Cybersécurité

DORA : obligations cyber du secteur financier au 17 janvier 2025

Le règlement DORA est en vigueur depuis le 17 janvier 2025. Périmètre, obligations, tests, prestataires tiers critiques : ce qu'un RSSI bancaire ou assureur doit retenir.

Marc Aubert · Mis à jour le par Marc Aubert

Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, dit DORA (Digital Operational Resilience Act), est entré en application directe dans tous les États membres le 17 janvier 2025 [1]. Il fixe un cadre européen unifié pour les obligations cyber et de résilience numérique des banques, assurances, gestionnaires d’actifs, infrastructures de marché, et prestataires de services de paiement. Il étend pour la première fois la supervision européenne aux prestataires TIC tiers critiques (CTPP). Ce guide synthétise le périmètre, les cinq piliers, les tests TLPT, et les sanctions, à destination des RSSI et directions risques du secteur financier.

Qu’est-ce que DORA ?

DORA est un règlement européen, ce qui le distingue de NIS2 qui est une directive. La conséquence juridique est importante : DORA s’applique directement dans tous les États membres sans transposition nationale. Il a été adopté le 14 décembre 2022, publié au journal officiel de l’Union européenne le 27 décembre 2022, et applicable à compter du 17 janvier 2025 après une période de mise en conformité de 24 mois [1].

L’origine du texte

DORA s’inscrit dans la stratégie européenne de finance numérique annoncée en septembre 2020. La Commission européenne a constaté que la gestion des risques TIC dans le secteur financier était traitée de manière fragmentée par différents textes sectoriels (CRD pour les banques, Solvency II pour les assurances, etc.), avec des exigences hétérogènes et des recoupements imparfaits. DORA harmonise et concentre les obligations TIC en un seul texte couvrant l’ensemble du secteur financier [2].

La portée géographique

DORA s’applique aux entités financières opérant dans l’Union européenne, indépendamment de la nationalité de leur maison-mère. Une filiale française d’un groupe bancaire américain est ainsi soumise, comme l’est une banque mutualiste française. Pour les CTPP, le règlement prévoit un mécanisme de désignation par les autorités européennes, qui peut couvrir des prestataires établis hors UE dès lors qu’ils fournissent des services critiques à des entités financières européennes.

Périmètre : qui est concerné ?

L’article 2 du règlement liste 21 catégories d’entités financières concernées, plus la catégorie des prestataires TIC tiers critiques.

Les entités financières classiques

Les principales catégories couvertes sont les suivantes : établissements de crédit (banques), entreprises d’investissement, prestataires de services de paiement et établissements de monnaie électronique, prestataires de services sur crypto-actifs, dépositaires centraux de titres (DCT), contreparties centrales (CCP), plateformes de négociation, référentiels centraux, gestionnaires d’OPCVM et de FIA, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance, institutions de retraite professionnelle, prestataires de services de financement participatif, agences de notation de crédit.

Les prestataires TIC tiers critiques (CTPP)

C’est la nouveauté juridique majeure de DORA. Les CTPP sont des prestataires TIC tiers dont la défaillance pourrait avoir un impact systémique sur le secteur financier européen. Ils sont désignés par les autorités européennes de supervision (EBA, EIOPA, ESMA) selon des critères quantitatifs (parts de marché, nombre d’entités clientes) et qualitatifs (importance des fonctions, substituabilité). Les CTPP sont soumis à un Lead Overseer (autorité européenne de surveillance désignée) qui les supervise directement, en parallèle de la supervision nationale des entités financières clientes [3].

L’impact sur les fintech et PME finance

Le règlement ne prévoit pas d’exemption générale de type seuil de taille. Une fintech sous statut de prestataire de services de paiement ou d’entreprise d’investissement est pleinement soumise. Le principe de proportionnalité (article 4) permet d’adapter les obligations au profil de risque, et les microentreprises bénéficient d’allègements ciblés (article 16 sur le cadre simplifié de gestion des risques TIC). Toutefois, le socle de gestion des risques TIC, de notification d’incident, et de gestion des prestataires reste applicable à tous.

Les 5 piliers DORA

DORA structure ses obligations autour de cinq piliers. Chaque pilier fait l’objet d’un chapitre du règlement et de standards techniques d’exécution (Regulatory Technical Standards, RTS) adoptés par la Commission européenne sur proposition des autorités européennes de supervision.

Pilier 1 : gestion des risques TIC

Le chapitre II du règlement (articles 5 à 16) impose la mise en place d’un cadre de gestion des risques TIC documenté, approuvé par l’organe de direction, et révisé annuellement. Il couvre l’identification, la protection, la détection, la réponse, et le rétablissement. Cette structure reprend explicitement le NIST Cybersecurity Framework. Les obligations incluent une politique de continuité TIC, des plans de réponse et de rétablissement, une stratégie de communication de crise, et une fonction TIC clairement identifiée et indépendante.

