DORA : obligations risk management ICT pour entités financières
Publié le 1er juin 2026 · Lecture : 8 min
Le règlement DORA (Digital Operational Resilience Act) est entré en vigueur le 17 janvier 2025 pour l'ensemble des entités financières de l'Union Européenne. Il impose un cadre structuré de gestion du risque ICT — bien au-delà de ce que prévoyaient les réglementations sectorielles précédentes.
Qui est concerné par DORA ?
- Établissements de crédit et banques
- Entreprises d'investissement
- Compagnies d'assurance et de réassurance
- Gestionnaires de fonds alternatifs
- Prestataires de services de paiement
- Prestataires ICT tiers critiques : hébergeurs cloud, éditeurs logiciels, MSP servant ces entités
Les 5 piliers du risk management DORA
1. Cadre de gestion du risque ICT
Chaque entité doit disposer d'un cadre documenté couvrant : identification des actifs ICT critiques, évaluation des risques, plan de traitement, revue annuelle.
2. Gestion des incidents ICT
Classification, notification et reporting des incidents selon une taxonomie DORA spécifique. Délais : notification initiale sous 4h pour incidents majeurs, rapport intermédiaire sous 72h.
3. Tests de résilience opérationnelle numérique
Tests annuels obligatoires : tests de pénétration, tests de continuité. Pour les entités critiques : TLPT (Threat-Led Penetration Testing) tous les 3 ans.
4. Gestion du risque tiers ICT
Registre obligatoire de tous les prestataires ICT. Clauses contractuelles minimales imposées. Droit d'audit sur les prestataires critiques.
5. Partage d'information
Participation aux mécanismes de partage d'information sur les cybermenaces entre entités financières.
Différence DORA vs NIS2
| Critère | DORA | NIS2 |
|---|---|---|
| Secteur | Finance uniquement | Multi-secteurs |
| Nature | Règlement (application directe) | Directive (transposition nationale) |
| Tests résilience | Obligatoires | Recommandés |