Guide du règlement DORA

Qu'est-ce que le règlement DORA ? Tout ce que les entités financières doivent savoir

Le règlement européen sur la résilience opérationnelle numérique (Digital Operational Resilience Act) est pleinement applicable depuis le 17.01.2025, transformant en profondeur la manière dont les entités financières et leurs prestataires TIC doivent gérer le risque numérique. Si votre organisation opère à travers plusieurs entités, filiales ou juridictions dans le secteur financier, comprendre DORA n'est pas optionnel. La non-conformité expose à des sanctions des autorités de surveillance, à des perturbations contractuelles et à une atteinte à la réputation.

Téléchargez la check-list gratuite de préparation à DORA

Adopté par des équipes de conformité qui gèrent

50+

entités d'un groupe

Hébergement suisse

souveraineté des données

ISO 27001

plateforme alignée

Conforme au RGPD

dès la conception

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Comprendre DORA

Qu'est-ce que DORA et pourquoi est-ce déterminant aujourd'hui ?

Le règlement sur la résilience opérationnelle numérique (règlement (UE) 2022/2554) est le cadre réglementaire de l'UE visant à garantir que les entités financières puissent résister aux perturbations liées aux TIC, y réagir et s'en remettre. Il remplace une mosaïque de lignes directrices nationales par un ensemble unique et harmonisé d'exigences, opposable depuis le 17.01.2025.

Avant DORA, la gestion du risque TIC dans le secteur financier était régie par des lignes directrices sectorielles : lignes directrices de l'ABE sur la gestion des risques liés aux TIC et à la sécurité, lignes directrices de l'EIOPA sur l'externalisation vers des prestataires de services en nuage, et diverses attentes nationales en matière de surveillance. Résultat : des normes incohérentes, de l'arbitrage réglementaire et des angles morts systémiques lorsque des prestataires TIC critiques servaient plusieurs entités financières par-delà les frontières.

DORA change cela en profondeur. Il instaure un cadre réglementaire unique qui s'applique à tous les sous-secteurs financiers de l'UE : banque, assurance, investissement, services de paiement, crypto-actifs, et plus encore, avec des exigences directes pour les prestataires tiers de TIC dont ces entités dépendent.

Pour les organisations qui gèrent la conformité à travers plusieurs entités et juridictions, DORA introduit à la fois de la complexité et des opportunités. La complexité tient à la coordination de cinq piliers interconnectés au sein de chaque filiale. L'opportunité tient au fait de disposer enfin d'une norme claire et unifiée autour de laquelle bâtir votre programme de résilience opérationnelle.

Champ d'application

Qui doit se conformer à DORA ?

DORA s'applique à la quasi-totalité des entités financières réglementées de l'UE, ainsi qu'aux prestataires TIC dont elles dépendent. La Commission européenne estime que plus de 22'000 entités entrent dans son champ d'application.

Entités financières (article 2)

  • Établissements de crédit (banques)
  • Établissements de paiement et établissements de monnaie électronique
  • Entreprises d'investissement et sociétés de gestion
  • Entreprises d'assurance et de réassurance
  • Dépositaires centraux de titres
  • Contreparties centrales et référentiels centraux
  • Prestataires de services sur crypto-actifs
  • Prestataires de services de financement participatif
  • Institutions de retraite professionnelle
  • Agences de notation de crédit et référentiels des titrisations

Prestataires tiers de TIC

  • Prestataires de services en nuage servant des entités financières
  • Prestataires d'analyse de données et de centres de données
  • Éditeurs de logiciels (SaaS, core banking, etc.)
  • Prestataires d'infrastructures TIC
  • Prestataires de services de sécurité gérés
  • Les prestataires tiers de services TIC critiques désignés par les AES sont soumis au nouveau cadre de supervision à l'échelle de l'UE doté de pouvoirs de surveillance directs

Principe de proportionnalité : DORA s'applique de manière proportionnée ; les microentreprises et certaines entités bénéficient d'exigences simplifiées au titre des articles 16(1) et 25(1). Mais la proportionnalité ne signifie pas l'exemption.

Les 5 piliers de DORA

Ce que DORA exige réellement, et pourquoi les groupes multi-entités peinent le plus

Les exigences de DORA s'articulent autour de cinq piliers interconnectés. Pour les organisations qui gèrent la conformité à travers plusieurs filiales et juridictions, chaque pilier voit sa complexité se multiplier. Voici ce que votre programme de conformité doit couvrir.

