0 / 5 modules
Formation · DORA

Digital Operational
Resilience Act

Une formation conçue pour comprendre DORA de zéro — même sans connaissance du secteur financier. Du contexte réglementaire jusqu'aux 5 piliers opérationnels.

5
Modules
5
Piliers DORA
15
Questions quiz
2027
En vigueur
🗺️
Parcours de formation
Module 1 — Contexte du secteur financierComprendre pourquoi la finance est une cible critique et comment elle est régulée en Europe
Module 2 — Le règlement DORAOrigines, périmètre, acteurs concernés, calendrier
Module 3 — Les 5 piliers opérationnelsDeep dive sur chaque exigence DORA
Module 4 — GlossaireLes termes clés du règlement et du secteur
Module 5 — Quiz d'évaluation15 questions pour valider ses acquis
💡 Conseil : Commence par le Module 1 même si tu connais DORA — la base sectorielle est essentielle pour comprendre pourquoi le règlement existe.
Le secteur financier européen
Comprendre la cible avant de comprendre la réglementation
🏦
C'est quoi "le secteur financier" ?

Le secteur financier regroupe toutes les entités qui gèrent, transfèrent ou garantissent de l'argent. Il se décompose en 3 grandes familles :

01 / BANQUES

Établissements de crédit

Collectent les dépôts, accordent des prêts. Ex : BNP, Société Générale, Crédit Agricole.

02 / ASSURANCES

Compagnies d'assurance

Mutualisent les risques contre paiement d'une prime. Ex : AXA, Allianz, Generali.

03 / MARCHÉS

Infrastructures de marché

Bourses, chambres de compensation, dépositaires. Ex : Euronext, Euroclear.

04 / FINTECH

Prestataires numériques

Paiements, crypto, courtage en ligne. Ex : Revolut, Lydia, Stripe.

Pourquoi la finance est-elle si sensible aux cyberattaques ?

Les banques sont toutes reliées entre elles via des systèmes de paiement interbancaires (TARGET2, SWIFT, SEPA). Si une grande banque tombe, l'effet domino peut paralyser tout le système.

Exemple : la panne du réseau SWIFT d'une grande banque peut bloquer des milliers de transactions internationales en quelques minutes.

Les banques et assurances sont massivement externalisées vers des prestataires cloud (AWS, Azure, Google Cloud) et des éditeurs de logiciels. Une panne chez un hyperscaler peut impacter simultanément des centaines d'entités financières.

⚠️ En 2021, une panne d'AWS a interrompu les services de plusieurs dizaines de banques et fintechs européennes simultanément.

Le secteur financier est la cible n°1 des cybercriminels car il concentre :

  • Des données personnelles massives (identités, RIB, revenus)
  • Des flux monétaires directs accessibles par virement frauduleux
  • Une valeur de rançon élevée : une banque paie pour éviter une coupure de service
🏛️
Les superviseurs financiers européens

DORA implique 3 autorités européennes de surveillance (ESA = European Supervisory Authorities) :

SigleNom completSurveille
EBAEuropean Banking AuthorityBanques, établissements de crédit
EIOPAEuropean Insurance and Occupational Pensions AuthorityAssurances, fonds de pension
ESMAEuropean Securities and Markets AuthorityMarchés financiers, fonds d'investissement
💡 Ces 3 autorités forment ensemble le Comité mixte des ESA, responsable de la supervision DORA. Elles publient les RTS/ITS (normes techniques réglementaires) qui détaillent les exigences DORA.
Le règlement DORA
Origines, périmètre et obligations fondamentales
📜
Historique et genèse
2019
Point de départ : fragmentation réglementaire
Chaque État membre avait ses propres règles sur la résilience informatique. Un incident transfrontalier était géré différemment selon les pays, créant des angles morts.
Sept. 2020
Proposition de la Commission européenne
DORA est publié dans le cadre du Digital Finance Package, avec l'objectif d'harmoniser la résilience opérationnelle numérique dans toute l'UE.
Déc. 2022
Publication au Journal Officiel de l'UE
Règlement (UE) 2022/2554. Entrée en vigueur le 16 janvier 2023. Les entités ont 2 ans pour se conformer.
Janv. 2025
Date d'application obligatoire
Toutes les entités dans le périmètre doivent être conformes. Les superviseurs nationaux peuvent infliger des sanctions.
2025-2027
Supervision des prestataires critiques (CTPP)
Les ESA désignent les prestataires TIC d'importance critique (cloud, etc.) et exercent une supervision directe.
🎯
Périmètre : qui est concerné ?

