Tout savoir sur la réglementation DORA

Entrée en application le 17 janvier 2025, la réglementation DORA impose à toutes les entités financières et à leurs prestataires TIC de renforcer leur résilience numérique. Ce texte marque un tournant dans la cybersécurité à l’échelle européenne, en créant un socle solide pour tous les États membres. Voici ce que vous devez savoir.

La réglementation DORA (Digital Operational Resilience Act) est un règlement adopté par le Parlement européen le 10 novembre 2022, puis publié dans le Journal officiel de l’UE le 27 décembre de la même année. Elle s’inscrit dans le cadre du paquet finance numérique, et vise à harmoniser et renforcer la résilience numérique des entités financières qui opèrent au sein de l’UE.

La réglementation DORA vise à ce que l’ensemble du secteur financier européen soit capable de maintenir ses activités, même en cas de perturbation numérique majeure. Cela concerne donc tous les acteurs financiers, même les fournisseurs technologiques.

Elle inclut 4 objectifs principaux : 

Renforcer la résilience opérationnelle numérique

DORA impose aux institutions financières de mettre en place des systèmes, des outils et des processus robustes, capables de faire face à tout type de perturbation numérique. Il peut s'agir de panne de système, de cyberattaque, ou encore de défaillance d’un fournisseur cloud par exemple. La résilience ne doit plus être une réaction après avoir repéré un problème, mais bien une capacité de fonctionnement à intégrer au quotidien dans les entreprises.

Harmoniser les règles au niveau européen

Dora établit un socle commun avec des règles et des obligations pour tous les pays de l’UE, afin de garantir plus de cohérence, d’efficacité et de transparence.

Renforcer la surveillance des prestataires technologiques

La réglementation prend en compte l’importance stratégique des fournisseurs de services TIC (cloud, logiciels, data centers…). Ces acteurs peuvent représenter un risque lorsqu’ils connaissent une défaillance alors qu’ils se situent en dehors de l’UE. DORA instaure donc une surveillance directe des prestataires dits “critiques”, avec la possibilité pour les autorités européennes de réaliser des audits et d’appliquer des mesures correctives. 

Améliorer la gestion des incidents informatiques

DORA vise à améliorer la réactivité des acteurs du secteur, ainsi qu’assurer un meilleur suivi collectif des menaces à l’échelle européenne. Pour cela, elle impose aux entreprises de détecter les incidents informatiques, de les documenter et de les notifier aux autorités compétentes dans des délais courts.

La réglementation DORA dispose d’un champ d'application particulièrement large, puisqu’elle concerne aussi bien les acteurs du monde financier que leurs partenaires technologiques.

DORA s’applique directement à plus de 20 types d’entités réglementées qui opèrent dans le secteur financier en UE, telles que : 

• Les établissements de crédit (banques commerciales, banques en ligne)
• Les entreprises d’investissement
• Les sociétés de gestion de portefeuille
• Les établissements de paiement et de monnaie électronique
• Les organismes d’assurance et de réassurance
• Les chambres de compensation
• Les prestataires de services d’échange de crypto-actifs (dans le cadre du règlement MiCA)
• Les intermédiaires financiers et certains conseillers en investissement

Si une entreprise fournit une technologie essentielle au bon fonctionnement d’un acteur financier, elle entre dans le champ d’application de DORA, même si elle ne relève pas du système financier lui-même. De ce fait, les fournisseurs suivants sont soumis à la réglementation : 

• Les fournisseurs de services cloud (IaaS, PaaS, SaaS)
• Les hébergeurs de données sensibles
• Les éditeurs de logiciels critiques, notamment ceux liés à la cybersécurité, aux paiements ou à la gestion des risques
• Les prestataires de services de signature électronique ou d’identité numérique
• Les services de traitement des données ou de sauvegarde externalisée

La gestion des risques liés aux technologies de l’information et de la communication (TIC) est un pilier central de la réglementation. Elle impose aux entités financières de mettre en place un cadre organisationnel et technique complet, afin de prévenir les perturbations numériques. Ce cadre doit permettre de détecter rapidement les risques et d’assurer la continuité des services.