PILIER 1

Cadre de gestion du risque TIC

Les articles 5 à 16 imposent un cadre complet de gestion du risque TIC, sous la responsabilité directe de l'organe de direction. Votre organisation doit documenter les processus d'identification, de protection, de détection, de réponse et de rétablissement, y compris la gestion des systèmes hérités, au sein de chaque entité.

Le défi multi-entités : chaque filiale a besoin de son propre cadre documenté, mais une cohérence à l'échelle du groupe est exigée aux fins de la revue par les autorités de surveillance.

4 heures

Délai maximal pour détecter et classer un incident TIC majeur une fois identifié — critères de classification de l'article 17 de DORA

PILIER 2

Notification et classification des incidents

Les articles 17 à 23 imposent une classification harmonisée des incidents et un calendrier de notification strict : notification initiale dans les 4 heures suivant la classification, rapport intermédiaire dans les 72 heures et rapport final dans un délai d'un mois. La notification volontaire de cybermenaces importantes est également encouragée.

Le défi multi-entités : un seul incident TIC peut toucher plusieurs filiales simultanément, chacune ayant sa propre obligation de notification auprès d'autorités nationales différentes.

72 heures

Délai pour le rapport intermédiaire d'incident à l'autorité compétente — exigences de notification de l'article 19 de DORA

PILIER 3

Tests de résilience opérationnelle numérique

Les articles 24 à 27 imposent des tests réguliers des systèmes TIC, allant des évaluations de vulnérabilités de base pour toutes les entités aux tests de pénétration avancés fondés sur la menace (TLPT) tous les trois ans pour les institutions d'importance systémique. Les programmes de tests doivent couvrir l'ensemble des systèmes et applications TIC critiques.

Le défi multi-entités : coordonner des exercices TLPT sur des infrastructures partagées servant plusieurs filiales nécessite une planification centralisée et une gestion des preuves.

Tous les 3 ans

Fréquence minimale des tests de pénétration fondés sur la menace pour les entités financières importantes — article 26 de DORA

PILIER 4

Gestion du risque lié aux prestataires tiers de TIC

Les articles 28 à 44 établissent des exigences rigoureuses pour la gestion des prestataires tiers de TIC. Les entités financières doivent tenir un registre de tous les accords d'externalisation TIC, mener une due diligence précontractuelle, inclure des clauses contractuelles obligatoires et surveiller en continu la performance et le risque des prestataires.

Le défi multi-entités : un même prestataire de services en nuage peut servir 15 filiales au titre de 15 contrats différents ; sans gestion centralisée des fournisseurs, les lacunes restent invisibles jusqu'à ce qu'une autorité de surveillance les découvre.

22'000+

Entités financières et prestataires TIC soumis à DORA — estimations de la Commission européenne, 2022

PILIER 5

Dispositifs de partage d'informations

L'article 45 encourage les entités financières à échanger des renseignements sur les cybermenaces et des informations sur les vulnérabilités avec leurs pairs dans le cadre de dispositifs de confiance. Bien que facultative, la participation à des communautés de partage d'informations renforce la résilience collective et démontre une gestion proactive des risques aux autorités de surveillance.

Le défi multi-entités : partager des renseignements sur les menaces entre filiales situées dans des juridictions différentes exige des contrôles de gouvernance des données afin d'éviter de violer par inadvertance le RGPD ou des obligations de confidentialité.

17.01.2025

Date de pleine application de DORA — les cinq piliers sont opposables dans tous les États membres de l'UE — règlement (UE) 2022/2554

LE FIL CONDUCTEUR

Chaque pilier se complique avec chaque filiale supplémentaire

Pour les groupes qui gèrent la conformité à travers plusieurs entités, les cinq piliers de DORA n'ajoutent pas seulement des exigences, ils les multiplient. Registres de fournisseurs centralisés, notification coordonnée des incidents et cadres de risque cohérents deviennent impossibles à tenir dans des tableurs.

