TL;DR

DORA (Digital Operational Resilience Act) cible la résilience numérique du secteur financier. Si vous êtes une banque, un assureur, une fintech ou un fournisseur de technologie les servant, cela vous concerne.

Couvre la gestion des risques TIC, les tests de menaces obligatoires (comme TLPT), la surveillance des risques tiers et un reporting d'incidents rigoureux.

Opérationnel depuis le 17 janvier 2025 — avec de lourdes sanctions en cas de non-conformité.

Résumé du tableau de bord DORA :

• Effort du développeur : Modéré à Élevé (Nécessite la mise en œuvre de pratiques de codage sécurisées et résilientes, le support d'une gestion robuste des risques TIC, la mise en place d'une journalisation/signalement détaillé des incidents et la participation à des tests de résilience avancés).
• Coût des outils : Élevé (Nécessite des investissements dans des outils de gestion des risques TIC, des outils avancés de test de sécurité (pentesting, TLPT), une surveillance/SIEM robuste, des plateformes de gestion des risques tiers, des solutions de continuité d'activité/reprise après sinistre).
• Impact sur le marché : Critique (Obligatoire pour pratiquement toutes les entités financières de l'UE et leurs fournisseurs de TIC critiques ; établit une barre haute pour la résilience opérationnelle).
• Flexibilité : Modérée (La réglementation spécifie les exigences à travers des piliers clés, mais permet la proportionnalité basée sur la taille, le profil de risque et la nature/complexité des services).
• Intensité de l'audit : Élevée (la conformité est supervisée par les autorités nationales compétentes et les autorités européennes de surveillance (AES) ; elle implique de démontrer des cadres robustes, des résultats de tests et des capacités de gestion des incidents).

Qu'est-ce que DORA ?

Le Digital Operational Resilience Act (Règlement (UE) 2022/2554), ou DORA, est une législation européenne clé établissant des exigences uniformes concernant la sécurité des systèmes de réseau et d'information soutenant les processus métier des entités financières. Elle crée un cadre contraignant et complet spécifiquement conçu pour renforcer la sécurité informatique et la résilience opérationnelle du secteur financier de l'UE.

Contrairement à NIS2 qui s'applique largement, DORA se concentre exclusivement sur les entités financières (banques, assureurs, sociétés d'investissement, établissements de paiement, fournisseurs de crypto-actifs, etc.) et les fournisseurs tiers de TIC critiques (comme les plateformes cloud, les éditeurs de logiciels, les fournisseurs d'analyse de données) qui les servent.

DORA repose sur cinq piliers fondamentaux :

1. Gestion des risques liés aux TIC : Exige des entités qu'elles disposent d'un cadre de gestion des risques liés aux TIC complet et bien documenté, incluant des stratégies, des politiques, des procédures, des protocoles et des outils pour identifier, protéger, détecter, répondre et se remettre des risques liés aux TIC. Les organes de direction portent la responsabilité ultime.
2. Gestion et rapport d'incidents liés aux TIC : Exige des processus pour détecter, gérer, journaliser, classer et signaler les incidents majeurs liés aux TIC aux autorités compétentes en utilisant des modèles et des délais standardisés.
3. Tests de résilience opérationnelle numérique : Exige des entités qu'elles établissent un programme de tests de résilience opérationnelle numérique proportionné et basé sur les risques, comprenant des évaluations de vulnérabilité, des évaluations de sécurité réseau, des tests basés sur des scénarios et, pour les entités significatives, des Tests d'intrusion basés sur les menaces (TLPT) avancés au moins tous les trois ans.
4. Gestion des risques liés aux tiers TIC : Impose des règles strictes pour la gestion des risques associés à la dépendance vis-à-vis des fournisseurs de services tiers TIC. Cela inclut une diligence raisonnable précontractuelle, des dispositions contractuelles spécifiques (couvrant l'accès, l'audit, la sécurité, les stratégies de sortie), l'évaluation du risque de concentration et une surveillance continue.
5. Partage d'informations : Encourage le partage volontaire d'informations et de renseignements sur les cybermenaces entre les entités financières afin d'améliorer la sensibilisation collective et la résilience.

DORA vise à garantir que le système financier puisse rester résilient même face à des perturbations opérationnelles graves découlant de problèmes liés aux TIC ou de cyberattaques. Elle est entrée en vigueur en janvier 2023, et les entités financières doivent s'y conformer d'ici le 17 janvier 2025.

Pourquoi est-ce important ?

