Règlement DORA : guide complet pour le secteur financier en 2026
Depuis le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) est pleinement applicable à l'ensemble des entités financières opérant dans l'Union européenne. Pourtant, en 2026, de nombreuses banques régionales, compagnies d'assurance, sociétés de gestion et fintechs peinent encore à démontrer leur conformité. Cet article fait le point sur les obligations DORA, les sanctions encourues et la méthodologie pour réussir sa mise en conformité.
Qu'est-ce que le règlement DORA ?
Le règlement (UE) 2022/2554, dit DORA, est un texte européen visant à renforcer la résilience opérationnelle numérique du secteur financier face aux risques liés aux technologies de l'information et de la communication (TIC). Il harmonise au niveau européen les exigences de cybersécurité, de gestion des incidents, de tests de résilience et de supervision des prestataires informatiques critiques.
DORA s'inscrit dans la continuité de la directive NIS2 mais s'applique exclusivement au secteur financier avec un niveau d'exigence encore plus strict, notamment sur la supervision des fournisseurs cloud et des prestataires informatiques.
Qui est concerné par DORA ?
Le périmètre d'application de DORA couvre plus de 20 catégories d'entités financières, notamment :
- Établissements de crédit : banques, banques mutualistes, banques en ligne.
- Entreprises d'investissement : sociétés de gestion, brokers, conseillers en investissement.
- Assurances et réassurances : compagnies d'assurance, mutuelles, intermédiaires.
- Établissements de paiement et de monnaie électronique : fintechs, néobanques, PSP.
- Prestataires de services sur crypto-actifs (PSAN) sous MiCA.
- Plateformes de financement participatif (crowdfunding).
- Agences de notation, dépositaires centraux, contreparties centrales.
- Prestataires tiers critiques de services TIC : fournisseurs cloud, éditeurs SaaS critiques, opérateurs de datacenters.
À noter : les microentreprises (moins de 10 salariés et CA < 2 M€) bénéficient d'un régime allégé, mais restent soumises aux principes fondamentaux de gestion des risques TIC.
Les 5 piliers de DORA
1. Gestion des risques liés aux TIC
Chaque entité doit mettre en place un cadre de gouvernance et de gestion des risques TIC sous la responsabilité directe de l'organe de direction. Cela comprend :
- Une stratégie de résilience numérique formalisée et révisée annuellement.
- Une cartographie des actifs informationnels et des dépendances critiques.
- Des politiques de sécurité (accès, chiffrement, sauvegarde, continuité).
- Une fonction dédiée de gestion des risques TIC, indépendante des opérations.
- Une formation continue de l'organe de direction sur les enjeux cyber.
2. Gestion, classification et notification des incidents TIC
DORA impose un processus harmonisé de détection, classification et notification des incidents majeurs aux autorités compétentes (ACPR, AMF, BCE selon les cas) :
- Notification initiale sous 4 heures après classification d'un incident majeur.
- Rapport intermédiaire sous 72 heures.
- Rapport final sous 1 mois avec analyse des causes racines.
3. Tests de résilience opérationnelle numérique
Toutes les entités doivent réaliser des tests réguliers de leurs systèmes critiques. Les entités les plus importantes (banques systémiques, grandes assurances) doivent en plus effectuer tous les 3 ans des tests d'intrusion fondés sur la menace (TLPT), basés sur le cadre TIBER-EU.
4. Gestion des risques liés aux prestataires tiers TIC
C'est l'un des apports majeurs de DORA. Les entités financières doivent :
- Maintenir un registre détaillé de tous leurs contrats avec des prestataires TIC.
- Évaluer la criticité de chaque prestataire avant contractualisation.
- Inclure dans les contrats des clauses obligatoires (audit, sortie, sous-traitance, sécurité).
- Surveiller en continu la performance et la sécurité des prestataires critiques.
Les prestataires tiers critiques (notamment les hyperscalers cloud comme AWS, Microsoft Azure, Google Cloud) seront directement supervisés par les autorités européennes (ESAs).
5. Partage d'informations sur les cybermenaces
DORA encourage le partage volontaire d'informations sur les menaces et incidents entre acteurs du secteur financier, dans un cadre sécurisé et conforme au RGPD.
Sanctions en cas de non-conformité
Les sanctions DORA sont alignées sur les régimes les plus sévères du droit financier européen :
- Personnes morales : amendes administratives jusqu'à 10 % du chiffre d'affaires annuel mondial.
- Dirigeants : sanctions personnelles, interdiction d'exercer, amendes pouvant atteindre 5 M€.
- Prestataires TIC critiques : astreintes journalières jusqu'à 1 % du CA mondial moyen.
- Mesures complémentaires : injonctions, restrictions d'activité, retrait d'agrément.
