SCORT CONSEILPCA & Gestion de crise
    Contacter
    Retour au blog
    30 mai 202612 min de lecture

    DORA expliqué simplement : tout comprendre au règlement quand on part de zéro

    DORA fait peur parce qu'on en parle comme d'un sujet d'experts. C'est faux. Voici le règlement expliqué de zéro, sans jargon, avec tout le vocabulaire décodé.

    DORA expliqué simplement : tout comprendre au règlement quand on part de zéro

    Ce qu'il faut retenir

    DORA est un règlement européen qui oblige les banques, assurances, mutuelles et autres acteurs financiers à mieux résister aux pannes et aux cyberattaques informatiques. Il s'applique depuis le 17 janvier 2025. Il ne concerne pas que les informaticiens : la direction, la conformité et les métiers sont tous impliqués. Cet article explique DORA de zéro, sans prérequis, en décodant chaque terme technique au passage.

    DORA, c'est quoi exactement ?

    DORA est l'acronyme de Digital Operational Resilience Act. En français, on parle de règlement sur la résilience opérationnelle numérique. Son nom officiel est le règlement (UE) 2022/2554, adopté le 14 décembre 2022.

    Derrière ce nom technique, l'idée est simple. DORA demande aux acteurs financiers de continuer à fonctionner même quand leur informatique tombe en panne ou subit une attaque.

    Le mot important, c'est résilience. C'est la capacité à encaisser un choc, à continuer à servir ses clients, et à se remettre vite. Une banque qui ne peut plus distribuer d'argent, une mutuelle qui ne peut plus traiter les remboursements, un assureur dont les outils sont bloqués pendant trois jours : voilà précisément ce que DORA cherche à éviter.

    Un point qui surprend souvent. DORA n'est pas une directive, c'est un règlement. La différence compte. Une directive doit être transposée par chaque pays, avec des variantes nationales. Un règlement s'applique directement et de la même manière dans toute l'Union européenne. Il n'y a donc pas de version française allégée de DORA. Le texte vaut tel quel.

    Pourquoi DORA a-t-il été créé ?

    Pendant longtemps, la solidité d'un acteur financier se mesurait surtout à ses fonds propres. Avait-il assez d'argent en réserve pour absorber une crise économique ? C'était la grande question.

    Aujourd'hui, le risque a changé de nature. Une banque peut être parfaitement solide financièrement et se retrouver paralysée parce qu'un serveur est chiffré par un rançongiciel, ou parce qu'un prestataire cloud tombe en panne. Le risque informatique est devenu un risque vital.

    Avant DORA, les règles existaient mais elles étaient éparpillées. Chaque type d'acteur, chaque pays, chaque autorité avait ses propres exigences sur la sécurité informatique. Résultat : un patchwork difficile à suivre et inégal d'un établissement à l'autre.

    DORA met de l'ordre. Le règlement crée un socle commun de règles sur la gestion du risque informatique pour l'ensemble du secteur financier européen. Même langage, mêmes obligations, même niveau d'exigence pour tout le monde.

    Qu'est-ce qu'un service TIC au sens de DORA ?

    C'est l'un des termes qui revient sans arrêt dans le texte, et l'un des plus mal compris. Prenons le temps de le décoder.

    TIC signifie Technologies de l'Information et de la Communication. En anglais, on parle d'ICT (Information and Communication Technology). C'est l'ensemble des outils numériques et informatiques qu'une organisation utilise pour travailler.

    Un service TIC, au sens de DORA, c'est tout service numérique ou de données fourni à une organisation de manière continue, via des systèmes informatiques. La définition est volontairement large. Elle ne se limite pas au logiciel. Elle inclut l'hébergement, le traitement de données, la connectivité, et même la maintenance technique d'un matériel.

    Pour rendre ça concret, voici des exemples de ce qui constitue un service TIC dans une organisation financière classique.