DORA est d'une importance capitale pour le secteur financier de l'UE et son écosystème :

• Harmonisation : Crée un ensemble unique et cohérent de règles pour la résilience opérationnelle numérique dans tous les États membres de l'UE, remplaçant les approches nationales fragmentées.
• Stabilité financière : Vise à prévenir les incidents TIC de déstabiliser les entreprises financières individuelles ou le système financier dans son ensemble.
• Aborde le risque systémique : Reconnaît la dépendance croissante aux TIC et les risques systémiques potentiels posés par les défaillances, en particulier en ce qui concerne les fournisseurs tiers critiques.
• Supervision directe des fournisseurs critiques : Accorde de manière unique aux Autorités Européennes de Surveillance (AES telles que l'ABE, l'ESMA, l'EIOPA) des pouvoirs de supervision directe sur les fournisseurs tiers de TIC critiques désignés (CTPPs).
• Conformité obligatoire : Contrairement à certains frameworks, DORA est un règlement, directement applicable et juridiquement contraignant pour toutes les entités concernées.
• Exigences de résilience renforcées : Va au-delà de la cybersécurité de base, exigeant des tests robustes (y compris TLPT), une gestion détaillée des incidents et une gestion rigoureuse des risques liés aux tiers.
• Responsabilité de la direction : Similaire à NIS2, elle confie une responsabilité claire à l'organe de direction pour la supervision des risques liés aux TIC.

Pour les entités financières et leurs principaux fournisseurs technologiques, la conformité DORA est essentielle pour l'approbation réglementaire, l'accès au marché et le maintien de la stabilité opérationnelle dans l'UE.

Quoi et comment implémenter (Technique et Politique)

La mise en œuvre de DORA exige un effort significatif à travers ses cinq piliers, impliquant des mesures techniques et politiques :

1. Cadre de gestion des risques TIC (Art. 5-16) :
   
   • Politique/Stratégie : Développer et maintenir un cadre de gestion des risques TIC solide et complet, approuvé par la direction.
   • Contrôles techniques : Mettre en œuvre des mesures de sécurité basées sur l'évaluation des risques – identification, protection (configurations sécurisées, patching, sécurité réseau, sécurité physique), détection (systèmes de surveillance, détection d'anomalies), réponse et récupération (sauvegardes, plans de reprise après sinistre). Cela implique des outils comme les pare-feu, SIEM, EDR, la gestion des vulnérabilités, IAM.
   • Documentation : Maintenir une documentation exhaustive du cadre, des évaluations des risques, des implémentations des contrôles et des tests d'efficacité.
2. Gestion et déclaration des incidents (Art. 17-23) :
   
   • Processus : Établir des processus pour la surveillance, la détection, la classification (basée sur les critères définis dans les normes techniques réglementaires - RTS), la gestion, la journalisation et le signalement des incidents ICT majeurs.
   • Support technique : Mettre en œuvre des outils de journalisation et de surveillance (SIEM) capables de détecter les incidents et de collecter les données nécessaires pour le reporting. Développer des workflows de reporting.
3. Tests de résilience opérationnelle numérique (Art. 24-27) :
   
   • Programme de tests : Établir un programme basé sur les risques incluant des évaluations de vulnérabilité, des analyses open source, des évaluations de sécurité réseau, des audits de sécurité physique, des tests basés sur des scénarios et des tests de compatibilité.
   • Outils : Utiliser des scanners de vulnérabilités, des scanners de configuration, des outils DAST, SAST, SCA.
   • Tests d'intrusion basés sur les menaces (TLPT) : Pour les entités significatives, mener des TLPT avancés (comme TIBER-EU) basés sur des RTS spécifiques, impliquant des testeurs externes certifiés simulant des attaquants réels. Nécessite des capacités de détection et de réponse matures pour être efficace.
4. Gestion des risques tiers TIC (Art. 28-44) :
   
   • Stratégie et politique : Développer une stratégie et une politique pour la gestion des risques associés aux fournisseurs tiers de TIC.
   • Registre d'informations : Tenir un registre détaillé de tous les contrats de services TIC avec des tiers.
   • Due Diligence : Effectuer des évaluations rigoureuses de la sécurité et de la résilience avant de contracter avec des fournisseurs de TIC.
   • Exigences Contractuelles (Art. 30) : Assurez-vous que les contrats incluent des clauses obligatoires couvrant les normes de sécurité, les droits d'audit, la coopération en matière de signalement d'incidents, des descriptions claires des services, les lieux de traitement des données et les stratégies de sortie.
   • Surveillance des fournisseurs critiques (CTPPs) : Coopérer avec les AES lors des activités de surveillance directe des CTPPs désignés.
   • Risque de concentration : Évaluer et gérer les risques associés à une dépendance excessive envers un ou quelques fournisseurs.
5. Partage d'informations (Art. 45) :
   
   • Participer (volontairement) à des arrangements pour le partage de renseignements sur les cybermenaces et d'informations, assurant la conformité au RGPD.