Pilier 2 : signalement des incidents majeurs

Le chapitre III (articles 17 à 23) impose un régime de notification d’incident TIC. Les entités doivent classer les incidents selon leur gravité (incident majeur, incident significatif, incident lié à un risque cyber significatif) en application de critères harmonisés (RTS de classification). Les incidents majeurs doivent être notifiés à l’autorité compétente nationale (ACPR ou AMF en France) selon un calendrier en trois étapes : notification initiale, rapport intermédiaire, rapport final. Les modalités précises sont fixées par les RTS.

Pilier 3 : tests de résilience opérationnelle

Le chapitre IV (articles 24 à 27) impose un programme de tests de résilience proportionné. Les tests basiques (analyses de vulnérabilité, tests de performance, scénarios) sont obligatoires pour toutes les entités. Les entités financières significatives (article 26) doivent en outre conduire des Threat-Led Penetration Tests (TLPT) selon un cadre harmonisé dérivé de TIBER-EU. La fréquence des TLPT est d’au moins une fois tous les trois ans, avec un périmètre couvrant les fonctions critiques. Le test est encadré par les autorités, partagé avec elles, et soumis à confidentialité.

Pilier 4 : gestion des risques prestataires tiers

Le chapitre V (articles 28 à 44) traite la dépendance aux prestataires TIC tiers, qui est l’une des principales préoccupations du régulateur. Les obligations incluent : registre de l’information sur les prestataires (avec format harmonisé), analyse de risque préalable à la conclusion d’un contrat, clauses contractuelles minimales (article 30), stratégie de sortie et de substituabilité, surveillance continue, et reporting aux autorités. Pour les CTPP, une supervision européenne directe est ajoutée.

Pilier 5 : partage d’informations sur les menaces

Le chapitre VI (article 45) encourage le partage volontaire d’informations cyber entre entités financières, dans le respect du RGPD. Le mécanisme s’appuie sur des dispositifs sectoriels existants (ISAC financiers, CERT-FI en France). Le partage permet d’enrichir mutuellement la threat intelligence et d’accélérer la détection d’attaques coordonnées sur le secteur.

Articulation avec NIS2

Pour une entité financière soumise simultanément à DORA et à NIS2, l’articulation est précisée par deux dispositions concordantes : le considérant 28 de NIS2 et l’article 1.2 de DORA.

Le principe de lex specialis

DORA prévaut comme lex specialis sur le périmètre TIC opérationnel pour les entités financières. Concrètement, les obligations de gestion des risques TIC, de notification d’incident TIC, de tests de résilience, et de gestion des prestataires TIC tiers sont régies par DORA et supervisées par les autorités sectorielles (ACPR, AMF en France). NIS2 conserve une portée résiduelle sur les obligations transverses non couvertes par DORA (gouvernance générale au sens de l’article 20 NIS2, formation des dirigeants, etc.) sous supervision de l’ANSSI.

En pratique pour une banque française

Une banque française devra principalement traiter ses obligations TIC sous DORA, avec une interface privilégiée à l’ACPR. Elle restera soumise à certaines dispositions NIS2 (notamment article 20) sous interface ANSSI. Le périmètre exact de chevauchement fait l’objet de précisions par les autorités, et la coordination ACPR plus ANSSI est organisée. Le détail des obligations NIS2 et de leur transposition est traité dans : NIS2 entreprise : guide complet 2026.

TLPT : tests d’intrusion guidés par la menace

Les Threat-Led Penetration Tests sont l’outil le plus structurant du pilier 3, et constituent une importation directe du cadre TIBER-EU développé par la BCE depuis 2018.

Le principe TLPT

Un TLPT est un test d’intrusion réaliste, scénarisé à partir d’une threat intelligence spécifique à l’entité testée. Le test est conduit en conditions live, c’est-à-dire sur les systèmes de production de l’entité, par une équipe red team externe agréée. Une équipe blue team interne, restreinte à un cercle de confiance, supervise sans information préalable du périmètre testé. L’objectif est de mesurer la capacité réelle de détection et de réponse face à une menace réaliste.

Les prérequis et la fréquence

Les TLPT s’imposent aux entités financières significatives identifiées par les autorités nationales selon les critères de l’article 26 et des standards techniques. La fréquence type est d’au moins un test tous les trois ans, avec un périmètre couvrant les fonctions critiques et importantes. Le test est précédé d’une phase de préparation (scoping, threat intelligence) et d’une phase de coordination avec l’autorité compétente. Le rapport de test est partagé avec l’autorité, qui peut demander des mesures de remédiation.

