EuroComply
Sign up
Back to blog
DORA 12 min read

Qu'est-ce que DORA ? Un guide complet pour les entités financières

What you need to know: Qu'est-ce que DORA ? Un guide complet pour les entités financières

DORA (Règlement 2022/2554) est applicable depuis janvier 2025. Ce guide couvre le champ d'application, les cinq piliers de la gestion des risques TIC, le reporting des incidents, les règles relatives aux prestataires tiers et les sanctions.

Source: EuroComply Editorial (2026-04-14)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le Digital Operational Resilience Act (Règlement 2022/2554) est entré en application le 17 janvier 2025. Il établit un cadre uniforme pour la résilience opérationnelle numérique du secteur financier de l'UE — les entités financières et leurs prestataires tiers de services TIC critiques sont tenus de gérer les risques TIC de manière cohérente et exhaustive.

DORA n'est ni une norme volontaire ni un document d'orientation non contraignant. Il s'agit d'un droit de l'UE directement applicable, mis en œuvre par les autorités nationales compétentes et, pour les établissements importants, par la Banque centrale européenne.

Qu'est-ce que DORA ?

L'objectif de DORA est de garantir que les entités financières peuvent résister aux perturbations et menaces liées aux TIC, y répondre et s'en remettre. Avant DORA, la réglementation financière de l'UE ne traitait la résilience opérationnelle que de manière fragmentaire, au travers de directives sectorielles. DORA unifie ces obligations dans un cadre unique et neutre sur le plan technologique.

Le règlement couvre cinq domaines principaux — désignés officieusement sous le nom de cinq piliers — répartis sur 64 articles.

À qui s'applique DORA ?

DORA a un champ d'application large dans le secteur financier. Il s'applique aux :

| Type d'entité | Exemples | |---------------|----------| | Établissements de crédit | Banques, établissements de crédit mutuel | | Établissements de paiement | Prestataires de paiement, émetteurs de monnaie électronique | | Entreprises d'investissement | Courtiers, gestionnaires de portefeuille | | Entreprises d'assurance et de réassurance | Assureurs vie et non-vie, réassureurs | | Prestataires de services sur crypto-actifs (PSCA) | Plateformes d'échange, dépositaires sous MiCA | | Contreparties centrales (CCP) | Chambres de compensation | | Référentiels centraux | | | Gestionnaires de fonds d'investissement alternatifs (GFIA) | | | Sociétés de gestion (OPCVM) | | | Prestataires tiers de services TIC | Fournisseurs cloud, analyse de données, éditeurs de logiciels au service des entités financières |

Les micro-entreprises (moins de 10 employés et chiffre d'affaires annuel ou bilan inférieur à 2 M€) bénéficient d'exigences simplifiées en vertu du principe de proportionnalité.

Les prestataires tiers de services TIC sont directement couverts par DORA lorsqu'ils sont désignés comme critiques par le Comité mixte des autorités européennes de surveillance (AES : ABE, AEMF, AEAPP). Les prestataires tiers critiques sont soumis à un cadre de supervision européen et peuvent recevoir des recommandations contraignantes.

Les cinq piliers de DORA

Pilier 1 : Cadre de gestion des risques TIC (Articles 5–16)

Les entités financières doivent disposer d'un cadre de gestion des risques TIC exhaustif et documenté, maintenu par l'organe de direction (responsabilité au niveau du conseil d'administration). Ce cadre doit :

  • Identifier et classer les actifs TIC, les fonctions et les dépendances
  • Mettre en œuvre des mesures de protection et de prévention pour les risques identifiés
  • Établir des mécanismes de détection des activités anormales
  • Définir des procédures de réponse et de rétablissement
  • Inclure des processus de revue post-incident
  • Être révisé au moins annuellement et après les incidents majeurs

La direction générale porte une responsabilité directe. DORA exige expressément que l'organe de direction définisse, approuve, supervise et assume la responsabilité du cadre de gestion des risques TIC — une délégation totale n'est pas permise.

Pilier 2 : Gestion et notification des incidents liés aux TIC (Articles 17–23)

Les entités financières doivent mettre en place un processus de gestion des incidents liés aux TIC afin de détecter, classer et notifier les incidents.

Classification : Les incidents sont classés selon des critères fixés par les AES — impact sur les données, services affectés, étendue géographique, criticité, durée et impact économique.