Réservez une démonstration de 30 min
Dates clés

Chronologie de DORA : de l'adoption à l'application

Novembre 2022
Adoption de DORA par le Parlement européen et le Conseil sous la forme du règlement (UE) 2022/2554, publié au Journal officiel de l'UE.
16.01.2023
Entrée en vigueur. Début de la période de mise en œuvre de deux ans. Les AES (ABE, AEMF, EIOPA) commencent à élaborer les normes techniques de réglementation (RTS) et les normes techniques d'exécution (ITS).
Tout au long de 2023-2024
Élaboration et consultation des RTS/ITS. Les AES publient des projets de normes couvrant la gestion du risque TIC, les modèles de notification d'incidents, les cadres de TLPT et le registre d'informations relatif aux prestataires tiers de TIC.
17.01.2025
Date de pleine application. Les cinq piliers sont opposables. Les autorités nationales compétentes entament leurs activités de surveillance. Les entités financières doivent disposer de leurs cadres de gestion du risque TIC, de leurs processus de notification d'incidents, de leurs programmes de tests et de leurs registres de fournisseurs.
À partir de 2025
Application et supervision continues. Les AES désignent les prestataires tiers de services TIC critiques. Les examens de surveillance débutent. Les entités doivent démontrer une conformité continue, et non une simple préparation à un instant T.

200+

Heures gagnées sur la gestion du registre des traitements

Medtec a réaffecté plus de 200 heures de maintenance manuelle du registre des traitements à la préparation de la certification ISO 27001, obtenue 3 mois avant l'échéance prévue.

60%

Temps d'administration de la conformité réduit

Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours de ses 6 premiers mois, avec une tarification prévisible fondée sur les entités, et non sur des frais par utilisateur.

3 mois

d'avance sur l'ISO 27001

Medtec a obtenu la certification ISO 27001 3 mois avant le calendrier prévu grâce aux dossiers de preuves prêts pour l'audit de Priverion.

Pourquoi les entreprises changent

L'alternative à OneTrust pensée pour la réalité du mid-market

Les plateformes pour grandes entreprises vous vendent une complexité dont vous n'avez pas besoin, à des prix que vous ne pouvez pas justifier. Voici ce qui change lorsque votre outil de protection des données est conçu pour le fonctionnement réel des organisations multi-entités.

L'expérience typique des plateformes pour grandes entreprises

Hébergement et résidence des données

Siège aux États-Unis, données souvent traitées hors de l'UE. Après l'arrêt Schrems II, cela crée un risque de transfert que vous devez documenter et justifier auprès des autorités de surveillance.

Modèle de tarification

Tarification par utilisateur et par module qui s'envole à mesure que vous intégrez des filiales. Des surprises budgétaires à chaque cycle de renouvellement. Des fonctionnalités verrouillées derrière des montées en gamme.

Mise en œuvre

Des déploiements de 6 à 12 mois nécessitant des consultants dédiés. Vous payez la plateforme avant même de l'avoir configurée pour une seule filiale.

Expérience utilisateur

Conçue pour des équipes GRC dotées d'administrateurs dédiés. Les responsables d'unités opérationnelles rechignent à l'adopter car l'interface exige une formation rien que pour soumettre une activité de traitement.

Périmètre de la plateforme

Une suite tentaculaire couvrant l'ESG, l'éthique, le risque tiers, et bien plus. Vous payez pour tout, n'utilisez qu'une fraction, et avez encore besoin de contournements pour la gestion de la protection des données multi-entités.

L'expérience Priverion

Hébergement suisse, résidence des données en Europe

Toutes les données sont traitées au sein d'une infrastructure suisse. Dans un monde post-Schrems II, l'hébergement suisse n'est pas une case marketing à cocher : c'est un atout juridique pour les transferts de données transfrontaliers. Un risque de moins à documenter.

Tarification prévisible, fondée sur le groupe

Tarification fondée sur le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Intégrez chaque responsable d'unité opérationnelle sans voir les coûts grimper. Aucun piège d'extension au renouvellement.

Opérationnel en quelques semaines, pas en plusieurs mois

Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours de ses 6 premiers mois. La plupart de nos clients exécutent des flux de travail en production quelques semaines après la signature.

D'après le déploiement chez un constructeur aéronautique, 6 premiers mois

Conçu pour celles et ceux qui font réellement le travail

Les responsables d'unités opérationnelles recertifient le registre des traitements sans formation. La rédaction assistée par IA prend en charge le gros du travail pour les AIPD et l'évaluation des risques. Votre DPD se concentre sur la stratégie, pas sur la maintenance de tableurs.

