Points clés — Conformité RTS & ITS de DORA
Les autorités européennes de surveillance (ABE, AEMF, AEAPP) ont publié plus de 20 normes techniques de réglementation (RTS) et normes techniques d'exécution (ITS) au titre de DORA, créant des centaines d'exigences détaillées en matière de gestion des risques liés aux TIC, de notification des incidents, de surveillance des tiers et de tests de pénétration fondés sur la menace. Les entités financières opérant à travers plusieurs filiales font face à une complexité exponentielle lorsqu'elles suivent ces obligations dans des tableurs. Une plateforme GRC centralisée peut mettre en correspondance chaque exigence avec des mesures, attribuer des responsables, automatiser la recertification et générer des dossiers de preuves prêts pour l'audit — tout en éliminant les doublons avec les obligations recoupées du RGPD et de la norme ISO 27001.
Définitions
Qu'est-ce que DORA (règlement sur la résilience opérationnelle numérique) ?
DORA est le règlement (UE) 2022/2554 du Parlement européen et du Conseil, qui établit un cadre complet pour la résilience opérationnelle numérique du secteur financier. Il est entré en vigueur le 16.01.2023 et s'applique à compter du 17.01.2025. DORA impose aux entités financières de mettre en œuvre une gestion robuste des risques liés aux TIC, la notification des incidents, des tests de résilience opérationnelle numérique et la gestion des risques liés aux tiers. Source : EUR-Lex — Règlement (UE) 2022/2554
Que sont les normes techniques de réglementation (RTS) ?
Les normes techniques de réglementation (RTS) sont des actes délégués élaborés par les autorités européennes de surveillance qui précisent les exigences techniques détaillées pour la mise en œuvre de DORA. Elles couvrent des domaines tels que les cadres de gestion des risques liés aux TIC, les critères de classification des incidents, les politiques de sous-traitance des services TIC critiques et les tests de pénétration fondés sur la menace (TLPT). Source : EUR-Lex — DORA
Que sont les normes techniques d'exécution (ITS) ?
Les normes techniques d'exécution (ITS) sont des actes d'exécution qui prescrivent des modèles, formats et procédures uniformes pour la conformité à DORA — y compris le registre des informations relatives aux prestataires tiers de services TIC et les modèles de notification des incidents. Source : EUR-Lex — DORA
Qu'est-ce que la gestion des risques liés aux TIC au titre de DORA ?
La gestion des risques liés aux TIC au titre de DORA (chapitre II, articles 5 à 16) impose aux entités financières d'établir et de maintenir un cadre complet de gestion des risques liés aux TIC comprenant des capacités d'identification, de protection, de détection, de réponse et de rétablissement. Les RTS associées précisent les exigences détaillées en matière de politiques, de procédures et de structures de gouvernance. Source : EUR-Lex — DORA Chapitre II
Qu'est-ce que le registre des informations de DORA ?
Le registre des informations est requis au titre de l'article 28, paragraphe 3, de DORA et détaillé dans l'ITS relatif aux registres des informations. Les entités financières doivent tenir un registre complet de tous les accords contractuels conclus avec des prestataires tiers de services TIC, y compris les chaînes de sous-traitance, et le communiquer aux autorités compétentes. Source : EUR-Lex — DORA Article 28
Statistiques et contexte sectoriel
Selon le rapport Threat Landscape 2024 de l'ENISA, le secteur financier demeure parmi les trois secteurs les plus ciblés par les cyberincidents dans l'UE, ce qui souligne l'urgence des exigences de résilience opérationnelle de DORA. Source : ENISA Threat Landscape 2024
L'Autorité bancaire européenne (ABE) a publié son premier lot de normes techniques de DORA en janvier 2024 et le second lot en juillet 2024, couvrant la gestion des risques liés aux TIC, la notification des incidents, la surveillance des tiers et les TLPT. Plus de 20 documents RTS et ITS individuels ont été finalisés au fil des deux lots. Source : EUR-Lex — DORA
Selon le rapport IAPP-EY 2023 sur la gouvernance de la protection des données, 60 % des organisations indiquent que la gestion des obligations réglementaires recoupées (telles que le RGPD et les réglementations sectorielles comme DORA) constitue un défi majeur de conformité. Source : IAPP-EY 2023 Privacy Governance Report
Gartner prévoit que d'ici 2026, 70 % des conseils d'administration des organisations des secteurs réglementés imposeront des plateformes intégrées de gestion des risques plutôt que des outils de conformité cloisonnés. Source : Gartner
Questions fréquentes
Combien de documents RTS et ITS de DORA ont été publiés ?
