Qu'est-ce que DORA ?
Le Digital Operational Resilience Act (DORA) est entré en vigueur le 17 janvier 2025, établissant la refonte réglementaire la plus importante de l'infrastructure technologique financière depuis une décennie. Ce règlement de l'UE crée un cadre unifié pour la gestion des risques TIC dans l'ensemble du secteur financier.
DORA comble une lacune critique : alors que les réglementations précédentes se concentraient sur l'adéquation des fonds propres et la stabilité financière, elles ne prenaient pas suffisamment en compte la dépendance croissante à l'infrastructure numérique. Avec 65 % des institutions financières signalant des attaques par rançongiciel en 2024 et des violations de données coûtant en moyenne 5,9 millions de dollars par incident, le moment est critique.
DORA en chiffres
La portée du règlement est étendue, couvrant pratiquement l'ensemble de l'écosystème financier de l'UE :
Délai pour notifier les autorités des incidents majeurs
EUR-Lex DORA RegulationDu chiffre d'affaires annuel mondial en cas de non-conformité
EUR-Lex DORA RegulationDORA couvre les banques, les compagnies d'assurance, les entreprises d'investissement, les établissements de paiement, les prestataires de services sur crypto-actifs, les plateformes de négociation et leurs prestataires tiers de services TIC critiques. Selon l'EIOPA, cela inclut des entités qui n'étaient pas auparavant soumises à une réglementation étendue en matière de sécurité TIC.
Les cinq piliers de DORA
DORA établit cinq domaines clés que les entités financières doivent aborder pour atteindre la conformité :
Gestion des risques TIC
Cadre complet pour identifier, protéger contre, détecter, répondre et se remettre des risques TIC. L'organe de direction assume la responsabilité ultime.
Signalement des incidents
Classification et signalement standardisés des incidents majeurs liés aux TIC. Notification initiale dans les 4 heures, rapport intermédiaire dans les 72 heures, rapport final dans un délai d'un mois.
Tests de résilience
Tests réguliers incluant des évaluations de vulnérabilité et des tests de pénétration basés sur les menaces (TLPT) pour les entités importantes tous les 3 ans.
Risque tiers
Gestion et supervision des fournisseurs TIC, y compris la tenue d'un registre d'informations (RoI) à soumettre aux AES avant le 30 avril 2025.
Calendrier de signalement des incidents
Les exigences de signalement des incidents de DORA sont parmi ses aspects les plus exigeants sur le plan opérationnel. Les délais sont alignés sur la directive NIS2 :
Détection (T+0)
Incident détecté par les systèmes de surveillance. Le processus de classification commence immédiatement.
Notification initiale (4-24 heures)
Premier rapport dans les 4 heures après la classification ou 24 heures après la détection, selon la première éventualité.
Rapport intermédiaire (72 heures)
Rapport détaillé sur la portée de l'incident, l'évaluation de l'impact et les mesures de remédiation initiales.
Rapport final (1 mois)
Analyse complète incluant la cause première, l'impact total et les mesures préventives mises en œuvre.
Les entités financières font face à des amendes pouvant aller jusqu'à 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros. Les prestataires tiers critiques peuvent être condamnés à une amende pouvant aller jusqu'à 1 % du chiffre d'affaires mondial quotidien moyen par jour, pendant une durée maximale de six mois. Les dirigeants individuels peuvent faire face à des sanctions pouvant aller jusqu'à 1 million d'euros. Les autorités peuvent également divulguer publiquement les violations, causant des dommages réputationnels importants.
Le rôle de l'architecture périphérique
L'infrastructure de sécurité périphérique joue un rôle critique dans la conformité DORA. En tant que première ligne de défense, les plateformes périphériques gèrent le trafic, l'application de la sécurité et la disponibilité, tous des domaines directement abordés par les exigences DORA.
Une couche périphérique bien architecturée fournit la visibilité, le contrôle et les capacités de résilience qui constituent le fondement de la résilience opérationnelle. De manière critique, elle permet la surveillance en temps réel et la journalisation nécessaires pour respecter les délais de signalement des incidents agressifs de DORA.
