DORA : résilience opérationnelle pour le secteur financier

Q: DORA s'applique à qui ?

Toutes institutions financières UE (banques, assurances, fonds, prestataires services TIC) + leurs critical third-party providers. Applicable depuis janvier 2025. Non-conformité : sanctions financières + reporting public.

Q: Différence DORA vs NIS2 ?

DORA spécifique secteur financier (lex specialis). NIS2 transversal multi-secteurs. Pour banques : cumul des deux (DORA prime sur NIS2). Pour autres secteurs essentiels : NIS2 only.

Chargement...

DORA : résilience opérationnelle pour le secteur financier

15 avril 2026·2 min de lecture·355 mots

DORA (Digital Operational Resilience Act) est la régulation EU entrée vigueur janvier 2025 pour secteur financier. Impose résilience opérationnelle digitale avec obligations strictes en gestion risques ICT, tests TLPT, reporting incidents, supply chain. Impact réseau majeur. Guide DORA 2026.

Entités concernées

Banques, sociétés de gestion, assureurs
FinTech et crypto-actifs (MiCA)
Market infrastructures (Bourses, CCP)
Fournisseurs ICT critiques (cloud providers, FinTech B2B)
Exemption : micro-entreprises <10 employés, <2M€ CA

5 piliers DORA

1. Risk Management ICT

Gouvernance : CEO responsable
Cartographie complète ICT
Gestion risques formalisée + revue annuelle
BCP + DRP testés

2. Incident reporting

Classification incidents major (impact services critiques)
Notification autorité : <4h initial, suivi 24-48h, final 1 mois
En France : ACPR + AMF selon secteur

3. Operational resilience testing

Tests annuels + avancés tous les 3 ans
TLPT (Threat-Led Penetration Testing) pour grandes entités
Red team exercises
Scénarios avancés : ransomware, supply chain

4. Third-party risk

Registre fournisseurs ICT
Contrat obligatoire avec clauses spécifiques
Audit droit du donneur d'ordre
Concentration risque : identifier critical 3P dependencies

5. Information sharing

Partage threat intelligence entre entités financières (volontaire mais encouragé)
Participation TIBER-EU

Impact réseau

Segmentation + micro-segmentation obligatoire
SIEM + SOC 24×7 pour notification rapide
Redondance DC géo-diversifié (cas backup)
Logs conservation 10 ans
Tests cyber-résilience annuels
Pentest annuel obligatoire, TLPT tous 3 ans (grands comptes)

Supply chain ICT

Big impact sur cloud providers (AWS, Azure, GCP, OVH) :

Obligation de transparence sécurité
Audit rights pour clients réguliers
Sortie contrat 'prop' facilitée
Concentration risk : limites dépendance single-vendor

Sanctions

Amendes : jusqu'à 2% CA annuel mondial
Pour dirigeants : 1M€ amende personnelle
Suspension activité possible
Réputation : disclosure publique

Conformité : roadmap 12 mois

Mois 1-3 : gap analysis vs DORA
Mois 3-6 : refonte risk management + incident process
Mois 6-9 : déploiement outils (SIEM, SOC, SIEM, TLPT)
Mois 9-12 : tests + documentation
Post : audit annuel ACPR

Budget conformité typique

PME banque : 500 k€-2M€
ETI : 5-15M€
Grande banque : 30-100M€
Inclut : outils, consultants, tests, formation

Commander chez OPTINOC

Accompagnement DORA : audit, déploiement outils (SIEM Splunk/Sentinel, ZTNA, micro-segmentation), TLPT partenaires. Expertise secteur financier. Devis sous 1 semaine.

Questions fréquentes

DORA s'applique à qui ?