La mise en œuvre exige une gouvernance solide, des ressources dédiées, une collaboration interdépartementale (IT, Sécurité, Risque, Juridique, Achats) et souvent un investissement significatif en technologie et en expertise.

Erreurs courantes à éviter

Les entités mettant en œuvre DORA devraient éviter ces erreurs courantes :

1. Retarder la mise en œuvre : Attendre trop longtemps pour commencer le travail considérable nécessaire à l'analyse des écarts, au développement du cadre, à la mise en œuvre des tests et à la remédiation des contrats tiers avant la date limite de janvier 2025.
2. Sous-estimer la portée/l'effort : Ne pas saisir l'étendue des exigences de DORA à travers les cinq piliers et sous-estimer les ressources nécessaires à l'effort de conformité.
3. Le considérer uniquement comme une affaire d'IT/Sécurité : Ne pas impliquer suffisamment les départements Risque, Juridique, Achats et la direction générale, en particulier concernant le cadre de risque TIC et la gestion des risques tiers.
4. Gestion des risques tiers insuffisante : Ne pas effectuer une diligence raisonnable adéquate, mettre à jour les contrats avec des clauses obligatoires ou gérer le risque de concentration lié aux fournisseurs de TIC.
5. Tests de résilience inadéquats : Effectuer uniquement des analyses de vulnérabilité de base au lieu des tests complets basés sur les risques (y compris les TLPT si requis) exigés par DORA.
6. Préparation insuffisante à la déclaration d'incidents : Manquer de surveillance technique ou de processus internes pour classer et signaler les incidents majeurs avec précision et dans les délais requis.
7. Supposer que d'autres cadres suffisent : Se fier uniquement à une conformité ISO 27001 existante ou à d'autres conformités sans effectuer une analyse d'écart spécifique par rapport aux exigences détaillées de DORA, en particulier en ce qui concerne le risque tiers et les tests de résilience.

Ce que les auditeurs/régulateurs pourraient demander (Axé sur les développeurs)

Les autorités de surveillance vérifiant la conformité DORA disposeront de larges pouvoirs. Les questions impactant les équipes de développement pourraient se concentrer sur la résilience, la sécurité dès la conception, les tests et le support en cas d'incident :

• (Gestion des risques TIC) "Comment les exigences de sécurité et de résilience sont-elles intégrées dans le cycle de vie du développement logiciel ?"
• (Gestion des risques TIC) "Présenter des preuves de pratiques de codage sécurisé et de gestion des vulnérabilités au sein du développement."
• (Gestion des incidents) "Comment la journalisation de l'application facilite-t-elle la détection, l'analyse et le signalement des incidents liés aux TIC ?"
• (Tests de résilience) "Quels tests de sécurité (statiques, dynamiques, de composants) sont effectués sur l'application ? Fournissez les résultats récents."
• (Tests de résilience) "Comment l'application est-elle conçue pour résister aux pannes ou à une charge élevée (par exemple, redondance, évolutivité, mécanismes de basculement) ?"
• (Tests de résilience) "Pouvez-vous démontrer le processus de restauration de l'application et de ses données à partir des sauvegardes ?"
• (Risque Tiers) "Comment gérez-vous les risques de sécurité liés aux composants logiciels tiers ou aux API intégrés à l'application ?"

Les régulateurs exigeront des cadres, politiques, procédures documentés, des résultats de tests, des journaux d'incidents et des preuves que la résilience est intégrée aux systèmes et processus.

Gains rapides pour les équipes de développement

Bien que la pleine conformité à DORA soit complexe, les équipes de développement peuvent y contribuer par des pratiques fondamentales :

1. Améliorer la journalisation des applications : Améliorer les journaux d'application pour capturer les événements et erreurs pertinents pour la sécurité, utiles pour l'analyse des incidents. S'assurer que les journaux sont centralisés.
2. Intégrer SAST/SCA : Intégrer l'analyse de sécurité automatisée pour le code et les dépendances tôt dans le pipeline CI/CD.
3. Accent sur les modèles de résilience : Mettez l'accent sur les pratiques de codage qui améliorent la résilience (par exemple, gestion appropriée des erreurs, délais d'attente, tentatives, absence d'état lorsque possible).
4. Documenter les dépendances : Maintenir une liste de matériaux logiciels (SBOM) précise pour les applications.
5. Scénarios de défaillance des tests : Inclure des tests sur le comportement de l'application dans des conditions de défaillance (par exemple, dépendance indisponible, charge élevée).
6. Configuration sécurisée : S'assurer que les applications disposent de configurations par défaut sécurisées et externaliser les paramètres de configuration de manière appropriée.

