8 juin 2026

Réglementation DORA : obligations, 5 piliers et gestion des tiers ICT

La réglementation DORA impose aux entités financières de l'UE des obligations strictes sur la gestion des risques ICT et de leurs fournisseurs technologiques. Découvrez les 5 piliers, vos obligations et comment CyberVadis vous accompagne dans votre conformité.

Points clés

  • DORA (Digital Operational Resilience Act) est en vigueur depuis le 17 janvier 2025 pour toutes les entités financières de l'UE
  • La réglementation repose sur 5 piliers, dont la gestion des risques ICT tiers; l'obligation la plus complexe à mettre en œuvre
  • Les entités concernées doivent tenir un registre de tous leurs prestataires ICT et évaluer leur cybersécurité
  • La différence fondamentale avec le RGPD : DORA porte sur la résilience opérationnelle, pas sur les données personnelles
  • CyberVadis propose une évaluation basée sur les preuves qui répond directement aux exigences du Chapitre V de DORA

La réglementation DORA (Digital Operational Resilience Act) est un texte réglementaire européen qui impose aux entités financières de démontrer leur capacité à résister, répondre et se remettre de tout incident lié aux technologies de l'information et de la communication (ICT). En vigueur depuis le 17 janvier 2025, DORA concerne les banques, assureurs, établissements de paiement, sociétés de gestion et autres acteurs du secteur financier opérant dans l'Union européenne. Son originalité : elle place la gestion des prestataires ICT tiers au cœur des obligations de conformité. CyberVadis aide les équipes sécurité et conformité à répondre aux exigences du Chapitre V de DORA grâce à des évaluations de fournisseurs validées par des analystes experts.

Qu'est-ce que la réglementation DORA ?

DORA, acronyme de Digital Operational Resilience Act, est une réglementation européenne adoptée en décembre 2022 et applicable depuis le 17 janvier 2025. Elle s'applique directement dans les 27 États membres sans nécessiter de transposition nationale; une spécificité importante par rapport à des directives comme NIS2.

Son objectif est de garantir que les entités financières peuvent maintenir leurs activités critiques même en cas d'incidents ICT graves : cyberattaques, pannes de systèmes, défaillances de prestataires technologiques. Selon le considérant 3 du réglementation, "le secteur financier de l'UE dépend de plus en plus de technologies numériques et d'entreprises tierces pour la fourniture de services ICT critiques".

Ce texte est la première réglementation européen à traiter de façon aussi exhaustive la résilience numérique opérationnelle du secteur financier, en couvrant à la fois la gestion des risques internes et celle des risques liés aux tiers ICT.

Qui est concerné par DORA ?

Les entités soumises à DORA couvrent un large spectre du secteur financier :

  1. Établissements de crédit (banques)
  2. Établissements de paiement et de monnaie électronique
  3. Entreprises d'investissement
  4. Sociétés de gestion d'OPCVM et fonds d'investissement alternatifs
  5. Compagnies d'assurance et de réassurance
  6. Contreparties centrales et dépositaires centraux de titres
  7. Prestataires de services sur crypto-actifs (PSCA)
  8. Agences de notation de crédit
  9. Prestataires de services de financement participatif

Quelles sont les obligations des entités financières ?

Au-delà des 5 piliers, DORA génère des obligations opérationnelles concrètes que les équipes conformité et sécurité doivent mettre en œuvre.

Sur la gouvernance, l'organe de direction est directement responsable de la stratégie de résilience numérique. Les dirigeants peuvent être tenus personnellement responsables en cas de manquement; une disposition qui a considérablement accru l'attention portée à DORA au plus haut niveau.

Sur les systèmes, les entités doivent cartographier l'ensemble de leur patrimoine ICT, identifier les actifs critiques et maintenir une documentation à jour. Selon une estimation de la Commission européenne, une banque de taille moyenne s'appuie en moyenne sur plus de 5 000 prestataires ICT et le champ des obligations est donc considérable.

Sur les incidents, le calendrier de notification est non négociable : toute entité qui rate les délais s'expose à des sanctions de la part de son autorité nationale compétente (ACPR en France, BaFin en Allemagne par exemple).