Les autorités européennes de surveillance (ABE, AEMF, AEAPP) ont publié plus de 20 documents RTS et ITS répartis en deux lots — le lot 1 en janvier 2024 et le lot 2 en juillet 2024. Ils couvrent les cadres de gestion des risques liés aux TIC, la classification et la notification des incidents, les registres des prestataires tiers de services TIC, les dispositions contractuelles, les tests de pénétration fondés sur la menace et le partage d'informations. Source : EUR-Lex — DORA
Quand DORA est-il devenu applicable ?
DORA (règlement (UE) 2022/2554) est entré en vigueur le 16.01.2023 et est devenu pleinement applicable le 17.01.2025. Les entités financières et les prestataires tiers critiques de services TIC doivent se conformer à toutes les exigences, y compris les RTS et ITS détaillées, à compter de cette date. Source : EUR-Lex
Comment les exigences de DORA recoupent-elles celles du RGPD ?
De nombreuses exigences RTS/ITS de DORA recoupent directement les obligations du RGPD. Par exemple, le registre des prestataires tiers de services TIC de DORA recoupe la gestion des sous-traitants de l'article 28 du RGPD ; les exigences de DORA en matière de gestion des risques liés aux TIC font écho aux mesures de sécurité de l'article 32 du RGPD ; et la notification des incidents de DORA présente des similitudes avec la notification des violations de l'article 33 du RGPD. Gérer ces obligations dans une plateforme unifiée élimine les doublons et réduit le risque d'audit. Source : GDPR-info.eu — Article 28
Qu'est-ce que les tests de pénétration fondés sur la menace (TLPT) au titre de DORA ?
Le chapitre IV de DORA (articles 26 et 27) impose à certaines entités financières de réaliser des tests de pénétration fondés sur la menace au moins tous les trois ans. La RTS associée précise la méthodologie, le périmètre et les exigences de reporting des TLPT, qui doivent simuler des cybermenaces réelles contre les fonctions critiques. Source : EUR-Lex — DORA Articles 26-27
Qui doit se conformer à DORA ?
DORA s'applique à un large éventail d'entités financières, notamment les établissements de crédit, les entreprises d'investissement, les entreprises d'assurance et de réassurance, les établissements de paiement, les prestataires de services sur crypto-actifs et les prestataires tiers critiques de services TIC. Le règlement couvre 21 catégories d'entités financières telles que définies à l'article 2. Source : EUR-Lex — DORA Article 2
Comment une plateforme centralisée facilite-t-elle la conformité DORA multi-entités ?
Pour les groupes opérant à travers plusieurs filiales, DORA exige un reporting prudentiel consolidé — en particulier pour le registre des prestataires tiers de services TIC. Une plateforme centralisée met en correspondance les exigences avec des mesures au niveau de chaque filiale tout en offrant des tableaux de bord à l'échelle du groupe et un reporting consolidé, éliminant la fragmentation des tableurs et des outils cloisonnés.
Quelles preuves les régulateurs attendent-ils pour la conformité DORA ?
Les autorités de surveillance attendent des pistes de preuves continues et auditables — et non des instantanés ponctuels. La RTS relative aux cadres de gestion des risques liés aux TIC exige des politiques documentées, des revues régulières et la preuve que les mesures sont activement maintenues. Des flux de recertification automatisés assortis de pistes d'audit complètes peuvent générer des dossiers de preuves en quelques minutes plutôt qu'en plusieurs semaines.
Comparaison : approches de la conformité DORA
| Capacité | Approche manuelle / par tableur | Plateforme GRC centralisée |
|---|
| Cartographie des exigences RTS/ITS | Synthèse manuelle de PDF à travers plus de 20 documents | Exigences pré-cartographiées, organisées par pilier DORA |
| Suivi multi-entités | Tableurs distincts par filiale | Tableaux de bord entre entités avec vue consolidée |
| Gestion des recoupements RGPD/DORA | Évaluations en double dans des outils séparés | Une seule évaluation satisfait plusieurs obligations |
| Recertification | Rappels d'agenda, relances manuelles | Flux de travail automatisés avec pistes d'audit |
| Dossiers de preuves pour les régulateurs | Plusieurs semaines de compilation manuelle | Générés en quelques minutes à partir de données en temps réel |
| Évolutivité pour les équipes restreintes | Augmentation linéaire de l'effort par entité | La rédaction assistée par IA démultiplie la capacité de l'équipe |