Newsletters

Cybersécurité : Comment Dora va augmenter la résilience opérationnelle du secteur financier ?

Il ne reste que quelques mois aux entités du secteur financier - banques, sociétés de gestion, émetteurs de crypto-actifs... - pour se conformer aux nouvelles obligations issues du règlement européen Dora, qui entre en vigueur le 17 janvier 2025. L'objectif de ce texte : augmenter la résilience opérationnelle du secteur financier par l'établissement de règles en matière de cybersécurité et de gestion des risques informatiques. 

Alice Vitard
Clavier
Ganda - Unsplash
Clavier

"C'est un règlement qui a pour vocation d'assurer la résilience opérationnelle des établissements financiers", résume Nicolas Quoy, associé au sein du cabinet d'avocats Ashurst, à propos du règlement européen sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act, Dora) du 14 décembre 2022. Ce texte, qui entre en vigueur le 17 janvier 2025, vise à harmoniser les dispositions relatives à la cybersécurité et à la gestion des risques informatiques dans le secteur financier. 

Son périmètre est particulièrement large puisqu'il touche les établissements de crédit, les établissements de paiement, les prestataires de services d'information sur les comptes, les établissements de monnaie numérique, les plateformes de négociation, les sociétés de gestion, les institutions de retraite professionnelle, les prestataires de services de financement participatif... La liste complète est inscrite dans l'article 2 du règlement. "Il y avait, depuis longtemps, des réglementations pour les banques sur les risques opérationnels, le risque IT cyber, l'externalisation etc... Là, cela concerne tous les acteurs du secteur financier", indique Thomas Hutin, senior managing director à la tête du département dédié à la cybersécurité chez FTI Consulting.

Quatre piliers, de la gestion des risques au reporting

Dans les détails, "le texte met en place quatre piliers : certains piliers sont de l'ordre de la gouvernance, des process et des obligations de reporting en cas d'incident ; d'autres concernent des aspects plutôt juridiques", décrit Nicolas Quoy. Le premier pilier est la mise en place d'un système de gestion des risques liés aux technologies de l'information et de la communication (TIC), le deuxième concerne l'identification et le contrôle des tiers, le troisième porte sur le test régulier des capacités de continuité et le dernier vise à signaler et partager les incidents. 

Concrètement, parmi les obligations du texte, se trouve l'intégration de nouvelles clauses dans les contrats de services TIC, en particulier les fournisseurs de cloud. "Le 'move to cloud' fait naître de nouveaux challenges : si je veux avoir une certaine maîtrise de la cybersécurité des banques, il faut que je puisse y accéder et avoir une sorte de levier sur les fournisseurs, note Thomas Hutin. C'est un vecteur pour réguler les fournisseurs de cloud."

Des dispositions sur la localisation des données

Ainsi, les contrats doivent notamment comporter une description claire et exhaustive de tous les services TIC et fonctions qui seront soumis par le prestataire, les lieux où les services TIC et fonctions visés par le contrat seront fournis et où les données seront traitées ainsi que des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière. "Il y a notamment des clauses d'audit et d'approbation des sous-traitants, précise Nicolas Quoy. Cela peut être très compliqué. Encore plus s'il faut négocier avec Microsoft, Amazon Web Services ou d'autres. Cela promet des échanges intéressants." Il raconte que pour certains clients, cette obligation nécessite de renégocier "des milliers de contrats IT". 

Le règlement impose également aux entités de procéder à des tests de leur résilience opérationnelle numérique. Il prévoit, en particulier, la mise en place de "threat-Led Penetration Tests" (TLPT). "Il s'agit de faire des tests avec la mentalité de l'attaque : comment les attaquants visant les établissements financiers se comportent puis reprendre les mêmes modes opératoires pour faire des tests à grande échelle", raconte Thomas Hutin. 

