DORA est le nouveau cadre européen du secteur financier
Eric Peral
Auteur
DORA est le nouveau cadre européen du secteur financier
DORA est le nouveau cadre européen qui veut assurer que le secteur financier reste opérationnel, même en cas de cyberattaque majeure, de panne informatique ou de défaillance d’un prestataire cloud. Il marque un tournant : la gestion des risques TIC devient aussi centrale que la gestion des risques financiers traditionnels.
Un règlement au cœur de la transformation numérique
Adopté au niveau de l’Union européenne, DORA (Digital Operational Resilience Act) s’applique aux banques, assurances, prestataires de services sur actifs numériques (PSAN), sociétés de gestion, infrastructures de marché et à une large palette d’intermédiaires financiers. Son objectif est de garantir que ces acteurs puissent résister, répondre et se rétablir après des perturbations liées aux technologies de l’information et de la communication.
Concrètement, DORA ne crée pas une nouvelle couche théorique, mais unifie et renforce des exigences qui étaient jusque‑là dispersées entre plusieurs textes et lignes directrices européennes. Il oblige les acteurs à penser la résilience numérique comme un tout cohérent, du cœur des systèmes jusqu’aux relations avec les sous‑traitants TIC.
"La résilience opérationnelle numérique est un effort partagé entre établissements financiers, régulateurs et prestataires technologiques."
Une gestion structurée des risques TIC
DORA impose aux établissements financiers de mettre en place un véritable cadre de gestion des risques TIC. Cela passe d’abord par une gouvernance claire : le conseil d’administration et la direction générale restent responsables de la résilience opérationnelle numérique et ne peuvent pas « déléguer » ce risque au seul DSI ou RSSI.
Les entités doivent identifier, classer et cartographier leurs ressources critiques : applications métiers, infrastructures, données, interconnexions. Elles doivent analyser les impacts potentiels d’un incident sur la continuité des services financiers, la protection des clients et la stabilité financière. Des politiques de sécurité, de sauvegarde, de redondance et de reprise d’activité doivent ensuite être définies, testées et mises à jour régulièrement.
Cyber, pannes, sous‑traitants : un périmètre large
La notion de risque TIC dans DORA est large : elle couvre les cyberattaques (rançongiciels, attaques DDoS, compromission de comptes), les pannes matérielles, les erreurs logicielles, les défaillances humaines, mais aussi les incidents provenant des prestataires externes. L’idée est de considérer la chaîne numérique dans son ensemble, et pas seulement ce qui est « on‑premise ».
Ainsi, un incident touchant un fournisseur cloud, un SaaS métier ou un prestataire de traitement de données peut constituer un événement majeur au sens de DORA. L’établissement doit être capable de détecter ces incidents, de les qualifier, de les notifier aux autorités selon les critères du règlement et de communiquer de manière adaptée à ses clients.
Un encadrement renforcé des prestataires critiques
L’une des grandes nouveautés de DORA est le niveau de détail imposé dans la relation avec les prestataires TIC critiques, en particulier les fournisseurs cloud et les solutions SaaS. Les contrats doivent intégrer des clauses spécifiques sur la sécurité, la localisation des données, l’audit, les tests de continuité, la portabilité et la réversibilité.
Les établissements doivent tenir un registre des relations TIC, identifier les prestataires critiques et évaluer les risques associés, y compris la concentration sur un petit nombre d’acteurs. L’exemple de LexisNexis, qui publie la liste de ses sous‑traitants pour le produit LexisNexis 360 Intelligence (localisations France, UK, USA, Philippines, Afrique du Sud, Côte d’Ivoire, hébergement AWS en eu‑west‑3 et us‑east‑1), illustre cette transparence attendue vis‑à‑vis des clients soumis à DORA.
Localisation, tests, reporting : des obligations concrètes
Sur la localisation, DORA pousse les acteurs à connaître clairement où sont stockées et traitées leurs données, et sous quelles juridictions elles se trouvent. Les établissements doivent intégrer ces éléments dans leur analyse de risque, en tenant compte par exemple des transferts internationaux et des cadres de protection des données.
Les tests de résilience sont également au cœur du texte : tests de pénétration fondés sur la menace, exercices de crise, tests de bascule vers des sites de secours, simulations de défaillance de prestataire. L’objectif est de ne pas découvrir les points de rupture en situation réelle, mais de les révéler et de les corriger en amont. Parallèlement, DORA impose un cadre harmonisé de reporting des incidents TIC majeurs aux autorités de supervision.
Au‑delà de la stricte conformité, DORA consacre l’idée que la résilience opérationnelle numérique est un effort partagé entre établissements financiers, régulateurs et prestataires technologiques. Les grandes plateformes cloud, les éditeurs SaaS (y compris dans le domaine juridique) et autres fournisseurs d’infrastructures deviennent des maillons officiellement reconnus de la stabilité du système financier.
Pour les acteurs financiers, DORA est donc autant une contrainte réglementaire qu’une opportunité d’industrialiser leur gestion des risques TIC, de mieux maîtriser leurs dépendances numériques et de renforcer la confiance des clients dans des services de plus en plus digitalisés.