services sur crypto-actifs, les sociétés de gestion de fonds, les plates-formes de négociation, et d’autres encore. Il atteint également les prestataires de services TIC tiers dont ces entités dépendent, et crée un régime de supervision dédié pour les prestataires désignés comme critiques, soumis à une supervision directe par un superviseur principal. Le périmètre est volontairement large : une entité financière française devrait présumer qu’elle est concernée jusqu’à preuve du contraire. DORA est applicable depuis le 17 janvier 2025, sous la supervision de l’AMF et de l’ACPR selon le type d’entité. DORA n’est pas uniforme pour tous. Les entités plus petites et moins complexes appliquent une version simplifiée du cadre de gestion des risques TIC, calibrée à leur taille et à leur risque. Simplifié ne signifie pas exempt : l’obligation subsiste, à une profondeur proportionnée. Les entités les plus grandes et les plus systémiques portent l’intégralité des exigences, y compris les tests avancés.
NIS2 et DORA sont deux cadres européens de cybersécurité et de résilience opérationnelle entrés en vigueur à peu près au même moment et qui se recoupent largement, mais ils ne sont pas interchangeables. NIS2 (Directive (UE) 2022/2555) est une directive transsectorielle de cybersécurité couvrant de nombreux secteurs ; DORA (Règlement (UE) 2022/2554) est un règlement spécifique au secteur financier pour la résilience opérationnelle numérique. Lorsque les deux pourraient s’appliquer à la même organisation, DORA prime généralement pour le risque TIC dans les services financiers en tant que loi plus spécifique — le principe de lex specialis. Une entité financière peut donc être dans le périmètre des deux, DORA régissant son risque TIC et NIS2 restant pertinent dans la mesure où DORA ne couvre pas. Les deux diffèrent par l’instrument, le périmètre et le niveau de précision. NIS2 est une directive transposée en droit national — en France via la LPM et la LOPMI, sous la supervision de l’ANSSI. DORA est un règlement d’application directe et uniforme dans l’UE, supervisé par l’AMF et l’ACPR pour les entités françaises. NIS2 couvre de nombreux secteurs ; DORA se limite aux entités financières et à leurs prestataires TIC. DORA est aussi plus prescriptif sur les détails TIC — registre d’informations, TLPT — que les mesures plus générales de gestion des risques de NIS2. Pour une entité financière concernée par les deux : déterminez d’abord vos obligations DORA pour le risque TIC, car elles sont les plus spécifiques et prescriptives. Puis vérifiez ce que NIS2 ajoute au-delà de la couverture DORA pour votre organisation.
ALLER PLUS LOIN
Le registre TIC, les contrôles, les tests et les preuves en un seul endroit, rattachés à des responsables et réutilisés sur vos autres référentiels.
Comment DORA se rapporte à NIS2 et ISO 27001
DORA ne fonctionne pas en vase clos. Une grande partie de sa substance en matière de gestion des risques TIC recoupe NIS2 et ISO 27001, et ses exigences en matière de tiers font écho aux contrôles fournisseurs des deux référentiels. Pour une entité qui exécute déjà l'un d'eux, la voie efficace consiste à cartographier les contrôles communs une fois et à les réutiliser, plutôt que de monter un programme DORA parallèle. Cette réutilisation justifie de traiter DORA comme un référentiel parmi d'autres sur un socle multi-référentiels, et non comme un projet autonome.