Qu'est-ce que le règlement DORA ? Tout ce que les entités financières doivent savoir
Le règlement européen sur la résilience opérationnelle numérique (Digital Operational Resilience Act) est pleinement applicable depuis le 17.01.2025, transformant en profondeur la manière dont les entités financières et leurs prestataires TIC doivent gérer le risque numérique. Si votre organisation opère à travers plusieurs entités, filiales ou juridictions dans le secteur financier, comprendre DORA n'est pas optionnel. La non-conformité expose à des sanctions des autorités de surveillance, à des perturbations contractuelles et à une atteinte à la réputation.
Adopté par des équipes de conformité qui gèrent
50+
entités d'un groupe
Hébergement suisse
souveraineté des données
ISO 27001
plateforme alignée
Conforme au RGPD
dès la conception
Qu'est-ce que DORA et pourquoi est-ce déterminant aujourd'hui ?
Le règlement sur la résilience opérationnelle numérique (règlement (UE) 2022/2554) est le cadre réglementaire de l'UE visant à garantir que les entités financières puissent résister aux perturbations liées aux TIC, y réagir et s'en remettre. Il remplace une mosaïque de lignes directrices nationales par un ensemble unique et harmonisé d'exigences, opposable depuis le 17.01.2025.
Avant DORA, la gestion du risque TIC dans le secteur financier était régie par des lignes directrices sectorielles : lignes directrices de l'ABE sur la gestion des risques liés aux TIC et à la sécurité, lignes directrices de l'EIOPA sur l'externalisation vers des prestataires de services en nuage, et diverses attentes nationales en matière de surveillance. Résultat : des normes incohérentes, de l'arbitrage réglementaire et des angles morts systémiques lorsque des prestataires TIC critiques servaient plusieurs entités financières par-delà les frontières.
DORA change cela en profondeur. Il instaure un cadre réglementaire unique qui s'applique à tous les sous-secteurs financiers de l'UE : banque, assurance, investissement, services de paiement, crypto-actifs, et plus encore, avec des exigences directes pour les prestataires tiers de TIC dont ces entités dépendent.
Pour les organisations qui gèrent la conformité à travers plusieurs entités et juridictions, DORA introduit à la fois de la complexité et des opportunités. La complexité tient à la coordination de cinq piliers interconnectés au sein de chaque filiale. L'opportunité tient au fait de disposer enfin d'une norme claire et unifiée autour de laquelle bâtir votre programme de résilience opérationnelle.
Qui doit se conformer à DORA ?
DORA s'applique à la quasi-totalité des entités financières réglementées de l'UE, ainsi qu'aux prestataires TIC dont elles dépendent. La Commission européenne estime que plus de 22'000 entités entrent dans son champ d'application.
Entités financières (article 2)
- Établissements de crédit (banques)
- Établissements de paiement et établissements de monnaie électronique
- Entreprises d'investissement et sociétés de gestion
- Entreprises d'assurance et de réassurance
- Dépositaires centraux de titres
- Contreparties centrales et référentiels centraux
- Prestataires de services sur crypto-actifs
- Prestataires de services de financement participatif
- Institutions de retraite professionnelle
- Agences de notation de crédit et référentiels des titrisations
Prestataires tiers de TIC
- Prestataires de services en nuage servant des entités financières
- Prestataires d'analyse de données et de centres de données
- Éditeurs de logiciels (SaaS, core banking, etc.)
- Prestataires d'infrastructures TIC
- Prestataires de services de sécurité gérés
- Les prestataires tiers de services TIC critiques désignés par les AES sont soumis au nouveau cadre de supervision à l'échelle de l'UE doté de pouvoirs de surveillance directs
Principe de proportionnalité : DORA s'applique de manière proportionnée ; les microentreprises et certaines entités bénéficient d'exigences simplifiées au titre des articles 16(1) et 25(1). Mais la proportionnalité ne signifie pas l'exemption.