Le rôle des autorités

En France, les TLPT sont coordonnés par la Banque de France, en interface avec l’ACPR pour les acteurs sous statut bancaire et l’AMF pour les acteurs sous statut marché. Au niveau européen, la BCE coordonne pour les entités sous supervision unique (MSU). Le cadre TIBER-FR, dérivé de TIBER-EU, est la référence opérationnelle.

Sanctions

Le régime de sanctions DORA combine sanctions nationales pour les entités financières et sanctions européennes pour les CTPP.

Sanctions des entités financières

Pour les entités financières, les sanctions relèvent du régime national applicable à chaque catégorie d’entité, sous supervision de l’ACPR ou de l’AMF en France. Les sanctions disponibles incluent les amendes administratives, les injonctions, les mises en demeure, les retraits d’agrément, et les sanctions personnelles à l’encontre des dirigeants. Le règlement n’harmonise pas les plafonds, qui restent fixés par le droit national, mais impose un principe de proportionnalité et de dissuasion (article 50).

Sanctions des CTPP

Pour les CTPP, l’article 35.6 du règlement prévoit une supervision directe par le Lead Overseer européen. En cas de non-respect des recommandations, le Lead Overseer peut imposer une astreinte journalière allant jusqu’à 1 % du chiffre d’affaires mondial moyen quotidien de l’exercice précédent, pour une durée maximale de six mois. Sur une base annuelle équivalente, cela peut représenter un coût significatif. C’est une rupture juridique européenne : un éditeur ou un fournisseur TIC tiers critique peut être sanctionné directement par les autorités européennes, indépendamment des entités clientes.

Sanctions personnelles

DORA ne prévoit pas explicitement de mécanisme de sanction personnelle des dirigeants au niveau du règlement, mais les régimes nationaux applicables aux entités financières (ACPR, AMF) prévoient déjà de tels mécanismes. La combinaison NIS2 plus DORA renforce de fait la responsabilité du dirigeant d’entité financière sur les sujets cyber.

Plan de conformité résumé

Pour une entité financière qui aborde la mise en conformité DORA en 2026, six chantiers structurent le plan d’action sur 12 mois.

Chantier 1 : gap analysis et registre des informations

Confronter la situation existante aux cinq piliers DORA. Mettre en place le registre des informations sur les prestataires TIC tiers au format harmonisé prévu par les RTS. Identifier les contrats critiques nécessitant une mise à jour.

Chantier 2 : cadre de gestion des risques TIC

Mettre à jour ou créer la politique TIC, le cadre de gestion des risques, et la stratégie de résilience opérationnelle. Identifier la fonction TIC responsable et son indépendance vis-à-vis des fonctions opérationnelles. Faire approuver le cadre par l’organe de direction.

Chantier 3 : plan de tests

Définir le programme de tests annuel (tests basiques) et triennal (TLPT le cas échéant). Identifier les fonctions critiques et importantes. Sélectionner les prestataires de tests agréés. Établir le calendrier en coordination avec l’autorité compétente.

Chantier 4 : revue contractuelle prestataires

Mettre à jour les clauses contractuelles avec les prestataires TIC tiers, en application de l’article 30 (clauses minimales). Identifier les prestataires fournissant des fonctions critiques ou importantes (FCI) et appliquer le régime renforcé.

Chantier 5 : capacité de notification

Mettre en place le canal de notification ACPR ou AMF selon le statut. Désigner les responsables internes. Former les équipes au processus de classification d’incident selon les RTS. Réaliser un exercice tabletop de notification.

Chantier 6 : gouvernance et reporting

Mettre à jour la gouvernance interne (comité TIC, comité risques, comité d’audit). Définir le reporting régulier à l’organe de direction et à l’autorité compétente. Documenter les décisions et leurs justifications. Le détail de l’observatoire cyber 2026, des menaces et de l’arsenal défensif est synthétisé dans : Cybersécurité entreprise : l’observatoire 2026.

Sources et références

[1] Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, journal officiel de l’Union européenne L 333. [2] Commission européenne, stratégie de finance numérique et communications officielles sur DORA. [3] Autorités européennes de supervision (EBA, EIOPA, ESMA), standards techniques et liste des CTPP.

Questions fréquentes

Qu'est-ce qu'un prestataire TIC tiers critique au sens de DORA ?

Le règlement DORA crée la catégorie des Critical Third-Party Providers (CTPP), soit les prestataires TIC tiers dont l'indisponibilité ou la défaillance pourrait avoir des conséquences systémiques sur le secteur financier européen. La désignation est faite par les autorités européennes de supervision (EBA, EIOPA, ESMA) selon des critères quantitatifs et qualitatifs : importance systémique, dépendance critique, substituabilité, interconnexion. Les CTPP sont soumis à une supervision européenne directe, distincte de la supervision nationale des entités financières clientes. La liste des CTPP est publiée par les ESA et fait l'objet de mises à jour régulières.

