"Le règlement Dora est la concrétisation du : comment fait-on pour éviter qu'un incident informatique majeur sur un Etat ou un gros établissement financier ait un impact sur l'ensemble du secteur ?", explique Pauline Mandiela, manager IT Risk & Cyber Résilience, interrogée par L'Usine Digitale à l'occasion de l'entrée en application du texte européen. En effet, la dépendance croissante du secteur financier à l'égard de la technologie provoque une exposition accrue aux risques informatiques et aux cybermenaces.
Résister à toutes les menaces
C'est dans ce cadre que la Commission européenne a proposé le règlement Dora – Digital Operational Resilience Act – le 24 septembre 2020. Son but : contraindre les entités du secteur financier à s'assurer de pouvoir résister à tous les types de perturbations et de menaces liées aux technologies de l'information et de la communication (TIC), à y répondre et à s'en remettre. Le texte a été adopté le 10 novembre 2022, entré en vigueur le 16 janvier 2023 et est en application depuis le 17 janvier 2025. Une période transitoire a deux ans avait donc été fixée pour laisser les entités se préparer.
Plus précisément, entrent dans le champ d'application de Dora trois catégories d'entités : les institutions financières (banques, établissements de crédit, entreprises d'investissement, entreprises d'assurance, fonds de pension, institutions de monnaie électronique...), les infrastructures de marché (bourses de valeurs, systèmes de paiement, chambres de compensation), et les fournisseurs de services tiers critiques (fournisseur de cloud, fournisseur de logiciel...).
De la gestion des risques au partage d'information
"Nous avons pour habitude de dire que Dora contient cinq piliers", indique Pauline Mandiela. Il s'agit du dispositif de gestion des risques liés aux TIC, la gestion et le reporting des incidents TIC et des cybermenaces, les tests de la résilience opérationnelle numérique, la gestion des risques liés aux prestataires de services TIC, ainsi que le partage d'information en matière de cybersécurité. "Avant tout, l'objectif était d'uniformiser un certain nombre de taxonomies afin que tous les établissements s'alignent sur les mêmes principes et qu'ils puissent communiquer entre eux, de manière plus exacte, sur l'état de la menace", ajoute l'experte.
Il faut préciser que le texte instaure un principe de proportionnalité : les obligations doivent être adaptées en fonction de la taille, de la complexité et du profil de risque de chaque institution. Ainsi, les grandes institutions financières sont soumises à des exigences plus strictes tandis que les plus petites entités peuvent se voir accorder une certaine souplesse.
Les fournisseurs de services TIC encadrés par Dora
L'une des difficultés de Dora semble être l'application du quatrième pilier, soit la gestion des risques liés aux prestataires de services TIC (cloud, logiciels...). Concrètement, Dora impose aux entités financières "des exigences bien plus fortes sur les audits vis-à-vis de leurs prestataires". Cela engendre "des travaux de conformité des reprises contractuelles", indique de son côté Arnaud Schreiber, consultant et manager au sein du pôle Banque, Finance & Assurance au sein du cabinet mc2i, interrogé par L'Usine Digitale. De plus, les fournisseurs de cloud ou de logiciels doivent "être transparents en précisant où sont leurs serveurs, comment sont-ils gérés...".
Egalement, le texte impose "aux prestataires critiques d'identifier eux-mêmes leurs propres fournisseurs" ainsi que de mettre en place des mécanismes de gestion des risques pour s'assurer qu'ils respectent les exigences de sécurité et de continuité des services. Pour Pauline Mandiela, bien que nécessaires pour augmenter la résilience opérationnelle, ces nouvelles obligations "déportent la responsabilité de protection sur les plus gros établissements", qui sont ceux qui utilisent le plus de prestataires externes.
Pauline Mandiela cite également "une nouveauté qui est très compliquée à mettre en oeuvre : tester les stratégies de sortie, explique-t-elle. Le problème étant que le régulateur n'a pas encore apporté de réponse sur la procédure à suivre."
L'obligation de mener des tests de résilience
De plus, Dora impose des obligations en matière de tests de résilience, afin de garantir que les entités sont capables de maintenir la continuité de leurs services en cas de perturbation ou d'incident. "Cela passe par le recrutement d'experts en cybersécurité, la définition de différents scénarios d'attaque, la mise en place de process pour savoir comment y remédier, à qui faire appel au sein de l'entreprise...", détaille Arnaud Schreiber. Sur ce point, il imagine qu'un certain nombre d'entités pourrait mettre en place "une automatisation des tests" grâce à l'intelligence artificielle pour "éviter de perdre trop de temps, éviter des redondances, détecter les incidents plus tôt...".
Le règlement européen provoque une réorganisation au sein des entreprises. "Les organisations vont devoir avoir des fonctions beaucoup plus transverses, analyse Pauline Mandiela. Aussi, Dora responsabilise énormément les organes de direction vis-à-vis des risques et de la résilience. Le texte leur demande de valider le cadre de la gestion des risques, les cartographies des risques IT..." Ils doivent donc être particulièrement vigilants, d'autant plus que les dirigeants peuvent être tenus responsables et s'exposent à des amendes, voire à une interdiction d'exercer.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
