La vision de Cyber Academy
DORA est le règlement européen qui impose un cadre de résilience unifié aux entités financières et à leurs prestataires TIC critiques. Cinq piliers : gestion des risques TIC, notification des incidents, tests de résilience incluant le TLPT, risque TIC lié aux tiers, partage d'informations. Applicable depuis le 17 janvier 2025. Il est plus contraignant que NIS 2 sur le volet TIC, et la règle lex specialis lui confère la primauté pour les entités financières.
Pourquoi DORA existe et qui il oblige
Avant DORA, la résilience opérationnelle numérique des entités financières dans l'UE était une mosaïque. Les banques répondaient à un ensemble d'attentes prudentielles, les assureurs à un autre, et les règles sur les incidents TIC, l'externalisation et les tests variaient selon le secteur et selon l'État membre. DORA remplace cette fragmentation par un règlement unique qui s'applique directement dans toute l'Union, sans transposition nationale requise. Son champ d'application est volontairement large : banques, assureurs, entreprises d'investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, plates-formes de négociation, et bien d'autres, ainsi que les prestataires tiers critiques de services TIC dont ces entités dépendent.
Ce dernier point est ce qui distingue DORA d'une règle financière classique. Il ne régule pas seulement les entreprises supervisées ; il atteint leur chaîne d'approvisionnement. Les fournisseurs cloud, les opérateurs de centres de données et les éditeurs de logiciels jugés critiques pour le système financier peuvent être placés sous surveillance directe au niveau de l'UE. Pour un praticien, la conséquence pratique est que la résilience n'est plus quelque chose que l'on peut entièrement externaliser et oublier. Vous restez responsable du risque TIC porté par vos prestataires, et vous devez le démontrer.
Les cinq piliers en pratique
DORA repose sur cinq piliers, et chacun se traduit par un travail de programme concret plutôt que par de la paperasse :
- Gestion du risque TIC. Un cadre de gouvernance porté par l'organe de direction, couvrant l'identification, la protection, la détection, la réponse et la récupération des actifs TIC. C'est l'ossature à laquelle se rattachent les quatre autres piliers.
- Gestion et notification des incidents. Classer les incidents liés aux TIC par gravité, et notifier les incidents majeurs à l'autorité compétente selon un calendrier défini. L'accent est mis sur une taxonomie harmonisée afin que les superviseurs de toute l'UE voient des données comparables.
- Tests de résilience opérationnelle numérique. Un programme de tests régulier qui va des évaluations de vulnérabilités jusqu'aux tests de pénétration fondés sur la menace (TLPT) pour les entités les plus importantes, calqués sur le comportement réel des adversaires.
- Gestion du risque lié aux prestataires tiers de services TIC. Garanties contractuelles, registres d'information sur tous les accords TIC, stratégies de sortie, et régime de surveillance des prestataires tiers critiques.
- Partage d'informations. Échange volontaire de renseignements sur les cybermenaces entre entités financières, encouragé plutôt qu'imposé, afin de renforcer la défense collective.
DORA face à NIS 2
La question que les praticiens posent le plus souvent est de savoir comment DORA s'articule avec NIS 2, puisque les deux sont des instruments de l'UE touchant à la cybersécurité et que tous deux atteignent à peu près le même niveau de maturité. La réponse courte est lex specialis : là où DORA et NIS 2 s'appliqueraient tous deux à une entité financière sur l'angle TIC, DORA l'emporte car c'est la règle la plus spécifique. NIS 2 fixe un socle de cybersécurité large dans de nombreux secteurs ; DORA va plus loin sur la résilience TIC du secteur financier et ajoute le régime de surveillance des tiers que NIS 2 n'a pas.
| Dimension | DORA | NIS 2 |
|---|---|---|
| Type d'instrument | Règlement, directement applicable | Directive, transposée par les États membres |
| Champ d'application principal | Entités financières et leurs prestataires TIC critiques | Entités essentielles et importantes dans de nombreux secteurs |
| Objet | Résilience opérationnelle numérique du système financier | Gestion et notification générales du risque de cybersécurité |
| Surveillance des tiers | Surveillance directe au niveau de l'UE des prestataires TIC critiques | Sécurité de la chaîne d'approvisionnement attendue, pas de régime de surveillance directe |
| Préséance pour la finance | L'emporte comme lex specialis sur l'angle TIC | Cède devant DORA là où les deux s'appliqueraient |
Concrètement, au quotidien, une banque ne peut pas en choisir un. Elle cartographie ses obligations et constate que, pour le risque TIC, la notification des incidents et les tests de résilience, DORA est le texte qui prévaut, tandis que NIS 2 peut encore concerner des parties du groupe qui sortent du champ financier de DORA. La manière propre de gérer cela est un cadre de contrôle unique, souvent ancré sur ISO 27001 et ISO 22301, qui satisfait les deux régimes et permet de prouver la conformité une seule fois.
Frequently asked questions
01Depuis quand DORA est-il applicable ?
DORA s'applique depuis le 17 janvier 2025. En tant que règlement de l'UE, il est entré en vigueur directement, sans nécessiter de transposition nationale, de sorte que la date est la même dans tous les États membres.
02DORA s'applique-t-il à mon fournisseur cloud ?
C'est possible. Les prestataires tiers de services TIC jugés critiques pour le système financier peuvent être désignés et placés sous surveillance directe de l'UE. Même lorsqu'un prestataire n'est pas désigné, l'entité financière qui y recourt reste responsable du risque TIC au titre du pilier tiers de DORA.
03En quoi DORA diffère-t-il de NIS 2 ?
NIS 2 est une directive de cybersécurité large couvrant de nombreux secteurs, transposée au niveau national. DORA est un règlement directement applicable spécifique aux entités financières, plus approfondi sur la résilience TIC et la surveillance des tiers. Pour les entités financières, DORA l'emporte sur l'angle TIC en tant que lex specialis.
04Qu'est-ce que le TLPT au titre de DORA ?
Le test de pénétration fondé sur la menace est un test avancé, piloté par le renseignement, qui imite les tactiques réelles des adversaires contre des systèmes en production. DORA l'exige périodiquement pour les entités financières les plus importantes, comme niveau supérieur de son pilier de tests de résilience.
05DORA remplace-t-il le travail de continuité d'activité ?
Non, il le renforce. L'attention que porte DORA au maintien des opérations sous tension, avec la récupération et la continuité des fonctions critiques, s'inscrit naturellement aux côtés de la gestion de la continuité d'activité et de la norme ISO 22301 plutôt que de les remplacer.