DORA et cybersécurité : exigences de sécurité TIC

02L'essentiel

Ce qu'il faut retenir

La sécurité TIC est une composante du pilier « gestion du risque lié aux TIC » de DORA, mais le règlement va plus loin : notification des incidents majeurs aux autorités, tests de résilience, et maîtrise du risque lié aux prestataires tiers. La cybersécurité s'y inscrit, elle ne s'y résume pas.

03En détail

Ce que le règlement implique ici

Confondre DORA avec « un texte de cybersécurité » conduit à sous-estimer sa portée. Le règlement (UE) 2022/2554 vise la résilience opérationnelle numérique : la capacité d'une entité financière à résister, réagir et se rétablir face à toute perturbation de ses systèmes TIC, pas seulement à se défendre contre des attaques.

La sécurité technique des systèmes relève du premier pilier, mais le dispositif comprend aussi la classification et la notification des incidents majeurs aux autorités, un programme de tests de résilience, et la maîtrise du risque lié aux prestataires tiers de services TIC.

Une équipe cybersécurité performante est un atout, mais elle ne suffit pas à elle seule à couvrir DORA : la gouvernance, le contractuel (clauses prestataires, registre d'information) et la démonstration de conformité au superviseur sont des volets distincts qui engagent l'ensemble de l'organisation.

Se protéger ne suffit pas : il faut prouver qu'on tient

La cybersécurité « classique » cherche d'abord à empêcher l'attaque : pare-feu, détection, durcissement des systèmes. Le règlement (UE) 2022/2554 part d'une autre exigence. Il ne demande pas seulement de se défendre, mais de garantir la résilience opérationnelle numérique : la capacité de l'entité financière à résister, à réagir et à se rétablir face à toute perturbation de ses systèmes liés aux technologies de l'information et de la communication (TIC), qu'elle soit ou non d'origine malveillante.

La nuance est lourde de conséquences. Une panne d'un prestataire, une erreur de configuration ou une saturation peuvent interrompre une fonction critique sans qu'aucune attaque ne soit en cause. DORA impose donc de cartographier ces fonctions critiques ou importantes, de tenir des plans de continuité et de reprise testés, et surtout de pouvoir démontrer au superviseur que le dispositif fonctionne. Une bonne posture cyber est nécessaire ; elle ne dispense ni de la gouvernance ni de la preuve. C'est tout l'objet de la démarche de mise en conformité DORA.

Détecter, classer et notifier les incidents majeurs

Le deuxième pilier du règlement transforme la gestion des incidents en obligation formalisée. L'entité financière doit détecter et documenter ses incidents liés aux TIC, les classer selon leur gravité au regard des critères fixés par le règlement, puis notifier les incidents majeurs à l'autorité compétente dans les délais imposés. En France, cette autorité est l'ACPR ou l'AMF selon le type d'entité supervisée.

Concrètement, cela suppose une chaîne de remontée éprouvée, des critères de classification partagés entre les équipes et des modèles de déclaration prêts à l'emploi le jour où l'incident survient. Improviser au moment de la crise n'est pas une option : le délai court et la qualité de la notification est elle-même un point de contrôle. Pour le détail de cette mécanique, voir nos repères sur le reporting d'incident DORA, qui complètent la lecture des cinq piliers du règlement.

Tester sa résilience, et pas seulement une fois

DORA exige un programme de tests régulier, et non un audit ponctuel. Le troisième pilier prévoit un socle de tests applicable largement, qui vérifie la robustesse du dispositif TIC dans la durée et à chaque évolution significative des systèmes. L'idée est de maintenir une preuve vivante de résilience, pas une attestation figée. Nos explications sur les tests de résilience DORA détaillent ce socle.

Au-dessus de ce socle, certaines entités présentant une importance pour la stabilité financière doivent conduire des tests de pénétration fondés sur la menace (TLPT). La liste de ces entités n'est pas publique : l'autorité compétente (en France, la Banque de France, l'ACPR et l'AMF, ainsi que la BCE pour les établissements de crédit importants) identifie les entités concernées et les contacte bilatéralement par une lettre dédiée. Tant qu'une entité n'a pas été identifiée, elle n'a pas à conduire de TLPT à ce titre. Ce cadre s'inscrit dans la continuité des approches européennes de tests fondés sur la menace, dont le référentiel TIBER-EU, sans qu'il faille présenter ce rattachement comme une obligation formelle. Pour situer ces tests dans l'ensemble du dispositif, revenez à la vue d'ensemble de la conformité DORA.

Calendrier et textes d'application

Le règlement (UE) 2022/2554 est entré en vigueur le 27 décembre 2022 et s'applique depuis le 17 janvier 2025. Cette date n'est pas un horizon : c'est le seuil à partir duquel les autorités compétentes peuvent contrôler le dispositif. Pour les équipes cybersécurité, cela signifie que les exigences ne sont plus en projet mais opposables, et que l'absence de preuve documentée se constate dès aujourd'hui, sans période de tolérance automatique.

