EN|FR
DORA

Guides DORA

Guides complets sur la conformité DORA (Digital Operational Resilience Act) pour les institutions financières, incluant la gestion des risques TIC, le reporting d'incidents et les risques tiers.

1Qu'est-ce que DORA ? Le Digital Operational Resilience Act expliqué8 min2Qui doit se conformer à DORA ? Périmètre et applicabilité10 min3Les cinq piliers de DORA : les exigences fondamentales expliquées10 min4Exigences de gestion des risques TIC selon DORA10 min5Signalement des incidents DORA : délais et exigences9 min6Tests de résilience DORA : exigences et TLPT expliqués10 min7Gestion des risques tiers DORA : exigences pour les prestataires TIC10 min8Partage d'informations DORA : échange de renseignements sur les cybermenaces7 min9Checklist de conformité DORA : guide de mise en œuvre étape par étape10 min10Sanctions DORA : amendes et application expliquées8 min11DORA vs NIS 2 : comprendre les différences9 min12DORA vs ISO 27001 : comparaison et complémentarité8 min13DORA pour les fintechs et startups : ce que vous devez savoir10 min14Exigences de gouvernance DORA : responsabilité de la direction8 min15Registre d'informations DORA : exigences et préparation9 min16Exigences contractuelles DORA : accords TIC tiers8 min17Calendrier DORA : dates clés et jalons7 min18Coût de conformité DORA : que budgétiser9 min

Questions fréquentes sur DORA

Réponses rapides aux questions les plus posées sur la conformité DORA.

DORA (Digital Operational Resilience Act) est un règlement européen établissant des exigences de gestion des risques TIC pour les entités financières. Il vise à assurer que les institutions financières peuvent résister, répondre et se remettre des perturbations et menaces liées aux TIC.

DORA s'applique à pratiquement toutes les entités financières de l'UE incluant les banques, assureurs, sociétés d'investissement, établissements de paiement, prestataires de services sur crypto-actifs, et les prestataires de services TIC tiers critiques servant ces entités.

Les cinq piliers de DORA sont : 1) Gestion des risques TIC, 2) Reporting des incidents liés aux TIC, 3) Tests de résilience opérationnelle numérique, 4) Gestion des risques liés aux tiers TIC, et 5) Dispositifs de partage d'informations sur les cybermenaces.

DORA est entré en vigueur le 16 janvier 2023 et s'applique à partir du 17 janvier 2025. Les entités financières et leurs fournisseurs TIC critiques doivent être pleinement conformes à cette date.

Les incidents TIC majeurs doivent être signalés aux autorités compétentes : notification initiale dans les 4 heures suivant la classification comme majeur, rapport intermédiaire dans les 72 heures, et rapport final dans le mois. Les rapports utilisent des templates standardisés spécifiés dans les normes techniques de réglementation.

DORA est lex specialis pour le secteur financier, ce qui signifie qu'il prévaut sur NIS 2 pour les entités financières. Cependant, les prestataires de services TIC tiers critiques servant des entités financières peuvent devoir se conformer aux deux réglementations.

DORA exige des entités financières qu'elles gèrent les risques des prestataires de services TIC tout au long du cycle de vie de la relation, incluant la due diligence, les exigences contractuelles, la surveillance continue et les stratégies de sortie. Les prestataires critiques sont soumis à une supervision directe de l'UE.

DORA s'applique aux entités non-UE opérant sur le marché financier de l'UE. Les prestataires de services TIC tiers non-UE désignés comme critiques doivent établir une filiale dans l'UE et peuvent faire face à une supervision directe par les régulateurs de l'UE.

Prêt à obtenir votre certification DORA ?

Laissez nos experts vous accompagner dans votre certification DORA. Nous gérons la complexité pour que vous puissiez vous concentrer sur votre business.

Parler à un expert