Ce que DORA exige réellement, et pourquoi les groupes multi-entités peinent le plus
Les exigences de DORA s'articulent autour de cinq piliers interconnectés. Pour les organisations qui gèrent la conformité à travers plusieurs filiales et juridictions, chaque pilier voit sa complexité se multiplier. Voici ce que votre programme de conformité doit couvrir.
PILIER 1
Cadre de gestion du risque TIC
Les articles 5 à 16 imposent un cadre complet de gestion du risque TIC, sous la responsabilité directe de l'organe de direction. Votre organisation doit documenter les processus d'identification, de protection, de détection, de réponse et de rétablissement, y compris la gestion des systèmes hérités, au sein de chaque entité.
Le défi multi-entités : chaque filiale a besoin de son propre cadre documenté, mais une cohérence à l'échelle du groupe est exigée aux fins de la revue par les autorités de surveillance.
4 heures
Délai maximal pour détecter et classer un incident TIC majeur une fois identifié — critères de classification de l'article 17 de DORA
PILIER 2
Notification et classification des incidents
Les articles 17 à 23 imposent une classification harmonisée des incidents et un calendrier de notification strict : notification initiale dans les 4 heures suivant la classification, rapport intermédiaire dans les 72 heures et rapport final dans un délai d'un mois. La notification volontaire de cybermenaces importantes est également encouragée.
Le défi multi-entités : un seul incident TIC peut toucher plusieurs filiales simultanément, chacune ayant sa propre obligation de notification auprès d'autorités nationales différentes.
72 heures
Délai pour le rapport intermédiaire d'incident à l'autorité compétente — exigences de notification de l'article 19 de DORA
PILIER 3
Tests de résilience opérationnelle numérique
Les articles 24 à 27 imposent des tests réguliers des systèmes TIC, allant des évaluations de vulnérabilités de base pour toutes les entités aux tests de pénétration avancés fondés sur la menace (TLPT) tous les trois ans pour les institutions d'importance systémique. Les programmes de tests doivent couvrir l'ensemble des systèmes et applications TIC critiques.
Le défi multi-entités : coordonner des exercices TLPT sur des infrastructures partagées servant plusieurs filiales nécessite une planification centralisée et une gestion des preuves.
Tous les 3 ans
Fréquence minimale des tests de pénétration fondés sur la menace pour les entités financières importantes — article 26 de DORA
PILIER 4
Gestion du risque lié aux prestataires tiers de TIC
Les articles 28 à 44 établissent des exigences rigoureuses pour la gestion des prestataires tiers de TIC. Les entités financières doivent tenir un registre de tous les accords d'externalisation TIC, mener une due diligence précontractuelle, inclure des clauses contractuelles obligatoires et surveiller en continu la performance et le risque des prestataires.
Le défi multi-entités : un même prestataire de services en nuage peut servir 15 filiales au titre de 15 contrats différents ; sans gestion centralisée des fournisseurs, les lacunes restent invisibles jusqu'à ce qu'une autorité de surveillance les découvre.
22'000+
Entités financières et prestataires TIC soumis à DORA — estimations de la Commission européenne, 2022
PILIER 5
Dispositifs de partage d'informations
L'article 45 encourage les entités financières à échanger des renseignements sur les cybermenaces et des informations sur les vulnérabilités avec leurs pairs dans le cadre de dispositifs de confiance. Bien que facultative, la participation à des communautés de partage d'informations renforce la résilience collective et démontre une gestion proactive des risques aux autorités de surveillance.
Le défi multi-entités : partager des renseignements sur les menaces entre filiales situées dans des juridictions différentes exige des contrôles de gouvernance des données afin d'éviter de violer par inadvertance le RGPD ou des obligations de confidentialité.
17.01.2025
Date de pleine application de DORA — les cinq piliers sont opposables dans tous les États membres de l'UE — règlement (UE) 2022/2554
LE FIL CONDUCTEUR
Chaque pilier se complique avec chaque filiale supplémentaire
Pour les groupes qui gèrent la conformité à travers plusieurs entités, les cinq piliers de DORA n'ajoutent pas seulement des exigences, ils les multiplient. Registres de fournisseurs centralisés, notification coordonnée des incidents et cadres de risque cohérents deviennent impossibles à tenir dans des tableurs.