Ignorez ceci et... (Conséquences de la non-conformité)

DORA confère aux autorités compétentes d'importants pouvoirs de surveillance et d'exécution. Le non-respect peut entraîner :

• Sanctions administratives/Amendes : Bien que DORA ne fixe pas elle-même de montants d'amendes spécifiques de manière générale (laissant une partie de l'implémentation aux États membres), le non-respect des directives/règlements sous-jacents qu'elle renforce, ou le non-respect des ordres des autorités compétentes, peut entraîner des amendes substantielles (potentiellement jusqu'à 1-2 % du chiffre d'affaires mondial ou des montants spécifiques comme 10 millions d'euros, selon l'implémentation nationale et les violations spécifiques). Correction : Certaines sources mentionnent des astreintes pouvant aller jusqu'à 1 % du chiffre d'affaires quotidien moyen mondial pour les fournisseurs tiers critiques directement supervisés par les AEV. Les sanctions nationales pour les entités financières elles-mêmes varieront mais devraient être significatives.
• Mesures Correctives : Les autorités peuvent ordonner aux entités de cesser un comportement, de mettre en œuvre des mesures de remédiation spécifiques ou de fournir des informations spécifiques.
• Avis publics : Les autorités peuvent émettre des avis publics identifiant l'entité non conforme et la nature de l'infraction.
• Retrait d'autorisation : Dans les cas graves, l'autorisation de l'entité financière pourrait être retirée.
• Sanctions pour la direction : Sanctions administratives potentielles ou interdictions temporaires pour les membres de l'organe de direction responsables d'infractions.
• Atteinte à la réputation : La divulgation publique de la non-conformité ou des incidents qui en découlent nuit gravement à la confiance dans le secteur financier.
• Restrictions opérationnelles : Les autorités peuvent imposer des limitations sur les opérations jusqu'à ce que la conformité soit rétablie.

FAQ

Qui doit se conformer à DORA ?

DORA s'applique à un large éventail d'entités financières de l'UE, incluant les banques, les établissements de crédit, les établissements de paiement, les entreprises d'investissement, les entreprises d'assurance/de réassurance, les fournisseurs de services sur crypto-actifs, les plateformes de financement participatif, les contreparties centrales (CCP), les référentiels centraux, les gestionnaires de fonds d'investissement alternatifs (GFIA), les sociétés de gestion d'OPCVM, ainsi qu'aux prestataires de services TIC tiers critiques désignés par les Autorités Européennes de Surveillance.

Quelle est la date limite pour la conformité DORA ?

Les entités financières doivent être entièrement conformes à DORA d'ici le 17 janvier 2025.

Comment DORA se rapporte-t-il à NIS2 ?

DORA constitue une lex specialis pour le secteur financier. Cela signifie que les entités financières couvertes à la fois par DORA et NIS2 suivent principalement les exigences plus spécifiques de DORA concernant la gestion des risques TIC, la déclaration d'incidents, les tests de résilience et le risque lié aux tiers. NIS2 s'applique toujours pour les aspects non couverts par DORA.

Qu'est-ce que le Threat-Led Penetration Testing (TLPT) dans le cadre de DORA ?

Le TLPT est une forme avancée de test de résilience obligatoire pour les entités financières importantes en vertu de DORA (Article 26). Il implique la simulation des tactiques, techniques et procédures (TTP) d'acteurs de menaces réels ciblant les fonctions critiques et les systèmes sous-jacents de l'entité. Il est basé sur des cadres comme TIBER-EU et nécessite des testeurs externes certifiés.

DORA s'applique-t-il aux fournisseurs cloud ?

Oui, de manière significative. Les fournisseurs de services cloud sont considérés comme des prestataires de services tiers TIC en vertu de DORA. Les entités financières utilisant des services cloud doivent appliquer des exigences strictes en matière de gestion des risques liés aux tiers (Art. 28-30). De plus, les fournisseurs de cloud jugés « critiques » par les autorités européennes de surveillance seront soumis à une surveillance directe et à des sanctions potentielles (Art. 31-44).

Quels sont les principaux piliers de DORA ?

Les cinq piliers fondamentaux sont :

1. Gestion des risques TIC
2. Gestion et signalement des incidents liés aux TIC
3. Tests de résilience opérationnelle numérique
4. Gestion des risques tiers TIC
5. Accords de partage d'informations

Existe-t-il une certification pour DORA ?

Non, DORA n'établit pas de régime de certification. La conformité est supervisée et appliquée par les autorités nationales compétentes et les Autorités européennes de surveillance (pour les fournisseurs tiers de TIC critiques). Les entités démontrent leur conformité par le biais de leurs cadres mis en œuvre, de leurs politiques, de leurs résultats de tests, de leurs rapports d'incidents et de leur coopération avec les superviseurs.