Exigences DORA et capacités périphériques
| Exigence DORA | Capacité périphérique | Mise en œuvre |
|---|---|---|
| Détecter les activités anormales (Art. 10) | WAF + Analytique en temps réel | Analyse du trafic, détection des menaces, surveillance comportementale |
| Assurer la continuité du service (Art. 11) | Équilibreur de charge + GTM | Haute disponibilité, basculement automatique, redondance géographique |
| Mécanismes de contrôle d'accès (Art. 9) | Passerelle d'accès (AGS) | MFA, SSO, accès conditionnel, gestion de session |
| Détection et journalisation des incidents (Art. 17) | Journalisation centralisée | Alertes en temps réel, pistes d'audit, intégration SIEM |
| Tests de résilience (Art. 24-27) | Surveillance de l'état | Contrôles de santé automatisés, surveillance synthétique, tests de basculement |
Gestion des risques tiers
DORA accorde une importance considérable à la gestion des risques tiers liés aux TIC. D'ici le 30 avril 2025, les entités financières doivent soumettre leur registre d'informations (RoI) documentant toutes les relations avec les prestataires de services TIC aux Autorités européennes de surveillance.
Les AES ont déjà désigné des prestataires tiers de services TIC critiques (CTPP) qui font l'objet d'une supervision directe. Lors de la sélection de fournisseurs de sécurité périphérique, assurez-vous qu'ils peuvent fournir : des SLA détaillés avec des engagements de disponibilité, des certifications de sécurité (ISO 27001, SOC 2), des procédures de notification d'incidents, des droits d'audit et des dispositions de stratégie de sortie.
Selon une enquête de PwC, 70 % des entreprises financières ont exprimé des inquiétudes quant au respect des exigences DORA dans les délais. Les estimations du secteur suggèrent que les coûts de conformité pourraient atteindre en moyenne 181 milliards de dollars par an dans l'ensemble du secteur. L'investissement est important mais justifié : l'ENISA rapporte que la finance est le troisième secteur le plus ciblé, représentant 9 % des incidents cyber observés.
Meilleures pratiques de mise en œuvre
Sur la base des orientations de l'Autorité bancaire européenne et de l'expérience du secteur :
Commencer par l'inventaire des actifs
Documenter tous les actifs TIC, leur criticité et leurs dépendances. DORA exige de comprendre l'ensemble du paysage TIC soutenant les fonctions commerciales.
Centraliser la surveillance
Une visibilité unifiée sur tous les flux de trafic est essentielle pour respecter les délais de signalement de 4 heures. Envisagez des plateformes intégrées qui consolident la sécurité et la livraison.
Automatiser autant que possible
Les processus manuels ne peuvent pas respecter les délais de DORA. Automatiser les flux de travail de détection, classification et notification initiale des incidents.
Tester votre réponse
Effectuer des exercices de simulation pour les scénarios d'incidents. Vérifier que votre équipe peut classifier, signaler et répondre dans les délais requis.
Tout documenter
DORA exige des preuves de conformité. Maintenir des journaux, des politiques et des dossiers de tests complets pour l'examen réglementaire.
Questions fréquemment posées
Oui, si elles fournissent des services TIC critiques à des entités financières de l'UE. DORA peut exiger des prestataires tiers critiques non européens qu'ils établissent des filiales dans l'UE pour relever de la supervision réglementaire.
DORA est une législation sectorielle spécifique aux services financiers, tandis que NIS2 est plus large. Les délais de signalement des incidents de DORA sont alignés sur NIS2. Les entités financières suivent principalement DORA, mais peuvent également avoir des obligations NIS2 pour certaines activités.
Le TLPT est un test avancé de type red team requis pour les entités financières importantes tous les 3 ans. Il simule des scénarios d'attaque réalistes basés sur les renseignements actuels sur les menaces, allant au-delà des tests de pénétration standard.
Les entités financières doivent avoir leur registre d'informations documentant les relations avec les tiers TIC prêt pour soumission aux autorités compétentes. Les AES s'attendent à collecter ces registres d'ici le 30 avril 2025.
Infrastructure conforme à DORA
La plateforme unifiée de TR7 fournit la visibilité, le contrôle et les capacités de résilience requis pour la conformité DORA. WAF, gestion des accès, haute disponibilité et journalisation complète, le tout depuis une plateforme unique avec surveillance centralisée.
Explorer les solutions pour les services financiers