DORA · Règl. (UE) 2022/2554 · applicable depuis le 2025-01-17

DORA : la résilience se mesure, elle ne se déclare pas.

DORA impose aux entités financières une résilience opérationnelle numérique démontrable : risque ICT gouverné par le conseil, incidents majeurs notifiés en quelques heures, tests guidés par la menace réelle. Une attaque contre le secteur financier n'est pas un événement de bilan : c'est quelqu'un, avec un nom et des TTP connues.

4hNotification initiale
72hRapport intermédiaire
1 moisRapport final
Cadre réglementaire
Règl. (UE) 2022/2554
RTS 2025/301
TIBER-EU
ESAs · EBA · ESMA · EIOPA
Supervision France
ACPR
AMF
Les cinq piliers DORA

Cinq obligations, une exigence implicite : la capacité opérationnelle.

DORA ne demande pas des politiques : il demande de détecter, classifier, notifier, tester et superviser. Chaque pilier présuppose une opération qui fonctionne réellement, 24·7·365.

01 ·

Gestion du risque ICT

Un cadre documenté de gestion du risque ICT approuvé par l'organe de direction : la responsabilité incombe au conseil, pas seulement à l'IT. Cartographie des actifs, protection, détection, réponse et rétablissement.

02 ·

Notification des incidents

Classification des incidents ICT et notification des incidents majeurs au superviseur : 4 heures après la classification, rapport intermédiaire à 72 heures, rapport final sous 1 mois. Modèles harmonisés (RTS 2025/301).

03 ·

Tests de résilience

Un programme de tests proportionné au risque, jusqu'aux TLPT fondés sur TIBER-EU au moins tous les 3 ans pour les entités importantes : des scénarios construits sur les acteurs qui ciblent réellement le secteur.

04 ·

Risque ICT des tiers

Registre des contrats ICT, clauses obligatoires, stratégies de sortie, supervision européenne directe des prestataires critiques. La résilience de votre fournisseur devient une partie de la vôtre.

05 ·

Partage d'informations

Échange volontaire de cyber threat intelligence entre entités financières : IOC, TTP, alertes sectorielles. La défense du secteur est collective ou n'est pas.

Proof · les délais que DORA présuppose

Notifier en 4 heures exige de détecter en minutes.

4h
notification initiale
après classification (≤24h après détection)
<15 min
TTD médian Fortgale
de la télémétrie à l'alerte
<30 min
TTC médian Fortgale
de la détection à l'action de l'analyste
287
groupes adverses et outils
d'attaque suivis par la CTI
Périmètre

Qui est concerné par DORA.

Plus de 20 catégories d'entités financières : banques, entreprises d'investissement, assureurs et réassureurs, établissements de paiement et de monnaie électronique, gestionnaires de fonds, plateformes de négociation, prestataires de services sur crypto-actifs, plus les prestataires ICT critiques désignés. Contrairement à NIS2, DORA est un règlement : identique dans toute l'UE, sans transposition nationale, applicable depuis le 17 janvier 2025.

FAQ

Questions fréquentes sur DORA.

Qui est concerné par le règlement DORA ?

Les entités financières de l'UE : banques, entreprises d'investissement, assureurs, établissements de paiement et de monnaie électronique, gestionnaires de fonds, plateformes de négociation, prestataires crypto, plus les prestataires ICT critiques désignés. En France, la supervision relève de l'ACPR et de l'AMF, avec les ESAs (EBA, ESMA, EIOPA).

Quels sont les délais de notification des incidents ?

Trois étapes (RTS 2025/301) : notification initiale dans les 4 heures suivant la classification comme majeur, au plus tard 24 heures après la détection ; rapport intermédiaire dans les 72 heures ; rapport final sous 1 mois avec analyse complète des causes racines.

DORA remplace-t-il NIS2 pour les banques ?

DORA est lex specialis : sur les obligations qu'il couvre (risque ICT, notification, tests), il prévaut sur NIS2 pour les entités financières. Les fournisseurs non financiers de la chaîne restent dans le périmètre NIS2.

Que sont les TLPT ?

Des tests de pénétration fondés sur la menace, sur le cadre TIBER-EU : des scénarios construits sur les acteurs et les TTP qui ciblent réellement votre secteur. Au moins tous les 3 ans pour les entités importantes. Leur qualité dépend de la threat intelligence qui les alimente.

DORA est-il déjà en vigueur ?

Oui, depuis le 17 janvier 2025, dans tous les États membres et sans transposition nationale. Les normes techniques sur la notification, les tests et les tiers sont opérationnelles.

Par où commencer

Connaître l'adversaire est le premier acte de la défense. L'arrêter à temps est le second.

Un assessment DORA clarifie la distance entre votre capacité opérationnelle et celle que le règlement présuppose. SOC européen basé à Milan depuis 2017, 24·7·365 : réponse sous un jour ouvré.

Délai de réponse : < 1 jour ouvré.