Réservez une démonstration de 30 minChronologie de DORA : de l'adoption à l'application
200+
Heures gagnées sur la gestion du registre des traitements
Medtec a réaffecté plus de 200 heures de maintenance manuelle du registre des traitements à la préparation de la certification ISO 27001, obtenue 3 mois avant l'échéance prévue.
60%
Temps d'administration de la conformité réduit
Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours de ses 6 premiers mois, avec une tarification prévisible fondée sur les entités, et non sur des frais par utilisateur.
3 mois
d'avance sur l'ISO 27001
Medtec a obtenu la certification ISO 27001 3 mois avant le calendrier prévu grâce aux dossiers de preuves prêts pour l'audit de Priverion.
L'alternative à OneTrust pensée pour la réalité du mid-market
Les plateformes pour grandes entreprises vous vendent une complexité dont vous n'avez pas besoin, à des prix que vous ne pouvez pas justifier. Voici ce qui change lorsque votre outil de protection des données est conçu pour le fonctionnement réel des organisations multi-entités.
L'expérience typique des plateformes pour grandes entreprises
Hébergement et résidence des données
Siège aux États-Unis, données souvent traitées hors de l'UE. Après l'arrêt Schrems II, cela crée un risque de transfert que vous devez documenter et justifier auprès des autorités de surveillance.
Modèle de tarification
Tarification par utilisateur et par module qui s'envole à mesure que vous intégrez des filiales. Des surprises budgétaires à chaque cycle de renouvellement. Des fonctionnalités verrouillées derrière des montées en gamme.
Mise en œuvre
Des déploiements de 6 à 12 mois nécessitant des consultants dédiés. Vous payez la plateforme avant même de l'avoir configurée pour une seule filiale.
Expérience utilisateur
Conçue pour des équipes GRC dotées d'administrateurs dédiés. Les responsables d'unités opérationnelles rechignent à l'adopter car l'interface exige une formation rien que pour soumettre une activité de traitement.
Périmètre de la plateforme
Une suite tentaculaire couvrant l'ESG, l'éthique, le risque tiers, et bien plus. Vous payez pour tout, n'utilisez qu'une fraction, et avez encore besoin de contournements pour la gestion de la protection des données multi-entités.
L'expérience Priverion
Hébergement suisse, résidence des données en Europe
Toutes les données sont traitées au sein d'une infrastructure suisse. Dans un monde post-Schrems II, l'hébergement suisse n'est pas une case marketing à cocher : c'est un atout juridique pour les transferts de données transfrontaliers. Un risque de moins à documenter.
Tarification prévisible, fondée sur le groupe
Tarification fondée sur le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Intégrez chaque responsable d'unité opérationnelle sans voir les coûts grimper. Aucun piège d'extension au renouvellement.
Opérationnel en quelques semaines, pas en plusieurs mois
Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours de ses 6 premiers mois. La plupart de nos clients exécutent des flux de travail en production quelques semaines après la signature.
D'après le déploiement chez un constructeur aéronautique, 6 premiers mois
Conçu pour celles et ceux qui font réellement le travail
Les responsables d'unités opérationnelles recertifient le registre des traitements sans formation. La rédaction assistée par IA prend en charge le gros du travail pour les AIPD et l'évaluation des risques. Votre DPD se concentre sur la stratégie, pas sur la maintenance de tableurs.
Une plateforme de protection des données tout-en-un, sans le superflu
Registre des traitements, AIPD, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données inter-entités, registre IA : tout pour la gestion de la protection des données à l'échelle du groupe au sein d'une seule plateforme. Nous ne couvrons ni l'ESG ni la gestion du consentement aux cookies. Nous allons en profondeur là où cela compte.
En toute transparence : nous ne sommes pas conçus pour les entreprises mono-entité, et nous ne proposons pas 200 intégrations. Nous nous intégrons en profondeur avec les systèmes qui comptent pour les flux de travail de protection des données — RH, achats, gestion des actifs informatiques — plutôt que d'offrir des connecteurs superficiels qui génèrent une charge de maintenance.
