Réglementaire

DORA

Définition

DORA (Digital Operational Resilience Act) est le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025. Il s'adresse aux banques, assurances, entreprises d'investissement, prestataires de services sur crypto-actifs et à leurs prestataires informatiques critiques. Contrairement à une directive, un règlement s'applique directement, sans transposition nationale.

Pourquoi c'est important

DORA repose sur cinq piliers : gestion des risques liés aux technologies de l'information et de la communication (TIC), gestion et notification des incidents majeurs, tests de résilience (dont les tests d'intrusion fondés sur la menace, ou TLPT, alignés sur le cadre TIBER-EU), maîtrise du risque lié aux prestataires tiers, et partage d'informations sur les cybermenaces. En France, l'ACPR et l'AMF en assurent le contrôle, et les prestataires informatiques jugés critiques peuvent être supervisés directement par les autorités européennes de surveillance. Pour un établissement financier, DORA transforme la résilience TIC en obligation réglementaire mesurable, avec des exigences contractuelles fortes sur les sous-traitants cloud et IA : registre d'information des contrats, stratégie de sortie, droits d'audit. Le règlement fixe aussi des délais stricts de classification et de notification des incidents majeurs aux autorités compétentes, ce qui impose un dispositif de détection et de qualification mûr.

Comment AOCSI l'adresse

nous alignons votre dispositif de maîtrise des risques TIC et de gestion des tiers sur les exigences DORA, et cadrons vos campagnes de tests de résilience. Découvrez notre offre de gouvernance, risques et conformité pour structurer registre des risques, plan de tests et reporting réglementaire.

De la définition à la protection.

Nos experts transforment ces concepts en sécurité concrète pour votre organisation.