DORA - Résilience Opérationnelle Numérique

Digital Operational Resilience Act - Complémentaire à NIS2

Jan 2025 Application
5 Piliers DORA
🏦 Secteur Financier

Qu'est-ce que DORA ?

Le Digital Operational Resilience Act (DORA) est un règlement européen entré en vigueur en janvier 2023, applicable dès janvier 2025. Il vise à renforcer la résilience opérationnelle numérique du secteur financier face aux cybermenaces et aux incidents TIC.

Jan 2023 Entrée en vigueur
Jan 2025 Application
T3 2025 Premiers contrôles

DORA vs NIS2 : Complémentarité et Différences

Critère NIS2 DORA
Champ d'application 18 secteurs essentiels et importants (énergie, transport, santé, etc.) Secteur financier uniquement (banques, assurances, investissement)
Type d'acte Directive (transposition nationale) Règlement (application directe)
Focus principal Cybersécurité et résilience générale Résilience opérationnelle numérique
Gestion des risques TIC Exigence générale Cadre détaillé et prescriptif
Tiers / Fournisseurs Sécurité de la chaîne d'approvisionnement Gestion stricte des prestataires TIC tiers critiques
Tests Tests de sécurité réguliers Tests de résilience opérationnelle avancés obligatoires (TLPT)
Reporting incidents 24h (alerte) / 72h (rapport) Selon criticité et impact
Partage d'information Encouragé Obligation de partage de cyber threat intelligence

🤝 Synergie NIS2 + DORA pour le Secteur Financier

Les institutions financières soumises aux deux réglementations peuvent bénéficier d'une approche intégrée :

  • Base commune : Les deux réglementations partagent des objectifs de résilience cyber
  • DORA plus prescriptif : DORA complète NIS2 avec des exigences spécifiques au secteur financier
  • Conformité combinée : Un SMSI ISO 27001 couvre une large partie des deux réglementations
  • Resiplan : Notre plateforme SaaS adresse simultanément NIS2 et DORA

Les 5 Piliers de DORA

1

Gouvernance et Gestion des Risques TIC

Établir un cadre robuste de gestion des risques liés aux technologies de l'information et de la communication

  • Cadre de gestion des risques TIC documenté
  • Responsabilité de l'organe de direction
  • Identification et classification des actifs
  • Stratégies de protection et de prévention
  • Apprentissage et évolution continue
Support frameworks : ISO 27001 (chapitres 4-6), CyFun (gouvernance)
2

Gestion, Classification et Reporting des Incidents

Détecter, gérer et signaler les incidents liés aux TIC de manière efficace

  • Processus de détection et surveillance
  • Classification des incidents (majeurs/significatifs)
  • Procédures de réponse aux incidents
  • Reporting aux autorités compétentes
  • Registre des incidents
  • Communication aux clients si nécessaire
Support frameworks : ISO 27001 (A.5.24-5.28), CyFun (gestion incidents)
3

Tests de Résilience Opérationnelle Numérique

Tester régulièrement la capacité à résister, répondre et se rétablir

  • Programme de tests approprié
  • Tests d'évaluation des vulnérabilités
  • Analyses de scénarios
  • Tests de compatibilité
  • Tests de performance
  • TLPT (Threat-Led Penetration Testing) pour entités critiques
Support frameworks : ISO 27001 (A.5.7), CyFun (tests sécurité)
4

Gestion des Risques liés aux Tiers Prestataires TIC

Gérer les risques découlant de la dépendance aux prestataires de services TIC

  • Stratégie de gestion des tiers TIC
  • Registre des prestataires TIC tiers
  • Évaluation avant contractualisation
  • Clauses contractuelles obligatoires
  • Surveillance continue des prestataires
  • Stratégie de sortie et de substitution
  • Oversight des prestataires TIC tiers critiques
Support frameworks : ISO 27001 (A.5.19-5.23), CyFun (relations fournisseurs)
5

Partage d'Informations

Échanger des renseignements et des informations sur les cybermenaces

  • Participation aux communautés de partage
  • Échange de cyber threat intelligence
  • Indicateurs de compromission (IoC)
  • Tactiques, techniques et procédures (TTP)
  • Alertes et avertissements
  • Configuration de mesures de protection
Support frameworks : ISO 27001 (A.5.7), CyFun (partage information)

Entités Financières Concernées par DORA

Établissements de Crédit

Banques et institutions financières proposant des services bancaires

Entreprises d'Investissement

Sociétés de bourse, gestionnaires d'actifs

Entreprises d'Assurance

Compagnies d'assurance et de réassurance

Infrastructures de Marché

Plateformes de trading, chambres de compensation

Gestionnaires de Fonds

OPCVM, FIA, fonds de pension

Prestataires de Services de Cryptoactifs

Plateformes d'échange, custodians

Prestataires de Services de Paiement

Émetteurs de monnaie électronique, PSP

Agences de Notation

Agences de notation de crédit

Notre Accompagnement DORA

🔍

Gap Analysis DORA

Évaluation de votre niveau de conformité par rapport aux 5 piliers de DORA

📋

Cadre de Gestion des Risques TIC

Élaboration d'un framework adapté à votre organisation

🧪

Programme de Tests TLPT

Mise en place de tests de pénétration threat-led

🤝

Gestion des Tiers TIC

Stratégie et processus de gestion des prestataires critiques

📊

Reporting et Gouvernance

Mise en place des processus de reporting d'incidents

🚀

Resiplan pour DORA

Notre plateforme SaaS couvre les exigences DORA de continuité et résilience

Ressources DORA

📄

Texte Officiel

Règlement (UE) 2022/2554

Voir le règlement →
📚

Standards Techniques

RTS et ITS publiés par les ESAs

En savoir plus →
🇧🇪

Autorités Belges

NBB, FSMA - Orientations nationales

Visiter →

Votre Institution Financière est-elle Prête pour DORA ?

Nos experts vous accompagnent dans votre mise en conformité DORA

Évaluer Votre Conformité DORA En savoir plus sur DORA