Le règlement DORA (Digital Operational Resilience Act), adopté par le Parlement européen et le Conseil de l'Union européenne, représente une transformation majeure du cadre réglementaire en matière de cybersécurité pour le secteur financier. Entré en application le 17 janvier 2025, ce règlement impose à l'ensemble des entités financières — banques, assurances, sociétés de gestion, établissements de paiement, plateformes de trading, mais aussi leurs prestataires critiques de services TIC — de mettre en place un dispositif complet de résilience opérationnelle numérique. Contrairement aux directives précédentes qui laissaient une marge d'interprétation aux États membres, DORA est un règlement d'application directe, ce qui signifie que ses exigences sont uniformes dans tous les pays de l'Union européenne, éliminant les disparités réglementaires qui compliquaient la conformité des groupes transfrontaliers.
Les exigences de DORA s'articulent autour de cinq piliers fondamentaux que chaque entité financière doit adresser de manière structurée. Le premier pilier concerne la gestion des risques liés aux TIC : les organisations doivent établir un cadre de gestion des risques informatiques robuste, incluant l'identification et la classification de l'ensemble des actifs TIC, l'évaluation continue des menaces et la mise en œuvre de mesures de protection proportionnées. Le deuxième pilier porte sur la gestion, la classification et le signalement des incidents liés aux TIC, avec des délais de notification stricts aux autorités compétentes. Le troisième pilier impose la réalisation de tests de résilience opérationnelle numérique, incluant des tests d'intrusion avancés basés sur la menace (TLPT — Threat-Led Penetration Testing) pour les entités les plus significatives. Le quatrième pilier encadre la gestion des risques liés aux prestataires tiers de services TIC, exigeant une cartographie exhaustive et une surveillance continue des fournisseurs critiques. Enfin, le cinquième pilier encourage le partage d'informations sur les cybermenaces entre entités financières.
La mise en conformité avec DORA représente un chantier considérable pour de nombreuses organisations financières, en particulier les entités de taille intermédiaire qui ne disposaient pas jusqu'ici d'un cadre de résilience aussi structuré. Les chantiers prioritaires incluent la mise à jour de la politique de gestion des risques TIC au niveau de la direction, la révision des contrats avec les prestataires de services informatiques critiques pour y intégrer les clauses exigées par le règlement, la mise en place d'un dispositif de tests de résilience conforme aux standards techniques définis par les autorités européennes de surveillance (EBA, EIOPA, ESMA), et l'établissement de procédures de reporting d'incidents respectant les délais et les formats prescrits. Les sanctions en cas de non-conformité peuvent être significatives, les autorités nationales compétentes disposant de pouvoirs d'injonction et de sanction proportionnés à la gravité des manquements constatés.
Pour réussir leur mise en conformité DORA, les organisations financières doivent investir massivement dans la montée en compétences de leurs équipes, tant sur le plan technique que réglementaire. Les profils hybrides, capables de comprendre à la fois les enjeux métier du secteur financier et les exigences techniques de la cybersécurité, sont particulièrement recherchés. Les formations spécialisées en gouvernance des risques cyber, en tests d'intrusion avancés et en gestion des incidents sont devenues indispensables pour les équipes en charge de la conformité DORA. La compréhension des interactions entre DORA et les autres réglementations applicables — NIS2, RGPD, exigences de l'ACPR et de l'AMF — nécessite également une expertise transversale que seule une formation continue rigoureuse permet d'acquérir et de maintenir dans un environnement réglementaire en constante évolution.