Réservez une démonstration de 30 minVotre check-list de préparation à la conformité DORA
Utilisez cette check-list pour évaluer la préparation de votre organisation à travers les cinq piliers de DORA. Pour les groupes multi-entités, chaque point doit être évalué à la fois au niveau de la filiale et du groupe.
Pilier 1 : gestion du risque TIC
- 1. Cadre documenté de gestion du risque TIC approuvé par l'organe de direction pour chaque entité
- 2. Rôles et responsabilités définis pour la gestion du risque TIC, y compris une fonction de contrôle dédiée
- 3. Inventaire complet des actifs et systèmes TIC et de leurs interdépendances dans toutes les entités
- 4. Plans de continuité d'activité et de reprise après sinistre couvrant les perturbations liées aux TIC
- 5. Processus annuel de revue et de mise à jour du cadre de gestion du risque TIC
Pilier 2 : notification des incidents
- 6. Processus de classification des incidents aligné sur les critères de l'article 18 de DORA (clients affectés, intégrité des données, criticité des services, durée)
- 7. Flux de notification capables de respecter les délais de notification initiale à 4 heures, de rapport intermédiaire à 72 heures et de rapport final à 1 mois
- 8. Processus de coordination pour les incidents touchant plusieurs filiales relevant d'autorités nationales différentes
- 9. Processus d'analyse des causes profondes des incidents avec documentation des enseignements tirés
Pilier 3 : tests de résilience
- 10. Programme de tests annuel couvrant les évaluations de vulnérabilités, les tests de sécurité réseau et les tests fondés sur des scénarios
- 11. Programme TLPT mis en place (si l'entité est désignée comme importante) avec des testeurs externes qualifiés
- 12. Suivi de la remédiation pour toutes les conclusions des tests, assorti de délais définis
Pilier 4 : gestion du risque tiers
- 13. Registre complet de tous les accords avec les prestataires tiers de TIC, y compris les services intragroupe
- 14. Processus de due diligence précontractuelle pour les nouveaux prestataires TIC couvrant l'évaluation des risques et le risque de concentration
- 15. Contrats existants revus au regard des clauses obligatoires (droits d'audit, stratégies de sortie, localisation des données, sous-traitance en cascade)
- 16. Processus de surveillance continue de la performance et de la conformité des prestataires TIC
- 17. Stratégies de sortie documentées pour tous les accords de services TIC critiques ou importants
Pilier 5 : partage d'informations
- 18. Évaluation menée à bien sur l'opportunité de participer à des dispositifs de partage de renseignements sur les menaces
- 19. En cas de participation : contrôles de gouvernance des données en place pour gérer les obligations liées au RGPD et à la confidentialité dans les renseignements partagés
- 20. Processus interne de diffusion des renseignements pertinents sur les menaces entre les filiales et les unités opérationnelles
Besoin d'aide pour coordonner la conformité DORA à travers plusieurs entités ?
Découvrez comment la gestion du risque fournisseurs à l'échelle du groupe, les flux de gestion des incidents et les dossiers de preuves prêts pour l'audit de Priverion aident les organisations multi-entités à se préparer à DORA sans chaos de tableurs.
Réservez une démonstration de 30 minQuestions fréquentes sur DORA
Qu'est-ce que le règlement DORA ?
DORA (Digital Operational Resilience Act) est le règlement (UE) 2022/2554, qui établit des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entités financières et de leurs prestataires tiers de services TIC critiques. Il est pleinement applicable depuis le 17.01.2025, remplaçant une mosaïque de lignes directrices sectorielles par un cadre unique et harmonisé.
Qui doit se conformer à DORA ?
DORA s'applique à la quasi-totalité des entités financières réglementées de l'UE, y compris les banques, les compagnies d'assurance, les entreprises d'investissement, les établissements de paiement et les prestataires de services sur crypto-actifs, ainsi qu'à leurs prestataires tiers de services TIC critiques. La Commission européenne estime que plus de 22'000 entités entrent dans son champ d'application. Le règlement s'applique de manière proportionnée, avec des exigences simplifiées pour les microentreprises, mais la proportionnalité ne signifie pas l'exemption.