Une plateforme de protection des données tout-en-un, sans le superflu

Registre des traitements, AIPD, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données inter-entités, registre IA : tout pour la gestion de la protection des données à l'échelle du groupe au sein d'une seule plateforme. Nous ne couvrons ni l'ESG ni la gestion du consentement aux cookies. Nous allons en profondeur là où cela compte.

En toute transparence : nous ne sommes pas conçus pour les entreprises mono-entité, et nous ne proposons pas 200 intégrations. Nous nous intégrons en profondeur avec les systèmes qui comptent pour les flux de travail de protection des données — RH, achats, gestion des actifs informatiques — plutôt que d'offrir des connecteurs superficiels qui génèrent une charge de maintenance.

Réservez une démonstration de 30 min
Check-list de préparation à DORA

Votre check-list de préparation à la conformité DORA

Utilisez cette check-list pour évaluer la préparation de votre organisation à travers les cinq piliers de DORA. Pour les groupes multi-entités, chaque point doit être évalué à la fois au niveau de la filiale et du groupe.

Pilier 1 : gestion du risque TIC

  • 1. Cadre documenté de gestion du risque TIC approuvé par l'organe de direction pour chaque entité
  • 2. Rôles et responsabilités définis pour la gestion du risque TIC, y compris une fonction de contrôle dédiée
  • 3. Inventaire complet des actifs et systèmes TIC et de leurs interdépendances dans toutes les entités
  • 4. Plans de continuité d'activité et de reprise après sinistre couvrant les perturbations liées aux TIC
  • 5. Processus annuel de revue et de mise à jour du cadre de gestion du risque TIC

Pilier 2 : notification des incidents

  • 6. Processus de classification des incidents aligné sur les critères de l'article 18 de DORA (clients affectés, intégrité des données, criticité des services, durée)
  • 7. Flux de notification capables de respecter les délais de notification initiale à 4 heures, de rapport intermédiaire à 72 heures et de rapport final à 1 mois
  • 8. Processus de coordination pour les incidents touchant plusieurs filiales relevant d'autorités nationales différentes
  • 9. Processus d'analyse des causes profondes des incidents avec documentation des enseignements tirés

Pilier 3 : tests de résilience

  • 10. Programme de tests annuel couvrant les évaluations de vulnérabilités, les tests de sécurité réseau et les tests fondés sur des scénarios
  • 11. Programme TLPT mis en place (si l'entité est désignée comme importante) avec des testeurs externes qualifiés
  • 12. Suivi de la remédiation pour toutes les conclusions des tests, assorti de délais définis

Pilier 4 : gestion du risque tiers

  • 13. Registre complet de tous les accords avec les prestataires tiers de TIC, y compris les services intragroupe
  • 14. Processus de due diligence précontractuelle pour les nouveaux prestataires TIC couvrant l'évaluation des risques et le risque de concentration
  • 15. Contrats existants revus au regard des clauses obligatoires (droits d'audit, stratégies de sortie, localisation des données, sous-traitance en cascade)
  • 16. Processus de surveillance continue de la performance et de la conformité des prestataires TIC
  • 17. Stratégies de sortie documentées pour tous les accords de services TIC critiques ou importants

Pilier 5 : partage d'informations

  • 18. Évaluation menée à bien sur l'opportunité de participer à des dispositifs de partage de renseignements sur les menaces
  • 19. En cas de participation : contrôles de gouvernance des données en place pour gérer les obligations liées au RGPD et à la confidentialité dans les renseignements partagés
  • 20. Processus interne de diffusion des renseignements pertinents sur les menaces entre les filiales et les unités opérationnelles

Besoin d'aide pour coordonner la conformité DORA à travers plusieurs entités ?

Découvrez comment la gestion du risque fournisseurs à l'échelle du groupe, les flux de gestion des incidents et les dossiers de preuves prêts pour l'audit de Priverion aident les organisations multi-entités à se préparer à DORA sans chaos de tableurs.

Réservez une démonstration de 30 min
FAQ

Questions fréquentes sur DORA

Qu'est-ce que le règlement DORA ?

DORA (Digital Operational Resilience Act) est le règlement (UE) 2022/2554, qui établit des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entités financières et de leurs prestataires tiers de services TIC critiques. Il est pleinement applicable depuis le 17.01.2025, remplaçant une mosaïque de lignes directrices sectorielles par un cadre unique et harmonisé.

Qui doit se conformer à DORA ?

