DORA : Tout savoir sur la réglementation européenne pour un secteur financier résilient

Le secteur financier repose plus que jamais sur la technologie, une transformation qui s’accompagne d’une exposition croissante aux cybermenaces, aux pannes systémiques et aux interruptions informatiques. Une simple faille de sécurité ou un incident technique peut avoir des répercussions majeures, fragilisant banques, assurances et sociétés d’investissement.

Pour répondre à ces risques, l’Union européenne a introduit le Digital Operational Resilience Act (DORA), un cadre réglementaire conçu pour garantir la résilience numérique du secteur financier.

Chez Deepki, nous avons toujours placé la résilience numérique au cœur de nos engagements. DORA est un enjeu pour nos clients et partenaires. Dans ce blog, nous analysons son impact sur notre activité et sur l’ensemble du secteur financier.

Qu’est-ce que la réglementation DORA ?

En septembre 2020, la Commission européenne a proposé un cadre réglementaire visant à renforcer la résilience numérique du secteur financier : le Digital Operational Resilience Act (DORA). Adopté le 10 novembre 2022 et entré en vigueur le 16 janvier 2023, il est devenu pleinement applicable depuis le 17 janvier 2025. Une période de transition de deux ans a été accordée aux institutions financières et à leurs prestataires technologiques pour se conformer aux nouvelles exigences.

DORA impose aux institutions financières de renforcer leur résilience opérationnelle numérique. Concrètement, elles doivent garantir la sécurité et la fiabilité de leurs systèmes d’information, afin d’assurer la continuité des services financiers, même en cas de cyberattaque ou de panne technique. La réglementation introduit également des mesures visant à optimiser la gestion des risques et des fournisseurs tiers. Les entreprises du secteur devront s’assurer que leurs processus, infrastructures et dispositifs de gestion des risques répondent aux exigences strictes de l’UE. Pour nos clients – institutions financières opérant en Europe – cela implique une réévaluation des contrats avec leurs fournisseurs TIC, afin de garantir leur conformité avec DORA.

Que demande DORA ?

DORA vise à garantir que les institutions financières puissent opérer en toute sécurité même dans un environnement numérique incertain. Pour ce faire, la réglementation s’articule autour de cinq piliers clés : 

1. Gestion des risques TIC : Les institutions financières doivent mettre en place un cadre solide de gestion des risques liés aux technologies de l’information et de la communication (TIC). Cela inclut un dispositif de gouvernance et de contrôle interne, des systèmes sécurisés et à jour, une documentation rigoureuse et des politiques de continuité adaptées.
2. Gestion des incidents TIC, classification et reporting : Les entreprises doivent adopter des processus clairs pour détecter, signaler et analyser les incidents numériques, en identifiant leurs causes profondes afin de mieux anticiper les futures menaces.
3. Tests de résilience numérique : Toutes les institutions financières (hors micro entreprises) doivent instaurer et maintenir un programme de tests de résilience pour évaluer leurs vulnérabilités, mesurer leur niveau de préparation et mettre en place des actions correctives.
4. Gestion des risques liés aux prestataires TIC : Les entreprises restent pleinement responsables des risques liés à leurs fournisseurs technologiques, même en cas d’externalisation. Elles doivent évaluer la criticité des prestataires, tenir un registre des contrats de services TIC et déclarer chaque année leurs relations avec ces partenaires.
5. Partage d’informations sur les cybermenaces : DORA encourage les institutions financières à collaborer en partageant des renseignements sur les cyberattaques, les indicateurs de compromission et les alertes de cybersécurité. Ces échanges doivent être déclarés aux autorités compétentes.

Parmi ces cinq piliers, la gestion des risques TIC et celle des fournisseurs externes sont particulièrement cruciales pour nos clients travaillant avec Deepki.

Qui est concerné par DORA ?

DORA s’applique directement aux institutions financières, notamment les banques, les sociétés d’investissement, les agences de notation de crédit et les fournisseurs de services de paiement tiers.

Selon PwC, plus de 22 200 entités financières et fournisseurs de services informatiques entrent dans le champ d’application de DORA. Pour ces entreprises, la conformité n’est pas une option, mais une nécessité.

DORA impose des exigences renforcées aux institutions financières pour la gestion de leurs prestataires technologiques, en particulier ceux jugés critiques pour leurs opérations. Dans ce cadre, Deepki est considéré comme un « fournisseur de services TIC tiers » selon la réglementation.

Que se passe-t-il en cas de non-conformité ?

DORA n’est pas qu’une simple formalité réglementaire – ses implications sont bien réelles.

D’après un rapport McKinsey (janvier 2025), de nombreuses institutions financières peinent encore à appliquer DORA, notamment en ce qui concerne la gestion de leurs prestataires externes. Beaucoup de petits prestataires technologiques n’ont pas les ressources suffisantes pour répondre aux nouvelles exigences en matière de cybersécurité. Cette vulnérabilité pourrait ralentir la mise en conformité globale du secteur.

Autre enjeu majeur : les institutions financières doivent souvent se conformer à DORA à double titre, à la fois en tant que clients et prestataires de services. Cette double casquette renforce la pression réglementaire. Elles doivent assurer la conformité de leurs partenaires tout en respectant leurs propres obligations.

Chez Deepki, nous comprenons donc l’importance pour nos clients d’analyser leur exposition et les contrats en place avec les fournisseurs. Nous sommes prêts à assister nos clients à chaque étape du processus afin de nous assurer que notre relation avec eux soit conforme au cadre réglementaire DORA.

Quel est l’impact de cette réglementation à l’international ?

Bien que DORA soit une réglementation de l’UE, son impact va bien au-delà des frontières de l’Union européenne.

Si votre entreprise interagit avec les marchés financiers de l’UE, la conformité à DORA est essentielle pour préserver la confiance et éviter des obstacles réglementaires. Cela concerne particulièrement les entreprises offrant des services transfrontaliers ou intégrées à des chaînes d’approvisionnement liées à l’UE, même sans présence physique dans la région.

Pour les multinationales, jongler avec plusieurs cadres réglementaires ajoute une complexité supplémentaire. Elles doivent aligner leur gestion des risques TIC sur DORA tout en respectant d’autres normes internationales, ce qui implique notamment :

• La mise à jour des contrats fournisseurs pour intégrer les exigences de DORA.
• L’adaptation des systèmes et processus TIC, nécessitant une planification stratégique et des investissements en ressources.
• Une veille réglementaire constante afin d’anticiper les évolutions et respecter les délais de conformité.

Êtes-vous prêt pour DORA ?

DORA est désormais en vigueur et concerne aussi bien les institutions financières que les fournisseurs de services TIC en Europe.

Les entreprises qui adoptent une approche proactive seront mieux préparées à gérer les cyberrisques, renforcer la confiance de leurs clients et assurer la stabilité de leurs opérations. Plutôt qu’une contrainte, cette réglementation est un levier pour améliorer la sécurité numérique, optimiser la gestion des risques et se démarquer de la concurrence.