Quels sont les 5 piliers de DORA ?
Les cinq piliers sont : (1) le cadre de gestion du risque TIC (articles 5 à 16), (2) la notification et la classification des incidents (articles 17 à 23), (3) les tests de résilience opérationnelle numérique (articles 24 à 27), (4) la gestion du risque lié aux prestataires tiers de TIC (articles 28 à 44) et (5) les dispositifs de partage d'informations (article 45). Chaque pilier comporte des exigences précises à traiter à la fois au niveau de l'entité et du groupe.
Quand DORA est-il entré en vigueur ?
DORA est entré en vigueur le 16.01.2023, avec une période de mise en œuvre de deux ans. Il est pleinement applicable depuis le 17.01.2025, ce qui signifie que les cinq piliers sont désormais opposables dans tous les États membres de l'UE. Les AES (ABE, AEMF, EIOPA) ont élaboré les normes techniques de réglementation et les normes techniques d'exécution tout au long de 2023-2024 afin de fournir des orientations détaillées de mise en œuvre.
Quelles sont les sanctions en cas de non-conformité à DORA ?
DORA habilite les autorités nationales compétentes à imposer des sanctions administratives et des mesures correctives, y compris des astreintes. Pour les prestataires tiers de services TIC critiques relevant du cadre de supervision de l'UE, les sanctions peuvent atteindre jusqu'à 1 % du chiffre d'affaires quotidien moyen mondial pour chaque jour de non-conformité, pendant une durée maximale de six mois. Au-delà des sanctions financières, la non-conformité crée un risque réputationnel et de possibles perturbations contractuelles avec les clients du secteur financier.
Quel est l'impact de DORA sur les prestataires tiers de TIC ?
DORA exige des entités financières qu'elles tiennent des registres de tous les accords d'externalisation TIC, qu'elles mènent une due diligence précontractuelle, qu'elles incluent des clauses contractuelles obligatoires (portant sur les droits d'audit, les stratégies de sortie, la localisation des données et la sous-traitance en cascade) et qu'elles surveillent la performance des prestataires. Les prestataires tiers de services TIC critiques désignés par les AES sont soumis à un nouveau cadre de supervision à l'échelle de l'UE doté de pouvoirs de surveillance directs, un changement majeur par rapport au précédent modèle de surveillance indirecte.
Quel est le lien entre DORA et le RGPD ?
DORA et le RGPD sont des règlements complémentaires. DORA porte sur la résilience opérationnelle TIC des entités financières, tandis que le RGPD couvre la protection des données à caractère personnel. Un incident TIC relevant de DORA impliquant des données à caractère personnel déclenchera également les obligations de notification de violation prévues par le RGPD (notification dans les 72 heures aux autorités de surveillance au titre de l'article 33). Les organisations ont besoin de processus de réponse aux incidents coordonnés qui satisfont les deux cadres réglementaires simultanément, un défi particulièrement épineux pour les groupes multi-entités qui rapportent à plusieurs autorités.
Arrêtez de gérer la conformité en matière de protection des données dans des tableurs. Gérez-la pour de bon.
Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours de ses six premiers mois. AXA a atteint 100 % de recertification automatisée du registre des traitements. Medtec a gagné plus de 200 heures dans sa préparation à l'ISO 27001.
En 30 minutes, nous vous montrerons exactement comment fonctionne la gestion de la protection des données à l'échelle du groupe lorsqu'elle est conçue pour les organisations multi-entités, et non greffée après coup. Hébergement suisse. Assistance par IA avec supervision humaine complète. Tarification prévisible, sans pièges par utilisateur.
Des semaines, pas des mois
Délai moyen de mise en service
50+ entités
Échelle de groupe éprouvée
100 % hébergé en Suisse
Résidence des données en Europe garantie
Aucun engagement requis. Aucune pression commerciale. Juste un aperçu clair de ce qui est possible.