DORA s'applique à la quasi-totalité des entités financières réglementées de l'UE, y compris les banques, les compagnies d'assurance, les entreprises d'investissement, les établissements de paiement et les prestataires de services sur crypto-actifs, ainsi qu'à leurs prestataires tiers de services TIC critiques. La Commission européenne estime que plus de 22'000 entités entrent dans son champ d'application. Le règlement s'applique de manière proportionnée, avec des exigences simplifiées pour les microentreprises, mais la proportionnalité ne signifie pas l'exemption.

Quels sont les 5 piliers de DORA ?

Les cinq piliers sont : (1) le cadre de gestion du risque TIC (articles 5 à 16), (2) la notification et la classification des incidents (articles 17 à 23), (3) les tests de résilience opérationnelle numérique (articles 24 à 27), (4) la gestion du risque lié aux prestataires tiers de TIC (articles 28 à 44) et (5) les dispositifs de partage d'informations (article 45). Chaque pilier comporte des exigences précises à traiter à la fois au niveau de l'entité et du groupe.

Quand DORA est-il entré en vigueur ?

DORA est entré en vigueur le 16.01.2023, avec une période de mise en œuvre de deux ans. Il est pleinement applicable depuis le 17.01.2025, ce qui signifie que les cinq piliers sont désormais opposables dans tous les États membres de l'UE. Les AES (ABE, AEMF, EIOPA) ont élaboré les normes techniques de réglementation et les normes techniques d'exécution tout au long de 2023-2024 afin de fournir des orientations détaillées de mise en œuvre.

Quelles sont les sanctions en cas de non-conformité à DORA ?

DORA habilite les autorités nationales compétentes à imposer des sanctions administratives et des mesures correctives, y compris des astreintes. Pour les prestataires tiers de services TIC critiques relevant du cadre de supervision de l'UE, les sanctions peuvent atteindre jusqu'à 1 % du chiffre d'affaires quotidien moyen mondial pour chaque jour de non-conformité, pendant une durée maximale de six mois. Au-delà des sanctions financières, la non-conformité crée un risque réputationnel et de possibles perturbations contractuelles avec les clients du secteur financier.

Quel est l'impact de DORA sur les prestataires tiers de TIC ?

DORA exige des entités financières qu'elles tiennent des registres de tous les accords d'externalisation TIC, qu'elles mènent une due diligence précontractuelle, qu'elles incluent des clauses contractuelles obligatoires (portant sur les droits d'audit, les stratégies de sortie, la localisation des données et la sous-traitance en cascade) et qu'elles surveillent la performance des prestataires. Les prestataires tiers de services TIC critiques désignés par les AES sont soumis à un nouveau cadre de supervision à l'échelle de l'UE doté de pouvoirs de surveillance directs, un changement majeur par rapport au précédent modèle de surveillance indirecte.

Quel est le lien entre DORA et le RGPD ?

DORA et le RGPD sont des règlements complémentaires. DORA porte sur la résilience opérationnelle TIC des entités financières, tandis que le RGPD couvre la protection des données à caractère personnel. Un incident TIC relevant de DORA impliquant des données à caractère personnel déclenchera également les obligations de notification de violation prévues par le RGPD (notification dans les 72 heures aux autorités de surveillance au titre de l'article 33). Les organisations ont besoin de processus de réponse aux incidents coordonnés qui satisfont les deux cadres réglementaires simultanément, un défi particulièrement épineux pour les groupes multi-entités qui rapportent à plusieurs autorités.

Arrêtez de gérer la conformité en matière de protection des données dans des tableurs. Gérez-la pour de bon.

Un constructeur aéronautique a réduit de 60 % son temps d'administration de la conformité au cours de ses six premiers mois. AXA a atteint 100 % de recertification automatisée du registre des traitements. Medtec a gagné plus de 200 heures dans sa préparation à l'ISO 27001.

En 30 minutes, nous vous montrerons exactement comment fonctionne la gestion de la protection des données à l'échelle du groupe lorsqu'elle est conçue pour les organisations multi-entités, et non greffée après coup. Hébergement suisse. Assistance par IA avec supervision humaine complète. Tarification prévisible, sans pièges par utilisateur.

Réservez une démonstration de 30 minutes

Des semaines, pas des mois

Délai moyen de mise en service

50+ entités

Échelle de groupe éprouvée

100 % hébergé en Suisse

Résidence des données en Europe garantie

Aucun engagement requis. Aucune pression commerciale. Juste un aperçu clair de ce qui est possible.