DORA — Diagnostic et Mise en Conformité
Le règlement DORA est applicable depuis le 17 janvier 2025. Diagnostic d'écart, gestion des risques TIC, tests de résilience (TLPT), gouvernance et reporting d'incidents.
Pourquoi DORA est-il critique pour votre entreprise ?
Le Digital Operational Resilience Act (UE 2022/2554) impose un cadre harmonisé de résilience opérationnelle aux acteurs financiers et à leurs prestataires TIC critiques.
L'ACPR et l'AMF peuvent infliger des sanctions financières lourdes en cas de non-conformité avérée.
Banques, sociétés d'investissement, assureurs, infrastructures de marché, et leurs prestataires TIC critiques.
Gestion des risques TIC, gestion des incidents, tests TLPT, risque tiers, partage de l'information.
Notre méthodologie de diagnostic DORA
Une démarche structurée en 4 phases pour identifier vos écarts de conformité et bâtir un plan pragmatique.
Cartographie initiale et périmètre
Identification des systèmes TIC critiques, fonctions essentielles, prestataires tiers. Mapping vs RTS/ITS.
- • Inventaire des fonctions critiques et importantes
- • Cartographie des actifs TIC et dépendances
- • Recensement des prestataires TIC critiques (Article 28)
Analyse des écarts (gap analysis)
Évaluation maturité sur les 5 piliers DORA via 250+ contrôles structurants.
- • Score de conformité par pilier (0-5)
- • Identification des écarts critiques vs souhaitables
- • Estimation budgétaire et calendrier
Plan de remise en conformité
Feuille de route prioritée avec modèles de procédures, plan de tests TLPT, dispositif de classification des incidents.
- • Modèles de politiques et procédures (15+ documents)
- • Plan de tests de résilience (TLPT cadre TIBER-EU)
- • Dispositif de notification d'incidents (24h/72h/1 mois)
Accompagnement opérationnel et tests TLPT
Mise en oeuvre des actions, exécution des TLPT trisannuels pour les entités significatives, suivi des recommandations.
- • Conduite TLPT selon TIBER-EU
- • Reporting d'incidents majeurs (24h/72h/1 mois)
- • Audits annuels et formation des équipes
Les 5 piliers DORA décryptés
Toutes les exigences réglementaires structurantes à maîtriser.
Pilier 1 — Gestion des risques TIC
Cadre de gouvernance, politiques de sécurité, gestion des actifs, contrôles d'accès, chiffrement, sauvegardes et plan de continuité.
Articles 5-16 · RTS sur la gestion des risques TIC
Pilier 2 — Gestion des incidents TIC
Classification des incidents, processus de remontée (interne et autorités compétentes), notifications à 24h/72h/1 mois.
Articles 17-23 · ITS sur les notifications d'incidents
Pilier 3 — Tests de résilience opérationnelle
Tests annuels (vulnérabilités, scans, pénétration, sources libres) et TLPT trisannuels pour les entités significatives.
Articles 24-27 · RTS TLPT cadre TIBER-EU
Pilier 4 — Gestion du risque tiers TIC
Registre des contrats TIC, due diligence des prestataires critiques, clauses contractuelles obligatoires, supervision européenne.
Articles 28-44 · RTS sur les contrats TIC
Pilier 5 — Partage de l'information
Mécanismes volontaires de partage d'informations sur les cybermenaces entre entités financières (cyber threat intelligence sharing).
Article 45 · Encouragement au partage en réseaux de confiance
Êtes-vous concerné par DORA ?
Un large spectre d'acteurs financiers et de prestataires TIC.
Questions fréquentes sur DORA
Combien coûte un diagnostic DORA ?↓
Diagnostic DORA d'une PME financière à partir de 8 000€ HT (8-10 j/h). Pour banque ou assureur de taille moyenne, comptez 20 000 à 50 000€ HT incluant ateliers, analyse documentaire, entretiens et rapport. Devis personnalisé.
Quelle est la différence entre DORA et NIS2 ?↓
DORA est lex specialis pour le secteur financier (banques, assurances, fintechs) tandis que NIS2 couvre 18 secteurs essentiels (énergie, santé, transports). Une banque est soumise à DORA et non à NIS2. DORA va plus loin sur les TLPT et la gestion des tiers.
Que sont les TLPT (Threat-Led Penetration Tests) ?↓
Les TLPT sont des tests d'intrusion avancés simulant des scénarios réalistes d'attaquants (APT, ransomware, supply chain) selon le cadre TIBER-EU. Obligatoires tous les 3 ans pour les entités significatives, conduits par un Red Team certifié et supervisés par un Threat Intelligence provider.
Quelles sanctions en cas de non-conformité ?↓
L'ACPR et l'AMF peuvent infliger des sanctions allant jusqu'à 1% du CA mondial de l'exercice précédent. Pour les prestataires TIC critiques, la Commission européenne peut imposer des astreintes journalières.
Combien de temps pour se mettre en conformité DORA ?↓
Pour une entité partant d'un socle ISO 27001 ou CRBF 97-02, comptez 3 à 6 mois pour le diagnostic + plan d'action et 12 à 18 mois pour la remise en conformité complète (incluant le premier TLPT). Sans socle pré-existant, 18-24 mois.
Mon prestataire cloud est-il soumis à DORA ?↓
S'il fournit un service TIC critique (hébergement, paiements, KYC, etc.), il sera potentiellement désigné comme prestataire TIC critique au sens de DORA, soumis à la supervision directe des autorités européennes. Vos contrats doivent être actualisés avec les clauses de l'article 30.
Prêt à lancer votre diagnostic DORA ?
Premier échange téléphonique de cadrage offert · Devis sous 48h · Intervention en France et Europe
Discutons de votre projet Conformité DORA
Échange découverte gratuit de 30 minutes. Devis personnalisé sous 24h ouvrées. Aucun engagement, aucune obligation.