DORA vs NIS2 : quelles différences ?
| Critère | DORA | NIS2 |
|---|---|---|
| Périmètre | Secteur financier uniquement | 18 secteurs (énergie, santé, transports, etc.) |
| Nature | Règlement (application directe) | Directive (transposition nationale) |
| Autorité | ACPR, AMF, BCE, ESAs | ANSSI |
| Notification incident | 4h / 72h / 1 mois | 24h / 72h / 1 mois |
| Supervision prestataires TIC | Directe par les ESAs | Indirecte via l'entité régulée |
Pour les entités relevant des deux régimes (par exemple un opérateur de paiement classé essentiel), la conformité DORA prévaut sur NIS2 sur les points spécifiquement traités par DORA.
Plan de mise en conformité DORA en 6 étapes
Étape 1 : Diagnostic d'écart (gap analysis)
Évaluez votre conformité actuelle par rapport aux 5 piliers DORA. Identifiez les écarts critiques, en particulier sur la gouvernance, la cartographie des prestataires TIC et le dispositif de gestion d'incidents.
Étape 2 : Gouvernance et nomination des responsables
Mettez en place une instance dédiée à la résilience opérationnelle numérique, rattachée au conseil d'administration. Désignez un responsable de la gestion des risques TIC indépendant.
Étape 3 : Cartographie des actifs et prestataires critiques
Constituez le registre des contrats TIC exigé par DORA, avec classification de la criticité et identification des concentrations de risque (ex : dépendance excessive à un seul cloud).
Étape 4 : Renforcement des dispositifs techniques
Renforcez votre socle de cybersécurité : segmentation réseau, EDR/XDR, SOC, sauvegardes immutables, plan de continuité testé. Intégrez la sécurité dès la conception (security by design) sur tous les nouveaux projets.
Étape 5 : Programme de tests de résilience
Définissez un calendrier annuel de tests : scans de vulnérabilités, tests d'intrusion, exercices de gestion de crise, tests de PCA/PRA. Pour les entités importantes, préparez votre premier test TLPT.
Étape 6 : Documentation et reporting
Formalisez l'ensemble des politiques, procédures et registres exigés. Préparez les modèles de notification d'incident conformes aux RTS de l'EBA. Mettez en place un reporting régulier au conseil d'administration.
Combien coûte la mise en conformité DORA ?
Les coûts varient considérablement selon la taille et la complexité de l'entité :
- Petite fintech ou cabinet de gestion : 50 000 à 150 000 € (audit, gouvernance, outillage de base).
- Banque régionale ou assurance moyenne : 300 000 à 800 000 € (refonte gouvernance, SOC, registre prestataires, tests).
- Banque systémique ou grand assureur : 2 à 10 M€ sur 2 ans (programme global, TLPT, transformation organisationnelle).
À cela s'ajoutent les coûts récurrents annuels (15 à 25 % de l'investissement initial) pour maintenir le dispositif en condition opérationnelle.
Erreurs à éviter dans votre projet DORA
- Confondre DORA et NIS2 : les exigences se recouvrent mais les délais et processus diffèrent.
- Sous-estimer la cartographie des prestataires TIC : c'est le chantier le plus chronophage.
- Négliger les contrats existants : les clauses DORA doivent être renégociées avec tous les prestataires critiques.
- Repousser les tests de résilience : ils nécessitent plusieurs mois de préparation.
- Traiter DORA comme un projet IT : c'est un programme stratégique qui implique direction générale, juridique, achats et métiers.
Conclusion : transformer DORA en avantage compétitif
Au-delà de la contrainte réglementaire, DORA représente une opportunité de professionnaliser durablement la gestion des risques numériquesdans le secteur financier. Les entités qui anticipent et structurent leur démarche en font un facteur de différenciation auprès de leurs clients, de leurs investisseurs et des autorités de supervision.
CyberConform accompagne banques, assurances, sociétés de gestion et fintechs dans toutes les étapes de leur mise en conformité DORA : diagnostic, gouvernance, cartographie des prestataires TIC, refonte contractuelle, tests de résilience et préparation des audits ACPR/AMF.
Articles recommandés
Certification HDS : guide complet 2026
Hébergement de données de santé : 6 activités, articulation ISO 27001, RGPD et NIS2, processus et coûts.
Lire l'articleIAMIAM pour PME : SSO, MFA, PAM, IGA
Structurer un programme IAM conforme NIS2 et ISO 27001 : identités humaines et machines, recertification.
Lire l'articleMicrosoft 365Sécurité Microsoft 365 : guide complet 2026
MFA, Conditional Access, Defender, Purview, DLP, sauvegardes tierces et Secure Score pour PME et ETI.
Lire l'articleBesoin d'accompagnement ?
Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.
Demander un diagnostic gratuit