Délais de notification pour les incidents TIC majeurs :

| Rapport | Délai | Contenu | |---------|-------|---------| | Notification initiale | 4 heures après classification comme majeur | Faits de base, classification, impact préliminaire | | Rapport intermédiaire | 72 heures après la notification initiale | Analyse mise à jour, mesures d'atténuation prises | | Rapport final | 1 mois après clôture de l'incident | Cause profonde, corrections permanentes, enseignements tirés |

Les rapports sont transmis à l'autorité de contrôle compétente (par exemple, le régulateur financier national). L'autorité compétente peut ensuite notifier d'autres autorités (BCE, AEMF, ABE) selon le cas.

Les entités financières peuvent également notifier volontairement des cybermenaces importantes — avant même qu'elles ne se matérialisent en incidents.

Pilier 3 : Tests de résilience opérationnelle numérique (Articles 24–27)

Toutes les entités financières couvertes doivent effectuer des tests de résilience de base au moins annuellement : évaluations des vulnérabilités, analyses des sources ouvertes, évaluations de la sécurité des réseaux, analyses des écarts, révisions de la sécurité physique et tests basés sur des scénarios.

Les entités importantes — celles identifiées comme telles par les autorités compétentes en raison de leur importance systémique — doivent en outre effectuer des tests de pénétration fondés sur la menace (TLPT) au moins tous les 3 ans. Les TLPT doivent :

  • Utiliser des informations sur les menaces pour simuler des tactiques d'adversaires réels
  • Couvrir les systèmes de production en exploitation (et non uniquement les environnements de test)
  • Être réalisés par des testeurs externes accrédités
  • Suivre le cadre TIBER-EU ou un cadre équivalent

Les résultats des TLPT, y compris les vulnérabilités identifiées et les plans de remédiation, sont communiqués à l'autorité compétente.

Pilier 4 : Gestion des risques TIC liés aux prestataires tiers (Articles 28–44)

Ce pilier traite de la dépendance des entités financières à l'égard des prestataires TIC externes — plateformes cloud, centres de données, éditeurs de logiciels, traitement externalisé.

Principales obligations :

  • Tenir un registre de tous les contrats TIC avec des tiers, incluant des informations sur la criticité, les chaînes de sous-traitance et les stratégies de sortie
  • Effectuer une diligence raisonnable préalable à l'engagement et assurer une surveillance continue de tous les prestataires de services TIC
  • Veiller à ce que les contrats avec les prestataires TIC tiers incluent des clauses obligatoires : accords de niveau de service, droits d'audit, exigences de sécurité, obligations de notification des incidents, localisation des données, droits de résiliation
  • Mettre en œuvre des stratégies de sortie documentées pour toutes les fonctions TIC critiques ou importantes — afin d'éviter la dépendance à un prestataire et d'assurer la continuité opérationnelle en cas de défaillance ou de retrait d'un prestataire

Pour les prestataires tiers TIC critiques (désignés par les AES), un cadre de supervision européen direct s'applique. Les superviseurs chefs de file (ABE, AEMF ou AEAPP selon le secteur principal du prestataire) effectuent des visites de supervision, demandent des informations et peuvent émettre des recommandations contraignantes. Les entités financières ne peuvent pas recourir à un prestataire tiers critique qui ne respecte pas les recommandations du superviseur chef de file.

Pilier 5 : Partage d'informations (Article 45)

Les entités financières peuvent (et sont encouragées à) participer à des dispositifs de partage d'informations sur les cybermenaces, les vulnérabilités, les indicateurs de compromission et les techniques d'attaque avec des pairs de confiance — dans le cadre du droit de l'UE et sans préjudice des obligations découlant du RGPD.

Relation avec la directive NIS2

La directive NIS2 (Directive 2022/2555) s'applique également aux entités financières en tant qu'opérateurs de services essentiels. Toutefois, DORA fonctionne comme lex specialis : lorsqu'une entité financière est soumise à la fois à NIS2 et à DORA pour les mêmes obligations de gestion des risques TIC, DORA prévaut. Les entités financières se conforment à DORA, et non à NIS2, pour ces exigences chevauchantes.

Les États membres doivent veiller à ce que leurs transpositions de NIS2 n'imposent pas d'obligations supplémentaires aux entités financières couvertes par DORA pour le même objet.

Sanctions et mise en œuvre

DORA laisse les sanctions spécifiques au droit des États membres. Chaque autorité nationale compétente fixe et applique des sanctions administratives dans son ressort. Toutefois :

  • La BCE peut imposer des sanctions allant jusqu'à 10 % du chiffre d'affaires annuel mondial total aux établissements importants supervisés qui enfreignent les exigences de DORA
  • Des astreintes périodiques peuvent être imposées aux prestataires tiers critiques pour contraindre à la conformité — jusqu'à 1 % du chiffre d'affaires journalier mondial moyen, appliquées pendant une période maximale de 6 mois

Au-delà des amendes, les autorités compétentes peuvent imposer : une interdiction temporaire d'activités, des réprimandes publiques, des injonctions de cesser un comportement et des obligations de notification aux clients concernant les incidents.