DORA et la gestion des tiers ICT : l'obligation centrale

Le Chapitre V de DORA est celui qui génère le plus de travail opérationnel pour les équipes sécurité et achats. Il impose quatre grandes obligations :

  1. Le registre des prestataires ICT : chaque entité doit tenir un registre complet et actualisé de tous ses prestataires ICT avec, pour chacun, une classification selon sa criticité pour les fonctions essentielles de l'entité. Ce registre doit être transmis aux autorités de supervision sur demande.
  2. L'évaluation préalable et continue : avant de contractualiser avec un nouveau prestataire ICT, l'entité doit évaluer ses risques de cybersécurité. Cette évaluation doit ensuite être maintenue de façon continue; pas seulement au moment du contrat. Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d'une violation de données impliquant un tiers atteint 4,88 millions de dollars, ce qui justifie pleinement l'obligation d'évaluation continue imposée par DORA.
  3. Les obligations contractuelles : DORA définit une liste de clauses obligatoires dans les contrats avec les prestataires ICT : droit d'audit, niveaux de service (SLA), plans de sortie, obligations de notification en cas d'incident. Les contrats existants doivent être mis en conformité.
  4. Les prestataires ICT critiques (CTPP) : pour les prestataires jugés critiques au niveau européen (désignés par les autorités de supervision), DORA prévoit un cadre de surveillance spécifique. D'après l'ENISA, les incidents impliquant des prestataires ICT critiques ont augmenté de 42% entre 2022 et 2024 dans le secteur financier européen.

C'est précisément sur ce Chapitre V que CyberVadis intervient. Notre plateforme permet d'évaluer la posture de cybersécurité de chaque prestataire ICT avec des preuves vérifiées par nos analystes, et non un simple score automatisé, pour satisfaire les exigences documentaires attendues par les superviseurs.

Quelle est la différence entre DORA et le RGPD ?

C'est la question la plus fréquemment posée par les équipes juridiques et conformité. La réponse est simple : DORA et le RGPD ont des objectifs et des périmètres fondamentalement différents.


Les deux réglementations sont complémentaires et non alternatives : une banque doit être conforme à DORA ET au RGPD. Un prestataire ICT peut être concerné par les deux : DORA pour ses pratiques de cybersécurité, RGPD s'il traite des données personnelles pour le compte de l'entité financière.

Vous voulez en savoir plus ?

Découvrez comment CyberVadis vous aide à satisfaire les exigences de DORA.

Questions fréquentes

R : DORA vise à renforcer la résilience opérationnelle numérique du secteur financier européen. Il impose aux banques, assureurs et autres entités financières de démontrer qu'elles peuvent maintenir leurs activités critiques face à des incidents ICT graves, qu'ils soient d'origine interne ou liés à un prestataire technologique. DORA est en vigueur depuis le 17 janvier 2025.

R : Les micro-entreprises (moins de 10 salariés et chiffre d'affaires annuel inférieur à 2 millions d'euros) bénéficient d'un régime allégé. Certaines entités comme les gestionnaires de fonds alternatifs sous seuil ou les petits établissements de paiement peuvent également bénéficier de dérogations partielles. Les entités hors secteur financier ne sont pas concernées par DORA.

R : DORA est applicable depuis le 17 janvier 2025 dans l'ensemble des États membres de l'UE. Les entités concernées devaient être en conformité à cette date. Les autorités nationales de supervision ont commencé leurs premiers contrôles de conformité courant 2025.

R : Oui, indirectement. Les prestataires ICT qui fournissent des services à des entités financières sont soumis aux clauses contractuelles imposées par DORA (Article 30) : droit d'audit, obligations de notification d'incident, SLA. Les prestataires ICT désignés "critiques" au niveau européen font l'objet d'un cadre de surveillance direct par les autorités de supervision.

R : Un établissement financier peut être concerné par les deux textes. DORA est lex specialis : en cas de conflit, DORA prévaut sur NIS2 pour les entités financières. En pratique, une conformité DORA bien construite couvre et dépasse les exigences NIS2 pour le secteur financier.