Cela signifie que les dirigeants ne peuvent plus déléguer la sécurité informatique à un tiers sans assurer de suivi. Ils doivent élaborer et piloter une réelle stratégie, qui répond à trois critères : 

• Être alignée sur les objectifs de l’entreprise
• Être régulièrement mise à jour
• Être intégrée dans le dispositif global de gestion des risques, tout comme les risques financiers ou opérationnels.

Pour gérer correctement les risques liés aux TIC, les entreprises doivent cartographier l’environnement technologique dans lequel elles évoluent. C’est-à-dire les systèmes d’information (logiciels, bases de données, interfaces…), les ressources humaines, ou encore les prestataires de services TIC. Elles doivent également définir une politique formelle de sécurité de l‘information, avec des mesures de protection contre les cyberattaques, ou encore des procédures de détection et de gestion des vulnérabilités.

La gestion

Le règlement DORA impose un renforcement des prises en charge en cas d’incident de cybersécurité. Il s’agit de renforcer la sécurité en adoptant une approche plus structurée et réactive, afin de faire rapidement face aux problèmes et de les résoudre dans les plus brefs délais. Pour cela, les entités concernées doivent mettre en place un système efficace de gestion des incidents TIC, comportant : 

• Un mécanisme de détection des anomalies et des pannes en temps réel (outils de supervision, monitoring, alertes automatiques…)
• Un registre des incidents détaillant leur origine, nature, durée, portée et impact sur les opérations
• Une procédure de suivi et d’analyse post-incident, pour tirer des enseignements de sa gestion (retour d’expérience, axe d’amélioration)

La classification

Tous les incidents ne se valent pas. C’est la raison pour laquelle les entreprises doivent les classer selon plusieurs critères, afin de déterminer leur degré de gravité : 

• Le nombre de clients affectés
• La durée de l’interruption
• L’impact financier
• La perte de données sensibles ou confidentielles
• Le niveau de dépendance à des tiers

Les notifications

Les entreprises doivent transmettre un rapport initial sous 24h suivant la détection d’un incident. Elles doivent également envoyer un rapport intermédiaire avec des informations complémentaires, puis un rapport final détaillé dans un délai maximal fixé par l’autorité nationale. Ces documents permettent aux autorités compétentes de détecter les menaces systémiques et de coordonner les réponses à l’échelle européenne.

DORA impose aux entreprises de tester correctement leur capacité à résister à des incidents informatiques. Ces tests doivent être réguliers, documentés et adaptés en fonction des types de risques. Conformément à l’article 21, elles doivent créer un programme de tests de résilience opérationnelle numérique qui inclut : 

• Des tests de base : scans de vulnérabilités, simulations d’incidents, tests de sauvegarde…
• Des tests avancés : analyse de scénarios critiques, interruption simulée de prestataire TIC…)
• Une fréquence régulière adaptée à la critique des systèmes et aux évolutions technologiques

Pour les entités financières identifiées comme “significatives” ou “critiques”, les tests avancés doivent se faire tous les 3 ans. Il s’agit de simulations d’attaques, afin d’identifier les failles et d’évaluer la capacité de détection, de réponse et de récupération de l’organisation. Les testeurs doivent être indépendants, certifiés, et agir selon les normes techniques d’exécution (RTS) établies par l’EBA, l’ESMA et l’EIOPA.

Enfin, chaque test doit être documenté, et les résultats analysés. C’est grâce à ces analyses que des mesures d’amélioration concrètes peuvent être mises en place.

