Les exigences clés du règlement DORA

Le règlement (UE) 2022/2554, dit DORA, applicable depuis le 17 janvier 2025, ne se contente pas de poser des principes : il fixe des exigences transversales que toute entité financière concernée doit traduire en dispositifs concrets. Cet article adopte le point de vue de la mise en oeuvre, autrement dit « ce que je dois mettre en place », plutôt que la lecture par piliers.

Les exigences ci-dessous se recoupent et se renforcent. Elles décrivent moins une liste de cases à cocher qu'un dispositif d'ensemble, gouverné par la direction et opposable à un superviseur. Voici les grandes obligations à organiser.

Gouverner le risque lié aux TIC

La première exigence est un cadre de gouvernance et de contrôle interne du risque lié aux technologies de l'information et de la communication. Concrètement, l'entité doit identifier, cartographier et surveiller en continu ses fonctions et actifs critiques ou importants, conduire des évaluations périodiques des risques, et tenir des plans de continuité d'activité et de reprise après incident, testés et actualisés. Le règlement situe la responsabilité au niveau de l'organe de direction : la gestion du risque TIC n'est pas un sujet purement technique délégué à l'informatique, mais une obligation de gouvernance.

Détecter, classifier et notifier les incidents majeurs

DORA impose de détecter, documenter et classifier les incidents liés aux TIC selon leur gravité, sur la base des critères fixés par le règlement. Les incidents qualifiés de majeurs doivent être notifiés aux autorités compétentes dans les délais imposés. La mise en place attendue va au-delà d'une procédure de crise : il faut un processus de détection, une grille de classification cohérente avec les critères du texte, et une chaîne de remontée capable de produire les notifications requises. L'enjeu opérationnel est de prouver, à froid comme en situation, que ce dispositif fonctionne.

Tester la résilience opérationnelle numérique

Le règlement exige des tests réguliers du dispositif TIC. Pour certaines entités, présentant une importance pour la stabilité financière, il prévoit en outre des tests de pénétration fondés sur la menace (TLPT, pour Threat-Led Penetration Testing). La liste des entités soumises au TLPT n'est pas publique : l'autorité compétente contacte bilatéralement les entités concernées. En pratique, l'exigence à mettre en place est un programme de tests planifié, documenté et suivi d'effets, dont les résultats nourrissent l'amélioration du cadre de gestion du risque.

Encadrer les prestataires tiers de services TIC

DORA traite le risque lié aux prestataires tiers comme une partie intégrante du risque TIC. Cela se traduit par plusieurs obligations concrètes : des clauses contractuelles obligatoires dans les contrats conclus avec les prestataires de services TIC, une évaluation de leur criticité, et une vigilance sur les fonctions externalisées critiques ou importantes. Réviser les contrats existants pour y intégrer les clauses requises est souvent l'un des chantiers les plus lourds, car il dépend d'interlocuteurs externes et de cycles de négociation qui ne se compriment pas facilement.

Tenir le registre d'information

Exigence directement liée à la précédente, l'entité doit tenir un registre d'information (RoI, pour Register of Information) à jour de ses accords contractuels conclus avec les prestataires de services TIC. Ce registre est communiqué à l'autorité compétente au moins une fois par an. Sa tenue suppose en amont un inventaire fiable des contrats et des prestataires, une qualification de leur criticité, et un processus de mise à jour. C'est un livrable concret, attendu et vérifiable, qui matérialise la maîtrise de la chaîne de sous-traitance TIC.

Participer au partage d'informations

Dernière exigence, de nature différente car reposant sur le volontariat : DORA encourage le partage d'informations et de renseignements sur les cybermenaces entre entités financières. Il ne s'agit pas d'une obligation déclarative supplémentaire, mais d'une faculté que l'entité peut organiser pour élever son niveau de défense et celui de son secteur. La mettre en place revient à définir un cadre de confiance et des règles d'échange, sans créer de risque juridique nouveau.

Des exigences à un programme priorisé

Prises ensemble, ces obligations recoupent les cinq piliers du règlement, mais elles se lisent ici comme une feuille de route opérationnelle : gouverner, détecter et notifier, tester, contractualiser, inventorier, coopérer. La difficulté n'est pas de les énumérer mais de les séquencer en jalons priorisés, alignés sur le périmètre réel de l'entité et sur les attentes de l'ACPR et de l'AMF, autorités compétentes en France. C'est précisément le rôle d'une démarche de conformité au règlement DORA structurée, qui part de l'écart constaté et produit des preuves opposables plutôt qu'un dossier de façade. Ce site informe et outille la mise en place de ces exigences ; il ne remplace pas un avis juridique sur une situation précise.

Poursuivre la lecture

Poursuivre la lecture