Toutes les entités financières sont-elles concernées par DORA ?

Oui, mais à des degrés d'exigence variables. L'article 2 du règlement liste 21 catégories d'entités financières couvertes : établissements de crédit, prestataires de services de paiement, prestataires de services d'information, entreprises d'investissement, prestataires de services de crypto-actifs, dépositaires centraux de titres, contreparties centrales, plateformes de négociation, référentiels centraux, gestionnaires d'OPCVM, gestionnaires de fonds d'investissement alternatifs, entreprises d'assurance et de réassurance, intermédiaires d'assurance, etc. Le principe de proportionnalité prévu à l'article 4 permet d'adapter les obligations à la taille et au profil de risque, mais pas d'en être exonéré.

DORA s'applique-t-il aux fintech et aux petites structures ?

Oui, dès lors qu'elles entrent dans l'une des 21 catégories de l'article 2. Le règlement ne prévoit pas d'exemption générale de type seuil de taille, contrairement à NIS2. Le principe de proportionnalité (article 4) permet d'adapter les obligations au profil. Les microentreprises (au sens de l'article 2, point 13, du règlement (UE) 2022/2554) bénéficient d'allègements ciblés sur certains tests et obligations documentaires, mais restent soumises au socle de gestion des risques TIC. Les fintech sous le statut d'établissement de paiement ou de prestataire de services de paiement sont pleinement soumises.

Qu'est-ce qu'un test TLPT et qui doit en réaliser ?

Un Threat-Led Penetration Test (TLPT) est un test d'intrusion guidé par la menace, c'est-à-dire scénarisé à partir d'une threat intelligence ciblée sur l'entité testée. Les TLPT sont obligatoires pour les entités financières significatives identifiées par les autorités nationales selon les critères de l'article 26 et des standards techniques de l'EBA. Ils suivent un cadre européen harmonisé, dérivé du référentiel TIBER-EU de la BCE. La fréquence type est d'un test tous les trois ans, avec un périmètre couvrant les fonctions critiques. Le rapport de test est partagé avec l'autorité compétente.

Comment articuler DORA et NIS2 pour une banque ?

Pour une banque française soumise aux deux régimes, DORA prévaut comme lex specialis sur le périmètre TIC opérationnel, en application du considérant 28 de NIS2 et de l'article 1.2 de DORA. Cela signifie que les obligations de gestion des risques TIC, de notification d'incident TIC et de tests sont régies par DORA, sous la supervision de l'ACPR ou de l'AMF selon le statut. NIS2 conserve une portée résiduelle sur les obligations transverses non couvertes par DORA, sous supervision de l'ANSSI. En pratique, la majorité des obligations TIC d'une banque relèvent de DORA, mais la gouvernance NIS2 (formation des dirigeants, etc.) reste applicable.

Quelles sanctions encourt un prestataire TIC tiers critique ?

Les CTPP sont soumis à une supervision européenne directe, exercée par un Lead Overseer désigné par les autorités européennes de supervision (EBA, EIOPA, ESMA). Le Lead Overseer peut adresser des recommandations, et en cas de non-conformité, imposer des astreintes journalières pouvant atteindre 1 pourcent du chiffre d'affaires mondial moyen quotidien réalisé au cours de l'exercice précédent, pendant une durée maximale de six mois. C'est une rupture juridique significative : un éditeur cloud ou un éditeur de logiciel TIC critique peut être sanctionné directement par les autorités européennes, sans passer par les autorités nationales.

Sources citées

  1. https://eur-lex.europa.eu/eli/reg/2022/2554/oj
  2. https://acpr.banque-france.fr/
  3. https://www.amf-france.org/
  4. https://www.banque-france.fr/
  5. https://ec.europa.eu/
  6. https://www.ssi.gouv.fr/
  7. https://www.enisa.europa.eu/
#DORA#ACPR#AMF#secteur financier#résilience opérationnelle#TLPT
Cybersécurité

Cybersécurité entreprise : l'observatoire 2026 (NIS2, DORA, ReCyF, attaques, marché FR)

Ce qu'un DSI ou RSSI doit retenir de la cybersécurité d'entreprise en 2026 : NIS2, DORA, ReCyF ANSSI, détection, marché français et obligations à venir.
Cybersécurité

EDR vs MDR vs XDR : comparatif RSSI 2026 (différence et choix)

Trois acronymes, trois logiques. EDR, MDR et XDR répondent à trois questions distinctes. Voici la matrice de décision pour un RSSI en 2026.
Cybersécurité

Loi Résilience France : la transposition NIS2 + DORA + REC en clair

Le projet de loi Résilience transpose NIS2, DORA et la directive REC. Vote attendu mi-2026. Ce qui change pour les entités essentielles et importantes.