DORA s'applique à plus de 22 000 entités financières en Europe. L'article 2 du règlement liste les entités concernées :

✅ Entités directement concernées

  • Établissements de crédit (banques)
  • Établissements de paiement
  • Entreprises d'assurance et de réassurance
  • Sociétés de gestion d'actifs (OPCVM, FIA)
  • Plateformes de négociation
  • Prestataires de services sur crypto-actifs
  • Agences de notation
  • Référentiels centraux

🔗 Prestataires TIC indirectement concernés

  • Fournisseurs cloud (AWS, Azure, GCP)
  • Éditeurs de logiciels critiques (core banking)
  • Centres de données
  • Prestataires de services de sécurité
  • Fournisseurs de données financières
Les CTPP (prestataires critiques désignés par les ESA) font l'objet d'une supervision directe européenne.
🔗
DORA vs autres réglementations
RèglementPérimètreFocusRelation avec DORA
NIS2 Secteurs critiques (énergie, santé, finance…) Cybersécurité générale DORA = lex specialis pour la finance. Primauté de DORA sur NIS2.
RGPD Tous les traitements de données personnelles Protection des données Complémentaire. Un incident DORA peut déclencher une notification RGPD.
CRA Produits avec éléments numériques Sécurité des produits Les logiciels achetés par entités DORA doivent être conformes CRA.
IA Act Systèmes d'IA Risques IA L'IA utilisée dans des processus critiques financiers est doublement régulée.
Les 5 piliers de DORA
Le cœur opérationnel du règlement — chapitres II à VI
🏗️
Pilier 1 — Gestion des risques TIC (Chapitre II)

C'est le socle fondateur de DORA. L'entité doit disposer d'un cadre de gestion des risques TIC solide et documenté.

L'organe de direction (conseil d'administration, directoire) doit approuver personnellement la stratégie de résilience TIC et rend compte au superviseur.

Nouveauté clé : la responsabilité personnelle des dirigeants est engagée. Ce n'est plus seulement une affaire de la DSI ou du RSSI.

⚠️ Contrairement à NIS2 où la responsabilité est d'abord organisationnelle, DORA crée une responsabilité managériale directe des dirigeants.

L'entité doit disposer d'un cadre de gestion des risques TIC complet comprenant :

  • Cartographie des actifs TIC : identifier tous les systèmes, données et dépendances
  • Protection et prévention : politiques de sécurité, contrôles d'accès, chiffrement
  • Détection : surveillance continue des anomalies et menaces
  • Réponse et rétablissement : plans de réponse aux incidents, PCA/PRA
  • Apprentissage et évolution : retours d'expérience après incidents

Chaque entité doit disposer d'une politique de continuité d'activité TIC avec :

  • RTO (Recovery Time Objective) : délai maximal de rétablissement des fonctions critiques
  • RPO (Recovery Point Objective) : perte de données maximale acceptable
  • PCA/PRA documentés et testés régulièrement
  • Sauvegardes redondantes géographiquement distinctes
🚨
Pilier 2 — Gestion des incidents TIC (Chapitre III)

DORA impose un processus structuré pour détecter, gérer, classer et signaler les incidents.

Les incidents sont classifiés selon des critères harmonisés définis par les ESA dans des RTS :

  • Nombre de clients affectés
  • Durée de l'indisponibilité
  • Impact géographique
  • Impact sur la continuité des services critiques
  • Pertes financières
✅ Un incident "majeur" déclenche une obligation de notification au superviseur.

Pour les incidents qualifiés de majeurs, l'entité doit notifier en 3 étapes :

  • Notification initiale : dans les 4 heures après détection (ou 24h maximum)
  • Rapport intermédiaire : dans les 72 heures
  • Rapport final : dans le mois suivant la clôture de l'incident
💡 C'est plus strict que NIS2 (qui prévoit 24h puis 72h). DORA introduit le rapport final à 1 mois.
🧪
Pilier 3 — Tests de résilience opérationnelle (Chapitre IV)

DORA impose des tests réguliers et documentés de la résilience des systèmes. C'est le pilier le plus novateur.

TOUS LES ANS

Tests de base (Art. 25)

  • Tests de vulnérabilité
  • Tests de pénétration
  • Tests de performance
  • Tests de continuité d'activité

Obligatoires pour toutes les entités dans le périmètre.

TOUS LES 3 ANS

TLPT — Threat-Led Penetration Testing (Art. 26)

  • Tests de pénétration avancés pilotés par renseignement sur les menaces
  • Réalisés par des testeurs tiers certifiés
  • Validés par le superviseur
  • Basés sur le cadre TIBER-EU

Uniquement pour les entités "d'importance significative".

🤝
Pilier 4 — Risques liés aux tiers prestataires TIC (Chapitre V)

Le pilier le plus étendu et complexe de DORA. Il concerne la gestion du risque de dépendance aux fournisseurs.