Liste de contrôle pratique en cinq étapes pour les entités financières

  1. Désigner un responsable au niveau du conseil — nommer un dirigeant responsable du risque TIC et présenter l'état d'avancement du programme DORA à l'organe de direction chaque trimestre
  2. Constituer le registre des actifs TIC — cartographier tous les systèmes, fonctions et dépendances TIC ; classer par criticité
  3. Auditer les contrats avec les prestataires tiers — identifier tous les prestataires de services TIC, vérifier les contrats au regard des clauses obligatoires de DORA, établir une stratégie de sortie pour chaque fonction critique
  4. Mettre en place la classification des incidents — construire un processus de triage capable de déterminer en 4 heures si un incident atteint le seuil d'« incident TIC majeur »
  5. Planifier les tests de résilience — réaliser des tests de base annuellement ; si vous êtes une entité importante, lancer la préparation du TLPT (le délai de préparation est généralement de 6 à 12 mois)

Dernière mise à jour : avril 2026.

Foire aux questions

Quelles entités financières doivent se conformer à DORA ?

DORA s'applique à un large éventail d'entités du secteur financier opérant dans l'UE ou la servant, conformément à l'Article 2 du Règlement 2022/2554. Cela inclut les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d'investissement, les entreprises d'assurance et de réassurance, les prestataires de services sur crypto-actifs agréés sous MiCA, les contreparties centrales, les référentiels centraux et les gestionnaires de fonds d'investissement alternatifs. Les prestataires tiers de services TIC sont également directement couverts lorsqu'ils sont désignés comme critiques par le Comité mixte des autorités européennes de surveillance. Les micro-entreprises — celles comptant moins de 10 employés et dont le chiffre d'affaires annuel ou le bilan est inférieur à 2 millions d'euros — bénéficient de la proportionnalité et font face à des obligations allégées, mais ne sont pas totalement exemptées des exigences de DORA.

Que requiert DORA en matière de gestion des risques TIC liés aux prestataires tiers ?

Les Articles 28 à 44 de DORA établissent un cadre complet pour la gestion des risques TIC liés aux prestataires tiers. Les entités financières doivent tenir un registre complet de tous les contrats TIC avec des tiers, effectuer une diligence raisonnable avant de s'engager avec tout prestataire, et assurer une surveillance continue tout au long de la relation. Tous les contrats avec les prestataires de services TIC doivent inclure des clauses obligatoires couvrant les accords de niveau de service, les droits d'audit pour l'entité financière et son autorité compétente, les exigences de sécurité, les obligations de notification des incidents, la localisation des données et les stratégies de sortie documentées. Les stratégies de sortie sont particulièrement importantes : les entités financières doivent être en mesure de mettre fin à des arrangements critiques et de basculer vers un prestataire alternatif sans interruption opérationnelle. Pour les prestataires désignés critiques par les AES, un cadre de supervision européen direct s'applique, dans lequel les superviseurs chefs de file (ABE, AEMF ou AEAPP) peuvent effectuer des inspections et émettre des recommandations contraignantes.

Quand DORA est-il devenu applicable ?

DORA est entré en application le 17 janvier 2025, après une période de transition de deux ans depuis sa publication au Journal officiel de l'Union européenne le 27 décembre 2022. Contrairement à une directive, DORA est un règlement directement applicable dans tous les États membres sans nécessiter de transposition nationale. Les autorités européennes de surveillance ont publié une série de normes techniques de réglementation (RTS) et de normes techniques d'exécution (ITS) tout au long de 2024 pour préciser les exigences dans des domaines tels que la gestion des risques TIC, les critères de classification des incidents, la méthodologie TLPT et les exigences contractuelles avec les prestataires tiers. Les entités financières devaient être pleinement conformes à partir de la date de janvier 2025.

Sources

Cet article est fourni à titre informatif uniquement et ne constitue pas un avis juridique. Consultez un conseiller juridique qualifié avant de prendre des décisions en matière de conformité.

Key takeaways: Qu'est-ce que DORA ? Un guide complet pour les entités financières

This article covers: Qu'est-ce que DORA ?, À qui s'applique DORA ?, Les cinq piliers de DORA.

  • Qu'est-ce que DORA ?
  • À qui s'applique DORA ?
  • Les cinq piliers de DORA
  • Relation avec la directive NIS2
  • Sanctions et mise en œuvre
Source: EuroComply Editorial (2026-04-14)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.