DORA (Digital Operational Resilience Act)
Règlement UE 2022/2554 rendant la résilience opérationnelle numérique — facteur humain compris — directement contraignante pour les entités financières depuis le 17 janvier 2025.
Le Digital Operational Resilience Act (DORA) est le règlement (UE) 2022/2554, texte européen d’application directe encadrant la résilience opérationnelle numérique du secteur financier. Il s’applique depuis le 17 janvier 2025 à environ 22 000 entités — banques, établissements de paiement, assureurs, entreprises d’investissement, prestataires crypto-actifs, plateformes de négociation — et aux tiers TIC dont elles dépendent.
Contrairement à une directive, DORA n’a pas besoin de transposition : ses articles s’imposent identiquement à toutes les entités concernées dans l’UE. Le règlement repose sur cinq piliers : gestion du risque TIC, déclaration des incidents, tests de résilience opérationnelle, gestion du risque tiers TIC, partage d’informations.
- Articles 5 à 15 exigent un cadre documenté de gestion du risque TIC, approuvé et revu par l’organe de direction.
- Article 13 impose des programmes de formation et de sensibilisation TIC, y compris sur les menaces de cybersécurité, pour le personnel et les dirigeants — étendus aux prestataires tiers le cas échéant.
- Articles 17 à 23 organisent la classification et la notification des incidents TIC majeurs dans des délais stricts.
- Articles 24 à 27 introduisent des tests avancés de résilience, dont des tests d’intrusion guidés par la menace (TLPT) tous les trois ans pour les entités significatives.
- Articles 28 à 44 encadrent le risque tiers TIC, avec un cadre de supervision européen pour les prestataires tiers critiques.
Pour les équipes RSSI du secteur financier, la conséquence concrète est que le facteur humain — phishing d’identifiants, ingénierie sociale des équipes paiement, manipulation imprudente de données client — entre dans l’audit de résilience opérationnelle au lieu d’en rester en marge. Le texte attend une formation et une sensibilisation continues et adaptées au rôle, pas une attestation ponctuelle, et les superviseurs cherchent la preuve comportementale d’une adoption réelle des bons réflexes.
DORA cohabite avec NIS2 (qui réserve explicitement le cas des entités financières là où DORA s’applique comme lex specialis) et avec le RGPD article 32. Les autorités européennes de surveillance (ABE, EIOPA, AEMF) publient ensemble les normes techniques qui précisent chaque article ; les entités françaises suivent en complément les guides de l’ANSSI pour la mise en œuvre technique.
Termes liés
- NIS2Directive UE 2022/2555 qui élève les obligations cyber des entités essentielles et importantes, avec contrôles comportementaux et formation désormais auditables.
- ANSSI (Agence nationale de la sécurité des systèmes d'information)Autorité nationale française de cybersécurité — publie les guides, certifications (SecNumCloud, CSPN) et posture de réponse à incident sur lesquels les organisations s'alignent.
- RGPD article 32Article du RGPD qui impose aux responsables et sous-traitants des mesures techniques et organisationnelles appropriées — lu de plus en plus comme incluant les contrôles comportementaux.
- Preuve comportementaleArtefact d'audit attestant qu'un comportement risqué a été détecté, qu'un nudge a été envoyé et que le comportement a été corrigé — de plus en plus demandé à la place d'un certificat de complétion.