Avant tout contrat avec un prestataire TIC, l'entité doit réaliser une due diligence et s'assurer que :

  • Le prestataire respecte des normes de sécurité adéquates
  • Des clauses contractuelles minimales obligatoires sont présentes (Art. 30)
  • Des stratégies de sortie sont définies en cas de défaillance du fournisseur
  • La concentration des risques est surveillée (pas de dépendance excessive à un seul fournisseur)

Tout contrat avec un prestataire TIC pour des fonctions critiques doit contenir au minimum :

  • Description précise des services fournis et niveaux de service (SLA)
  • Localisation des données (pays, datacenters)
  • Droits d'audit et d'accès de l'entité et du superviseur
  • Obligations de notification des incidents
  • Procédures de résiliation et de transition
  • Plans de continuité d'activité du prestataire

Les ESA peuvent désigner certains prestataires TIC comme CTPP (Critical Third-Party Providers). Ces prestataires sont soumis à une supervision directe européenne, incluant :

  • Inspections sur place
  • Demandes d'information
  • Recommandations contraignantes
  • Amendes jusqu'à 1% du CA mondial journalier (pendant 6 mois maximum)
⚠️ C'est une révolution : pour la première fois, des fournisseurs cloud non-financiers comme AWS ou Microsoft Azure peuvent être directement supervisés par des régulateurs financiers européens.
🌐
Pilier 5 — Partage d'information (Chapitre VI)

DORA encourage le partage volontaire de renseignements sur les cybermenaces entre entités financières.

💡 Les entités peuvent s'organiser en groupes de partage d'informations pour échanger des indicateurs de compromission (IoC), des tactiques/techniques/procédures d'attaquants (TTPs) et des alertes précoces sur les menaces émergentes.
✅ Ce pilier est facultatif mais fortement encouragé. Les échanges sont protégés : participer ne crée pas de responsabilité supplémentaire.
Glossaire DORA
Les termes essentiels du règlement et du secteur financier
CTPP DORA Art. 31
Critical Third-Party Provider — Prestataire TIC tiers d'importance critique désigné par les ESA. Ces entités (typiquement des hyperscalers cloud ou des éditeurs de logiciels de base) sont soumises à une supervision directe européenne.
ESA Superviseur
European Supervisory Authority — Les 3 autorités européennes de surveillance financière : EBA (banques), EIOPA (assurances), ESMA (marchés). Elles publient les normes techniques DORA (RTS/ITS).
RTS / ITS Normes techniques
Regulatory Technical Standards / Implementing Technical Standards — Textes techniques publiés par les ESA pour préciser les exigences de DORA. Exemple : les RTS sur la classification des incidents ou les critères de test TLPT.
TLPT DORA Art. 26
Threat-Led Penetration Testing — Tests de pénétration avancés basés sur le renseignement sur les menaces. Obligatoires tous les 3 ans pour les entités d'importance significative. Basés sur le cadre européen TIBER-EU.
TIBER-EU Cadre BCE
Threat Intelligence-Based Ethical Red Teaming — Cadre de la Banque Centrale Européenne pour les tests de cyberrésilience du secteur financier. DORA s'appuie sur TIBER-EU pour les TLPT.
RTO / RPO Continuité
Recovery Time Objective / Recovery Point Objective — RTO = durée maximale acceptable d'indisponibilité d'un système. RPO = perte de données maximale acceptable (en temps). Ces deux indicateurs définissent les objectifs des plans de continuité d'activité (PCA/PRA).
PCA / PRA Continuité
Plan de Continuité d'Activité / Plan de Reprise d'Activité — Le PCA vise à maintenir les activités critiques pendant un incident. Le PRA vise à restaurer les systèmes après un incident. DORA exige que ces plans soient documentés, testés régulièrement et validés par la direction.
IoC / TTP Threat Intel
Indicator of Compromise / Tactics, Techniques and Procedures — IoC = signes techniques d'une compromission (adresses IP malveillantes, hashes de malware). TTP = comportements et méthodes des attaquants. Ces éléments sont au cœur du partage d'information DORA (Pilier 5).
SLA Contrats
Service Level Agreement — Accord de niveau de service entre une entité financière et son prestataire TIC. DORA impose que les SLA incluent des engagements sur la disponibilité, la sécurité, le droit d'audit et la gestion des incidents.
TARGET2 / SWIFT / SEPA Paiements
Systèmes interbancaires de paiement. TARGET2 = système de paiement brut en temps réel de la BCE pour les grandes transactions en euros. SWIFT = réseau mondial de messagerie financière. SEPA = espace de paiement européen unifié pour les virements et prélèvements en euros.
Lex specialis Droit européen
Principe juridique selon lequel la loi spéciale prime sur la loi générale. DORA est la lex specialis de NIS2 pour le secteur financier : quand les deux réglementations s'appliquent, DORA prévaut. Cela évite les conflits d'obligations.
Risque de concentration DORA Art. 29
Risque lié à la dépendance excessive du secteur financier envers un nombre limité de prestataires TIC (ex : si 80% des banques européennes utilisent le même fournisseur cloud, une panne systémique est possible). DORA oblige les entités à surveiller et gérer ce risque.
Quiz d'évaluation
15 questions pour valider vos connaissances DORA
Question 1 / 15