DORA détaille tous les principes que les entités concernées doivent suivre pour gérer efficacement les risques liés aux tiers (prestataires TIC). Tout d’abord, il est indispensable de cartographier les dépendances numériques critiques. C'est-à-dire les fonctions critiques ou importantes que les entreprises confient à des prestataires. Pour se faire, il est important de : 

• Recenser tous les contrats TIC actifs
• Évaluer l’impact potentiel de chaque prestataire sur les opérations
• Hiérarchiser les fournisseurs selon leur rôle dans la continuité de l’activité

La réglementation impose également des clauses obligatoires à inclure sur les contrats, concernant notamment : 

• Les niveaux de services et les modalités de résiliation
• La sécurité des données et des systèmes
• Le droit d’audit de l’entreprise et des autorités de supervision
• Les obligations de notification en cas d'incident
• La localisation des données

DORA supervise aussi les prestataires TIC critiques, afin de contrôler leur conformité. Par exemple, un fournisseur cloud qui héberge plusieurs institutions financières pourrait être désigné comme “critique” et être soumis à des audits et des obligations de reporting.

Enfin, le règlement impose aux entités d’assurer un suivi continu et régulier de leurs prestataires.

DORA permet aux entités de partager les informations sur les menaces informatiques. Cela permet de rompre l’isolement et de gérer efficacement les problèmes de cyberattaques de façon collective au niveau européen. Elles peuvent donc partager leurs données à propos des : 

• Techniques de phishing observées
• Cyberattaques subies
• Failles nouvellement découvertes
• Réponses techniques efficaces

Ce partage doit être structuré, sécurisé et juridiquement encadré, surtout vis-à-vis des règles de concurrence et du RGPD.

DORA marque un changement paradigmatique en imposant une approche unifiée à l’échelle européenne. Elle permet de : 

Créer un modèle plus efficace et résilient

En obligeant les entités à prendre les mesures nécessaires pour continuer de fonctionner en cas de cyberattaques, de panne ou d’incident majeur, la réglementation renforce la stabilité du système financier européen.

Apporter une réponse coordonnée aux menaces transfrontalières

Les attaques informatiques ne s’arrêtent pas aux frontières des pays. DORA permet donc de créer un cadre harmonisé dans tous les États membres, et de renforcer la collaboration entre eux. Il s’agit d’une réponse européenne à un problème mondial.

Intégrer les prestataires TIC dans le périmètre réglementaire

Les fournisseurs technologiques critiques entrent désormais dans le périmètre d’action. Il s’agit d’une avancée majeure mise en place par DORA, car elle permet de mettre fin à la zone grise réglementaire, en intégrant enfin les chaînes de sous-traitances technologiques dans la gestion des risques.

Standardiser les pratiques de cybersécurité

DORA agit comme un socle commun de bonnes pratiques, à travers des obligations concrètes et mesurables. Elle fournit une marche à suivre précise, plutôt que de simples recommandations.

Dans le cadre de DORA, les entreprises doivent démontrer la sécurité, la traçabilité et la fiabilité de leurs flux documentaires critiques. Avec sa solution de signature électronique conforme au règlement eIDAS, ses preuves cryptographiques et son infrastructure d’hébergement en Europe, Yousign répond aux exigences de :

• Traçabilité des décisions et validation formelle des politiques de sécurité
• Sécurisation des contrats avec les prestataires TIC
• Archivage des registres d’incidents, ou des audits
• Respect des exigences européennes de souveraineté numérique

Yousign accompagne déjà de nombreuses institutions financières dans la mise en conformité réglementaire, avec des solutions intégrables, auditables et évolutives.

À l’heure où la réglementation est déjà entrée en vigueur, la priorité n’est plus de s’informer, mais de prouver sa conformité. Les entreprises et les entités financières doivent disposer d’une gouvernance claire, d’une documentation à jour, de procédures testées et d’outils fiables. Parmi ces outils, des solutions comme Yousign assurent la traçabilité des signatures, l’authenticité des documents, l’identification des signataires, et l’archivage sécurisé des contrats.