Le texte de niveau 1, le règlement lui-même, fixe les principes. Il est précisé par un corpus de normes techniques de réglementation (RTS) et de normes techniques d'exécution (ITS) élaborées par les trois autorités européennes de surveillance : l'EBA pour la banque, l'EIOPA pour l'assurance et les pensions, l'ESMA pour les marchés. Ces normes détaillent les attendus opérationnels, par exemple sur les outils de gestion du risque TIC, la classification et la notification des incidents, ou la conduite de la supervision. C'est un corpus en construction, qui se complète au fil de sa publication officielle : il faut donc suivre les textes au cas par cas et ne jamais figer son dispositif sur une lecture du seul niveau 1. Pour le panorama d'ensemble des obligations, la démarche de mise en conformité DORA sert de point d'entrée.

Comment la cybersécurité se décline dans les cinq piliers

Plutôt qu'un pilier autonome, la sécurité TIC irrigue l'ensemble du dispositif. Lire DORA pilier par pilier permet de voir où une équipe cybersécurité contribue et où elle atteint ses limites, c'est-à-dire où il faut la gouvernance, le juridique et la direction.

Gestion du risque lié aux TIC. C'est le cœur historique de la cybersécurité, mais étendu : il ne s'agit pas seulement de durcir les systèmes, mais de cartographier les fonctions critiques ou importantes, de surveiller en continu les actifs, et de tenir des plans de continuité et de reprise réellement testés. La protection technique n'est qu'une partie d'un cadre de gouvernance et de contrôle interne.

Gestion et notification des incidents. La détection technique remonte un événement ; DORA exige ensuite de le classer selon sa gravité et de notifier les incidents majeurs à l'ACPR ou l'AMF dans les délais. La chaîne ne s'arrête donc plus au SOC : elle engage une procédure de déclaration réglementaire.

Tests de résilience. Les tests cyber habituels alimentent le programme, mais DORA en fait une obligation régulière et, pour certaines entités, un test de pénétration fondé sur la menace encadré par l'autorité, dont le périmètre dépasse un pentest classique.

Risque lié aux prestataires tiers. La sécurité ne s'arrête pas au périmètre de l'entité : le risque porté par les fournisseurs de services TIC devient une composante à part entière du risque, avec ses clauses et son registre.

Partage d'informations. Le règlement encourage un partage volontaire de renseignements sur les cybermenaces entre entités financières, qui prolonge naturellement le travail de veille des équipes sécurité. Pour la lecture détaillée de cette mécanique, voir les cinq piliers du règlement.

Gérer le risque cyber porté par les prestataires TIC

Une partie croissante de la surface d'exposition d'une entité financière ne lui appartient pas : elle est hébergée, infogérée ou opérée par des prestataires de services TIC. DORA en tire une conséquence directe : le risque de sous-traitance est traité comme une composante intégrante du risque TIC, et non comme une question d'achats. Une équipe cybersécurité interne, aussi solide soit-elle, ne maîtrise pas à elle seule un incident qui survient chez un fournisseur cloud ou un éditeur tiers.

Le règlement impose donc des clauses contractuelles obligatoires dans les contrats conclus avec les prestataires TIC, une évaluation de leur criticité, et la tenue d'un registre d'information à jour des accords contractuels, communiqué à l'autorité compétente au moins une fois par an. Ce registre n'est pas une formalité administrative : il matérialise la connaissance qu'a l'entité de sa propre chaîne de dépendances, et son absence ou son inexactitude est en soi un point de contrôle. Pour la structure attendue et la manière de le construire, voir nos repères sur le registre des prestataires DORA.

Questions fréquentes

DORA remplace-t-il ma politique de cybersécurité ?

Non. Une politique de cybersécurité reste nécessaire, mais elle ne couvre qu'une partie des exigences. DORA ajoute des volets que la sécurité technique ne traite pas seule : la gouvernance du risque TIC, la notification réglementaire des incidents majeurs, un programme de tests formalisé, la maîtrise contractuelle des prestataires tiers et la capacité à démontrer tout cela au superviseur. Votre politique existante s'intègre dans le dispositif DORA, elle ne s'y substitue pas.

Quelle différence entre résilience opérationnelle numérique et cybersécurité classique ?

La cybersécurité classique cherche d'abord à empêcher l'attaque. La résilience opérationnelle numérique vise la capacité à résister, réagir et se rétablir face à toute perturbation des systèmes TIC, qu'elle soit malveillante ou non. Une panne de prestataire ou une erreur de configuration peut interrompre une fonction critique sans aucune attaque : DORA exige d'y faire face et de pouvoir le prouver, ce qui dépasse la seule défense périmétrique.

Qui est soumis au TLPT ?

Seules certaines entités présentant une importance pour la stabilité financière. La liste n'est pas publique : c'est l'autorité compétente (en France, la Banque de France, l'ACPR et l'AMF, ainsi que la BCE pour les établissements de crédit importants) qui identifie les entités concernées et les contacte bilatéralement. Tant qu'une entité n'a pas reçu cette identification, elle n'a pas à conduire de test de pénétration fondé sur la menace à ce titre. Le détail figure dans nos explications sur les tests de résilience DORA.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit de conformité DORA pose le point de départ documenté de votre démarche.