DORA — Diagnostic et Mise en Conformité

Le règlement DORA est applicable depuis le 17 janvier 2025. Diagnostic d'écart, gestion des risques TIC, tests de résilience (TLPT), gouvernance et reporting d'incidents.

Découvrir la méthodologie

17 janvier 2025

Date d'application

Secteur financier

Banques, assurances, fintechs

5 piliers

Risques TIC, incidents, tests, tiers, partage

Pourquoi DORA est-il critique pour votre entreprise ?

Le Digital Operational Resilience Act (UE 2022/2554) impose un cadre harmonisé de résilience opérationnelle aux acteurs financiers et à leurs prestataires TIC critiques.

Sanction maximum du CA mondial

L'ACPR et l'AMF peuvent infliger des sanctions financières lourdes en cas de non-conformité avérée.

22 000+

Entités concernées en Europe

Banques, sociétés d'investissement, assureurs, infrastructures de marché, et leurs prestataires TIC critiques.

5 piliers

Exigences DORA structurantes

Gestion des risques TIC, gestion des incidents, tests TLPT, risque tiers, partage de l'information.

Notre méthodologie de diagnostic DORA

Une démarche structurée en 4 phases pour identifier vos écarts de conformité et bâtir un plan pragmatique.

Cartographie initiale et périmètre

Identification des systèmes TIC critiques, fonctions essentielles, prestataires tiers. Mapping vs RTS/ITS.

• Inventaire des fonctions critiques et importantes
• Cartographie des actifs TIC et dépendances
• Recensement des prestataires TIC critiques (Article 28)

Analyse des écarts (gap analysis)

Évaluation maturité sur les 5 piliers DORA via 250+ contrôles structurants.

• Score de conformité par pilier (0-5)
• Identification des écarts critiques vs souhaitables
• Estimation budgétaire et calendrier

Plan de remise en conformité

Feuille de route prioritée avec modèles de procédures, plan de tests TLPT, dispositif de classification des incidents.

• Modèles de politiques et procédures (15+ documents)
• Plan de tests de résilience (TLPT cadre TIBER-EU)
• Dispositif de notification d'incidents (24h/72h/1 mois)

Accompagnement opérationnel et tests TLPT

Mise en oeuvre des actions, exécution des TLPT trisannuels pour les entités significatives, suivi des recommandations.

• Conduite TLPT selon TIBER-EU
• Reporting d'incidents majeurs (24h/72h/1 mois)
• Audits annuels et formation des équipes

Les 5 piliers DORA décryptés

Toutes les exigences réglementaires structurantes à maîtriser.

Pilier 1 — Gestion des risques TIC

Cadre de gouvernance, politiques de sécurité, gestion des actifs, contrôles d'accès, chiffrement, sauvegardes et plan de continuité.

Articles 5-16 · RTS sur la gestion des risques TIC

Pilier 2 — Gestion des incidents TIC

Classification des incidents, processus de remontée (interne et autorités compétentes), notifications à 24h/72h/1 mois.

Articles 17-23 · ITS sur les notifications d'incidents

Pilier 3 — Tests de résilience opérationnelle

Tests annuels (vulnérabilités, scans, pénétration, sources libres) et TLPT trisannuels pour les entités significatives.

Articles 24-27 · RTS TLPT cadre TIBER-EU

Pilier 4 — Gestion du risque tiers TIC

Registre des contrats TIC, due diligence des prestataires critiques, clauses contractuelles obligatoires, supervision européenne.

Articles 28-44 · RTS sur les contrats TIC

Pilier 5 — Partage de l'information

Mécanismes volontaires de partage d'informations sur les cybermenaces entre entités financières (cyber threat intelligence sharing).

Article 45 · Encouragement au partage en réseaux de confiance

Êtes-vous concerné par DORA ?

Un large spectre d'acteurs financiers et de prestataires TIC.

✓Établissements de crédit (banques, banques en ligne)

✓Sociétés d'investissement et de gestion d'actifs

✓Entreprises d'assurance et de réassurance

✓Fournisseurs de services de paiement et de monnaie électronique

✓Plateformes de négociation et chambres de compensation

✓Fournisseurs de crypto-actifs (CASP, MiCA)

✓Fintechs et néobanques agréées

✓Prestataires TIC critiques (cloud, MSP, éditeurs SaaS)

Questions fréquentes sur DORA

Combien coûte un diagnostic DORA ?↓

Diagnostic DORA d'une PME financière à partir de 8 000€ HT (8-10 j/h). Pour banque ou assureur de taille moyenne, comptez 20 000 à 50 000€ HT incluant ateliers, analyse documentaire, entretiens et rapport. Devis personnalisé.

Quelle est la différence entre DORA et NIS2 ?↓

DORA est lex specialis pour le secteur financier (banques, assurances, fintechs) tandis que NIS2 couvre 18 secteurs essentiels (énergie, santé, transports). Une banque est soumise à DORA et non à NIS2. DORA va plus loin sur les TLPT et la gestion des tiers.

Que sont les TLPT (Threat-Led Penetration Tests) ?↓

Les TLPT sont des tests d'intrusion avancés simulant des scénarios réalistes d'attaquants (APT, ransomware, supply chain) selon le cadre TIBER-EU. Obligatoires tous les 3 ans pour les entités significatives, conduits par un Red Team certifié et supervisés par un Threat Intelligence provider.

Quelles sanctions en cas de non-conformité ?↓

L'ACPR et l'AMF peuvent infliger des sanctions allant jusqu'à 1% du CA mondial de l'exercice précédent. Pour les prestataires TIC critiques, la Commission européenne peut imposer des astreintes journalières.

Combien de temps pour se mettre en conformité DORA ?↓

Pour une entité partant d'un socle ISO 27001 ou CRBF 97-02, comptez 3 à 6 mois pour le diagnostic + plan d'action et 12 à 18 mois pour la remise en conformité complète (incluant le premier TLPT). Sans socle pré-existant, 18-24 mois.

Mon prestataire cloud est-il soumis à DORA ?↓

S'il fournit un service TIC critique (hébergement, paiements, KYC, etc.), il sera potentiellement désigné comme prestataire TIC critique au sens de DORA, soumis à la supervision directe des autorités européennes. Vos contrats doivent être actualisés avec les clauses de l'article 30.

Prêt à lancer votre diagnostic DORA ?

Premier échange téléphonique de cadrage offert · Devis sous 48h · Intervention en France et Europe

Nous contacter