Notifier et classer les incidents

Par ailleurs, Dora encadre la classification et la notification des incidents. L'objectif étant d'harmoniser la notification de ces incidents afin que les autorités européennes compétentes réagissent rapidement auprès des entités financières attaquées. Les entités doivent ainsi classer les incidents informatiques en déterminant leur incidence selon plusieurs critères (perte de données, conséquences économiques...). En cas d'incidents majeurs, telle qu'une cyberattaque, elles doivent soumettre à l'autorité compétente un rapport d'incident avec toutes les informations nécessaires dans les meilleurs délais afin d'évaluer les potentiels incidents transfrontaliers. Elles doivent également établir un rapport annuel anonymisé et agrégé sur les notifications d'incidents reçues des autorités compétentes. 

"Selon les informations que l'on a eues, il semblerait que l'obligation de reporting des incidents critiques soit considérée comme devant être mise en oeuvre très rapidement", note Nicolas Quoy. Pour le reste, les deux experts s'accordent à dire que les autorités compétentes seront indulgentes dans un premier temps. "Si l'entreprise est capable de montrer son plan au régulateur, qu'elle a bien réfléchi au sujet, qu'elle l'a inscrit dans sa gouvernance...", imagine Thomas Hutin. En revanche, le montant des sanctions encouru en cas de violation du texte n'est pas encore connu. "Nous sommes encore dans l'attente sur ce point", précise Nicolas Quoy.

"Un vrai plan de transformation des entreprises"

De façon générale, le règlement Dora doit être vu "comme une opportunité de remonter d'un cran la cybersécurité de l'ensemble du secteur, analyse l'expert de FTI Consulting. C'est un vrai plan de transformation des entreprises qui concerne beaucoup de fonctions : la cybersécurité, les risques opérationnels, la direction des achats, la direction juridique ainsi que les organes de direction." Selon lui, la grande force de ce texte est le fait que "le régulateur se soit appuyé sur les bonnes pratiques en matière de cybersécurité". 

Pour les deux experts, il est évident que les entreprises ne seront pas conformes à l'ensemble des obligations le 17 janvier prochain. "C'est un règlement qui va falloir retranscrire de manière durable et intégrer au sein de l'entreprise, comme ce fut le cas avec le Règlement général sur la protection des données", conclut Nicolas Quoy. 

Les plus lus : Data protection
  1. Digital Omnibus : Faut-il craindre la réforme qui bouscule le RGPD, l'encadrement de l'IA et la cybersécurité ?
  2. Google Cloud va fournir une infrastructure "air-gapped" à l'OTAN pour plusieurs millions de dollars
  3. Cyberattaque : Colis Privé signale un accès non autorisé à ses systèmes ayant exposé des données clients
  4. A l'Urssaf, le service Pajemploi victime d'un vol de données concernant "jusqu'à 1,2 million de salariés"
  5. Cloud de confiance : Bleu passe le jalon J1 pour la qualification SecNumCloud 3.2
  6. Soutenus par l'État chinois, des pirates ont pris le contrôle de Claude Code pour mener une opération de cyberespionnage orchestrée par l'IA
Newsletter L'Usine Digitale
Nos journalistes sélectionnent pour vous les articles essentiels de votre secteur.
Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes…
Cherche talents numériques
Emploi numérique
Consultant en Recrutement (H/F) - Rouen
Harry Hope - 16/04/2026 - CDI - Rouen
Expert en gestion des sites et sols pollués H/F
EGIS - 16/04/2026 - CDI - Bordeaux, Nouvelle-Aquitaine, France
Tous les postes disponibles
Les webinars
Tout voir
Tech
Projets tech et carrière : découvrez le quotidien de deux experts chez Accenture
31 mars 2026 - 12h00
45 min
102 inscrit(s)
Contenu proposé par ACCENTURE
Voir le replay
Tech
[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités
18 novembre 2025 - 10h00
45 min
188 inscrit(s)
Contenu proposé par Salesforce
Voir le replay
Marketing
Performance et IA : les nouvelles priorités digitales du secteur des médias
5 juin 2025 - 09h00
45 min
402 inscrit(s)
Contenu proposé par Salesforce
Voir le replay