    Type de service TIC Exemples concrets
    Hébergement et cloud Serveurs, cloud public (AWS, Azure, Google Cloud), data centers
    Logiciels métiers Logiciel de gestion des contrats, outil de paie, CRM, ERP
    Traitement de données Sauvegarde externalisée, hébergement des données clients
    Connectivité Accès internet, réseau interne, liaisons entre les sites
    Maintenance et support Maintenance applicative, support technique, mises à jour

    Pourquoi cette notion est-elle si centrale ? Parce que DORA part d'un constat. Une organisation financière dépend aujourd'hui d'une multitude de services TIC, dont beaucoup sont fournis par des sociétés extérieures. Si l'un de ces services tombe, l'activité s'arrête. Le règlement oblige donc chaque entité à savoir précisément de quels services TIC elle dépend, et lesquels sont critiques.

    Qui est concerné par DORA ?

    C'est la question que tout le monde se pose en premier. La réponse tient en une phrase : à peu près tout le secteur financier européen, des plus grandes banques aux plus petites structures.

    Le règlement vise une vingtaine de catégories d'entités. En voici les principales, en langage clair.

    Catégorie Exemples d'acteurs concernés
    Banque et crédit Banques, établissements de crédit, établissements de paiement
    Assurance Compagnies d'assurance, réassureurs, intermédiaires d'assurance
    Mutuelles et prévoyance Mutuelles, institutions de retraite professionnelle
    Marchés et investissement Entreprises d'investissement, gestionnaires d'actifs, plateformes de négociation
    Nouveaux acteurs Prestataires de services sur crypto-actifs
    Prestataires informatiques Prestataires tiers de services TIC du secteur financier

    Deux idées reçues à corriger tout de suite.

    Première idée reçue : DORA, ce serait réservé aux grandes banques. Faux. Les mutuelles et les petites structures entrent dans le périmètre. La taille ne fait pas sortir du champ d'application.

    Deuxième idée reçue : une petite mutuelle aurait exactement les mêmes obligations qu'une grande banque systémique. Faux également. DORA applique un principe de proportionnalité. Les entités plus petites et moins interconnectées peuvent suivre un cadre simplifié de gestion du risque TIC. Les obligations existent, mais elles sont calibrées selon la taille et le profil de risque.

    Exemple terrain. J'accompagne une mutuelle d'une vingtaine de salariés sur sa mise en conformité DORA. Au départ, l'équipe était persuadée que le règlement ne la visait pas, parce que trop petite. Elle était bel et bien concernée. La bonne nouvelle, c'est que le cadre simplifié rend l'exercice atteignable, à condition de structurer ce qui était jusque-là informel.

    Que demande concrètement DORA ? Les cinq piliers

    DORA s'organise autour de cinq grands domaines, qu'on appelle souvent les cinq piliers. Comprendre ces cinq blocs, c'est comprendre l'essentiel du règlement.

    Pilier En clair Ce que ça implique
    1. Gestion du risque TIC Savoir où sont vos risques informatiques et les piloter Gouvernance, cartographie des risques, politiques écrites, implication de la direction
    2. Notification des incidents Signaler vite les incidents graves à l'autorité Détection, classification, déclaration dans des délais courts
    3. Tests de résilience Vérifier que vos défenses tiennent vraiment Programme de tests régulier, exercices, tests d'intrusion avancés pour les plus grandes entités
    4. Risque lié aux prestataires Maîtriser vos dépendances externes Registre des prestataires, clauses dans les contrats, plan de sortie
    5. Partage d'informations Échanger sur les menaces entre pairs Démarche volontaire, au sein de communautés de confiance

    Le pilier qui change la donne : les tests

    Si vous ne deviez retenir qu'un seul apport de DORA, ce serait celui-ci. Le règlement ne se contente pas de demander d'avoir des plans. Il exige de les tester.

    C'est une rupture. Beaucoup d'organisations possèdent un Plan de Continuité d'Activité (PCA), c'est-à-dire un document qui décrit comment continuer à fonctionner en cas de crise. Mais un plan qui n'a jamais été testé reste une hypothèse. DORA impose un programme de tests régulier pour vérifier que le dispositif fonctionne pour de vrai. Pour les entités les plus importantes, le règlement va jusqu'à exiger des tests d'intrusion avancés, menés comme le ferait un véritable attaquant.

    C'est exactement le terrain sur lequel j'interviens. Tester un plan sans logistique lourde, c'est souvent par un exercice sur table qu'on commence : une demi-journée, un scénario, et on voit immédiatement ce qui tient et ce qui manque.

