Les 5 piliers du règlement DORA

Le règlement (UE) 2022/2554, dit DORA, organise la résilience opérationnelle numérique du secteur financier autour de cinq piliers. Comprendre ces cinq blocs, c'est comprendre l'essentiel de ce que le texte attend d'une entité financière et de ses prestataires de services TIC.

Les piliers ne sont pas des chapitres indépendants : ils décrivent une même chaîne, de la gouvernance du risque jusqu'au partage d'informations entre pairs. Voici ce que recouvre chacun, tel que le formule le règlement.

1. Gestion du risque lié aux TIC

Premier pilier et socle de tous les autres : l'entité doit mettre en place un cadre de gouvernance et de contrôle interne du risque lié aux technologies de l'information et de la communication. Cela suppose d'identifier, de cartographier et de surveiller en continu les fonctions et actifs critiques ou importants, de conduire des évaluations périodiques des risques, et de tenir des plans de continuité d'activité et de reprise après incident, testés et actualisés.

2. Gestion, classification et notification des incidents TIC

DORA impose de détecter, documenter et classifier les incidents liés aux TIC selon leur gravité, sur la base des critères du règlement. Les incidents majeurs doivent être notifiés aux autorités compétentes dans les délais imposés. L'enjeu n'est pas seulement de réagir, mais de prouver que le dispositif de détection et de remontée fonctionne.

3. Tests de résilience opérationnelle numérique

Le troisième pilier exige des tests réguliers du dispositif TIC. Pour certaines entités, présentant une importance pour la stabilité financière, le règlement prévoit des tests de pénétration fondés sur la menace (TLPT, pour Threat-Led Penetration Testing). La liste des entités soumises au TLPT n'est pas publique : l'autorité compétente contacte bilatéralement les entités concernées.

4. Gestion du risque lié aux prestataires tiers TIC

DORA traite le risque tiers comme une partie intégrante du risque TIC. Le texte impose des clauses contractuelles obligatoires dans les contrats conclus avec les prestataires de services TIC, une évaluation de leur criticité, et la tenue d'un registre d'information des accords contractuels, communiqué chaque année à l'autorité compétente.

5. Partage d'informations

Dernier pilier, le seul à reposer sur le volontariat : DORA encourage le partage d'informations et de renseignements sur les cybermenaces entre entités financières. L'objectif est d'élever le niveau collectif de défense sans imposer une nouvelle obligation déclarative.

Des piliers à la trajectoire de conformité

Lus ensemble, ces cinq piliers dessinent un programme : gouverner le risque, savoir réagir et notifier, tester, maîtriser ses prestataires, et coopérer. La difficulté, en pratique, n'est pas de les connaître mais de les traduire en jalons priorisés et en preuves opposables à un superviseur. C'est tout l'objet d'une démarche de mise en conformité DORA structurée, qui part de l'écart réel et non d'un document de façade.

Poursuivre la lecture

Poursuivre la lecture