Comprendre DORA : le règlement sur la résilience opérationnelle numérique
En vigueur depuis janvier 2025, DORA impose aux institutions financières européennes des exigences strictes en matière de résilience numérique. Voici ce que vous devez savoir.
Qu'est-ce que DORA ?
Le règlement DORA (Digital Operational Resilience Act) est un règlement de l'Union européenne entré en application le 17 janvier 2025. Il vise à consolider et harmoniser les exigences en matière de résilience des systèmes d'information dans l'ensemble du secteur financier européen.
Avant DORA, les exigences en matière de risques TIC variaient selon les sous-secteurs financiers et les pays membres. DORA crée un cadre unique, cohérent et contraignant applicable à plus de 22 000 entités financières et fournisseurs TIC dans l'UE.
Pour les organisations canadiennes, DORA est pertinent si vous opérez en Europe, si vous fournissez des services TIC à des institutions financières européennes, ou si vous avez des partenaires bancaires ou assurantiels soumis au règlement.
Qui est concerné par DORA ?
- Établissements de crédit (banques)
- Établissements de paiement et de monnaie électronique
- Entreprises d'investissement
- Compagnies d'assurance et de réassurance
- Gestionnaires de fonds d'investissement alternatifs
- Contreparties centrales et dépositaires centraux
- Fournisseurs tiers de services TIC critiques
Les 6 piliers de DORA
Gestion des risques TIC
Mettre en place un cadre documenté de gestion des risques liés aux technologies de l'information et de la communication, revu et testé régulièrement.
Gestion des incidents TIC
Classer, documenter et notifier les incidents TIC majeurs aux autorités compétentes dans les délais prescrits : rapport initial dans les 4h, rapport final dans les 72h.
Tests de résilience opérationnelle
Réaliser des tests de résilience annuels. Les institutions désignées « importantes » doivent aussi effectuer des tests de pénétration basés sur la menace (TLPT) tous les 3 ans.
Risques liés aux tiers TIC
Évaluer, surveiller et gérer les risques associés aux fournisseurs de services TIC tiers — particulièrement les fournisseurs infonuagiques. Contrats obligatoires avec clauses de résilience.
Partage d'informations
Participer aux dispositifs de partage d'informations sur les cybermenaces entre institutions financières afin de renforcer la résilience collective du secteur.
Gouvernance et responsabilité
Les organes directeurs sont personnellement responsables de la mise en œuvre de DORA. La direction doit approuver les stratégies de résilience numérique et recevoir des rapports réguliers.
Chronologie DORA
Janvier 2023
Entrée en vigueur officielle du règlement DORA dans l'UE
Janvier 2025
Date d'application — toutes les institutions financières de l'UE doivent être conformes
En cours
Publication des normes techniques de réglementation (RTS/ITS) par l'ABE, l'AEAPP et l'AEMF
DORA vs NIS2 : quelle différence ?
| Critère | DORA | NIS2 |
|---|---|---|
| Secteur | Financier uniquement | Tous secteurs critiques |
| Nature | Règlement (directement applicable) | Directive (transposition nationale) |
| Tiers TIC | Surveillance directe des fournisseurs critiques | Obligation de gestion des risques tiers |
| Tests | Tests TLPT obligatoires pour entités importantes | Tests recommandés |
| Gouvernance | Responsabilité personnelle de la direction | Responsabilité organisationnelle |
CapGRC et DORA
CapGRC couvre les 6 piliers de DORA avec ses modules spécialisés. Demandez une démonstration adaptée à votre contexte financier.
Demander une démoVoir aussi : NIS2En vigueur depuis janvier 2025
Les institutions financières opérant dans l'UE sont désormais soumises aux obligations DORA. Les amendes peuvent atteindre 1 % du chiffre d'affaires mondial quotidien pendant 6 mois.