    Le pilier le plus négligé : les prestataires

    Une organisation financière ne maîtrise pas tout en interne. Elle s'appuie sur des prestataires informatiques extérieurs. Or si l'un d'eux tombe, l'impact retombe directement sur l'entité financière et ses clients.

    DORA oblige donc à tenir un registre de tous les prestataires de services TIC, à savoir lesquels soutiennent des fonctions critiques, à encadrer les contrats avec des clauses précises, et à prévoir un plan de sortie au cas où il faudrait changer de fournisseur en urgence.

    Qu'est-ce qu'un prestataire tiers critique ?

    Le terme apparaît partout dans les discussions sur DORA. Voici ce qu'il signifie.

    Un prestataire tiers de services TIC, c'est simplement une société extérieure qui fournit un service informatique à une entité financière. Un hébergeur cloud, un éditeur de logiciel, un infogéreur, par exemple.

    Certains de ces prestataires sont devenus tellement essentiels au système financier européen que leur défaillance pourrait déstabiliser tout le secteur. Pensez aux très grands fournisseurs de cloud utilisés par des centaines d'établissements à la fois. Ceux-là peuvent être désignés comme prestataires tiers critiques. Les autorités européennes de surveillance (AES) ont d'ailleurs publié fin 2025 une première liste de ces prestataires critiques.

    La conséquence est inédite. Ces prestataires critiques font l'objet d'une surveillance directe au niveau européen, alors même qu'ils ne sont pas eux-mêmes des entités financières. C'est la première fois qu'un régulateur financier supervise directement des fournisseurs de technologie.

    Depuis quand DORA s'applique et que risque-t-on ?

    DORA est entré en application le 17 janvier 2025. Il n'y a donc plus de délai d'attente. Le règlement est pleinement en vigueur.

    En France, deux autorités sont chargées de le faire respecter. L'ACPR (Autorité de Contrôle Prudentiel et de Résolution), adossée à la Banque de France, supervise les banques et les assurances. L'AMF (Autorité des Marchés Financiers) supervise les acteurs des marchés financiers.

    Que risque une organisation qui ne joue pas le jeu ? Ces autorités peuvent prononcer des mesures correctives, des injonctions de mise en conformité, et des sanctions administratives et pécuniaires dont le plafond dépend du droit national. Au-delà de la sanction, le vrai risque est ailleurs. C'est l'incident non maîtrisé, la perte de confiance des clients, et l'impossibilité de prouver à un auditeur que le dispositif fonctionne.

    Point de vigilance. La plus grosse erreur consiste à traiter DORA comme un dossier purement informatique, à confier au service IT, et à oublier le reste. Le règlement implique aussi la direction, la conformité et la communication. La gouvernance, la déclaration des incidents et la préparation des messages de crise ne sont pas des sujets techniques. Ce sont des sujets de pilotage.

    Par où commencer quand on découvre DORA ?

    Si vous partez de zéro, inutile de paniquer ni de tout faire en même temps. Une approche par étapes fonctionne très bien.

    Commencez par cartographier vos dépendances. Listez vos services TIC et vos prestataires. Identifiez ceux qui sont critiques, c'est-à-dire ceux dont l'arrêt stopperait votre activité.

    Ensuite, regardez l'existant. Avez-vous un PCA ? Une procédure de gestion d'incident ? Un plan de communication de crise ? Souvent, des briques existent déjà, mais elles sont dispersées ou jamais testées. C'est là qu'un accompagnement à la mise en place d'un PCA opérationnel prend tout son sens : on consolide, on structure, on rend le dispositif réellement utilisable le jour J.

    Enfin, si vous êtes dans une mutuelle ou une compagnie d'assurance, le périmètre exact de vos obligations mérite un détour plus précis. J'ai détaillé tout cela dans mon article sur DORA pour les mutuelles, qui passe des principes à la mise en œuvre concrète.

    Questions fréquentes sur DORA

    DORA, ça veut dire quoi ?

    DORA est l'acronyme de Digital Operational Resilience Act, soit en français le règlement sur la résilience opérationnelle numérique. C'est le règlement européen (UE) 2022/2554, qui impose au secteur financier de résister aux pannes et aux cyberattaques informatiques, d'y répondre et de s'en remettre.

    Ma petite structure est-elle vraiment concernée par DORA ?

    Probablement oui, si elle exerce une activité financière réglementée, y compris une petite mutuelle ou un intermédiaire d'assurance. La taille ne fait pas sortir du champ d'application. En revanche, DORA prévoit un principe de proportionnalité : les entités plus petites peuvent suivre un cadre simplifié de gestion du risque TIC.

    Quelle est la différence entre DORA et un PCA ?

    Un PCA, ou Plan de Continuité d'Activité, est un document opérationnel qui décrit comment continuer à fonctionner pendant une crise. DORA est un règlement beaucoup plus large, qui couvre la gouvernance, la déclaration des incidents, les tests, la gestion des prestataires et le partage d'informations. Le PCA est un outil. DORA est le cadre réglementaire qui, entre autres, vous oblige à avoir ce type de dispositif et à le tester.

    Qui contrôle l'application de DORA en France ?

    L'ACPR pour les banques et les assurances, et l'AMF pour les acteurs des marchés financiers. Ces autorités peuvent demander des mises en conformité et prononcer des sanctions en cas de manquement.

    DORA et NIS 2, est-ce la même chose ?

    Non. NIS 2 est une directive européenne plus générale sur la cybersécurité, qui touche de nombreux secteurs. DORA est spécifique au secteur financier et plus détaillé. Pour les entités financières, c'est DORA qui prime sur les exigences cyber et de continuité.

    Passez à l'action

    DORA paraît intimidant quand on le découvre. Mais une fois le vocabulaire décodé, le règlement devient lisible, et la mise en conformité se planifie sereinement, étape par étape.

    Si vous découvrez DORA et que vous ne savez pas par où commencer, ni même si vous êtes concerné, faisons le point ensemble. Réservez un créneau de 30 minutes via Calendly, ou écrivez-moi via le formulaire de contact. C'est gratuit et sans engagement. On clarifie votre situation en une demi-heure.

    Sources et références

    Règlement (UE) 2022/2554 (DORA) (EUR-Lex, texte officiel)

    Digital Operational Resilience Act (DORA) (ACPR)

    Liste des prestataires informatiques critiques sous surveillance directe (ACPR, 2025)

    The Regulation on Digital Operational Resilience (DORA) (AMF)

    Vous avez trouvé cet article utile ?

    À lire également

    La canicule de juin 2026 a tranché le débat : l'adaptation climatique passe par votre PCA

    Les négociations climatiques échouent à réduire les émissions. L'adaptation s'impose, et l'amendement ISO 22301 de 2024 en fait une obligation. Votre PCA est devenu un outil d'adaptation climatique.

    Extrémisme anti-tech et sabotage de data centers : une nouvelle menace pour la continuité d'activité

    Sabotage de data centers, attaques anti-IA : le néo-luddisme violent émerge en France et aux États-Unis. Une nouvelle menace physique à intégrer dans votre PCA.

    RTO : qu'est-ce que le Recovery Time Objective (et pourquoi ce n'est pas le délai de votre activité)

    Le RTO ne mesure pas la tolérance de votre activité, c'est le DMIA. Définition du Recovery Time Objective, lien avec le BRTO, et comment savoir si le vôtre tient vraiment.

    Mythos rebat les cartes du cyber Pourquoi DORA devient votre meilleur allié

    Le modèle Mythos d'Anthropic découvre et exploite des vulnérabilités à une vitesse inédite. La BCE a convoqué 300 acteurs bancaires en urgence. DORA, longtemps perçu comme contraignant, prend aujourd'hui tout son sens.

    Besoin d'accompagnement ?

    Découvrez nos offres dédiées à la mise en place d'un PCA, à l'accompagnement ISO 22301 ou aux exercices de crise immersifs. Pour en savoir plus sur ma démarche, consultez la page À propos.

    Contact

    Passons à l'action

    Envoyer un message

    Ou réservez un appel

    Réservez un créneau de 30 minutes pour discuter de vos enjeux de continuité d'activité.

    Prendre un rendez-vous