Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce que le règlement DORA ? Cadre européen de résilience numérique
Cybersecurity 101/Cybersécurité/Règlement DORA

Qu'est-ce que le règlement DORA ? Cadre européen de résilience numérique

Le règlement DORA impose la résilience opérationnelle numérique aux entités financières de l'UE. Découvrez les cinq piliers, les échéances de conformité, les sanctions et les meilleures pratiques de mise en œuvre.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce que la réglementation DORA ?
Pourquoi DORA est important pour les institutions financières
Qui doit se conformer à DORA ?
Exigences de cybersécurité DORA
Comment fonctionne DORA
Gestion des risques TIC selon DORA
Exigences de déclaration des incidents selon DORA
Sanctions et application de DORA
Défis de la mise en œuvre de DORA
Bonnes pratiques DORA
Calendrier de conformité DORA et dates clés
DORA et réglementations connexes de l'UE
Points clés à retenir

Articles similaires

  • Liste de contrôle CMMC : Guide de préparation à l’audit pour les sous-traitants du DoD
  • Qu'est-ce que la session fixation ? Comment les attaquants détournent les sessions utilisateur
  • Hacker éthique : méthodes, outils et guide de carrière
  • Qu’est-ce qu’une attaque adversariale ? Menaces et défenses
Auteur: SentinelOne | Réviseur: Arijeet Ghatak
Mis à jour: April 30, 2026

Qu'est-ce que la réglementation DORA ?

Les institutions financières de l'UE sont soumises à un cadre de conformité obligatoire entré en vigueur le 17 janvier 2025, avec des sanctions pouvant atteindre 5 à 10 millions d'euros ou 5 à 10 % du chiffre d'affaires annuel en cas de non-conformité. Le Digital Operational Resilience Act (DORA), officiellement Règlement (UE) 2022/2554, établit des exigences uniformes pour la gestion des risques liés aux TIC dans l'ensemble des entités financières de l'UE. Selon le texte officiel du règlement, DORA impose aux entités financières d'atteindre un niveau élevé et commun de résilience opérationnelle numérique, ce qui signifie que vous devez démontrer la capacité à résister, répondre et vous remettre de toute perturbation impliquant les technologies de l'information et de la communication.

DORA régit les entités financières concernées, notamment les établissements de crédit, les prestataires de services de paiement, les entreprises d'investissement, les prestataires de services sur crypto-actifs, les compagnies d'assurance et les prestataires de services TIC tiers. Si vous opérez dans le secteur financier de l'UE, DORA encadre probablement vos opérations de sécurité.

Les études sectorielles révèlent qu'une faible fraction des institutions financières déclarent une conformité totale aux exigences de gestion des risques liés aux tiers TIC [TKTK - source nécessaire], l'un des domaines de conformité les plus faibles parmi tous les piliers de DORA. La date limite de déclaration des tiers, fixée au 30 avril 2025, nécessite une action si vous n'avez pas déjà comblé ces lacunes.

Comprendre pourquoi cette réglementation existe permet de contextualiser la portée de ses exigences.

Pourquoi DORA est important pour les institutions financières

DORA établit des exigences harmonisées en matière de résilience opérationnelle numérique dans l'ensemble du secteur financier de l'UE, éliminant la fragmentation qui créait auparavant une complexité de conformité et des failles de sécurité. Les cyberattaques récentes contre des institutions financières illustrent précisément pourquoi cette réglementation existe.

En 2016, des attaquants ont exploité les systèmes de messagerie SWIFT pour dérober 81 millions de dollars à la Bangladesh Bank, révélant des faiblesses critiques dans la gestion des risques liés aux tiers TIC que DORA traite désormais. La violation de Capital One en 2019 a compromis plus de 100 millions de dossiers clients via un environnement cloud mal configuré, soulignant la nécessité de cadres unifiés de gestion des risques TIC sur des infrastructures hybrides. En 2018, des attaquants ont utilisé un maliciel destructeur pour distraire le personnel de Banco de Chile tout en dérobant simultanément 10 millions de dollars via des transactions SWIFT frauduleuses, démontrant comment les perturbations opérationnelles peuvent masquer des vols financiers.

  • Réduction du risque systémique : En imposant des normes uniformes de gestion des risques TIC, DORA réduit la probabilité que des défaillances opérationnelles dans une institution se répercutent sur l'ensemble du système financier. Cette approche uniforme garantit que les entités financières peuvent résister, répondre et se remettre des perturbations TIC.
  • Transparence du risque lié aux tiers : Le cadre de surveillance des prestataires tiers critiques traite le risque de concentration qui émerge lorsque le secteur financier dépend d'un nombre limité de fournisseurs TIC. Selon le  cadre de surveillance EIOPA, les articles 31 à 44 établissent une surveillance réglementaire directe des prestataires de services TIC tiers critiques (CTPP), marquant la première fois que l'UE met en place une telle surveillance à cette échelle.
  • Standardisation de la réponse aux incidents : L'exigence de notification sous 4 heures crée une cohérence dans la gestion des incidents de sécurité par les entités financières. Lorsque des incidents majeurs liés aux TIC présentent un potentiel systémique, les autorités coordonnent les réponses via le Cadre européen de coordination des incidents cybernétiques systémiques (EU-SCICF).
  • Renforcement de la protection des clients : DORA exige que les entités financières signalent les incidents majeurs liés aux TIC et les menaces de cybersécurité significatives aux autorités compétentes, tandis que toute obligation d'informer les clients découle, le cas échéant, d'autres lois sectorielles telles que le RGPD ou la DSP2, et non de DORA lui-même.

Ces avantages s'appliquent largement à l'ensemble du secteur financier, mais la première étape consiste à déterminer si votre organisation relève du champ d'application de DORA.

Qui doit se conformer à DORA ?

DORA s'applique à 21 catégories d'entités financières opérant dans l'UE, créant l'un des champs d'application réglementaires les plus larges en cybersécurité des services financiers. L'article 2 définit la liste complète des entités concernées.

Les institutions financières traditionnelles constituent le cœur du champ d'application : établissements de crédit, établissements de paiement, établissements de monnaie électronique, entreprises d'investissement et dépositaires centraux de titres. Les entreprises d'assurance et de réassurance, les intermédiaires d'assurance et les institutions de retraite professionnelle sont également soumises aux exigences de DORA. Le règlement couvre aussi les prestataires de services sur crypto-actifs, les prestataires de services de financement participatif et les référentiels de titrisation.

Les entités d'infrastructure de marché, y compris les plateformes de négociation, les référentiels de transactions, les contreparties centrales et les prestataires de services de déclaration de données, doivent se conformer. Les agences de notation de crédit, les administrateurs d'indices de référence critiques et les prestataires de services d'information sur les comptes complètent les catégories d'entités financières.

Les prestataires de services TIC tiers sont soumis aux exigences de DORA lorsqu'ils servent des entités financières de l'UE, quel que soit leur siège social. Les entreprises technologiques non européennes fournissant des services cloud, des logiciels ou des services managés aux banques de l'UE doivent respecter les exigences contractuelles de DORA. Les ESA désignent certains fournisseurs comme prestataires tiers critiques (CTPP) en fonction de leur importance systémique, les soumettant à une surveillance réglementaire directe.

Le principe de proportionnalité prévu à l'article 4 permet aux petites entités de mettre en œuvre des exigences proportionnées à leur taille, leur profil de risque et leur complexité. Les microentreprises bénéficient de cadres simplifiés de gestion des risques TIC selon l'article 16(3), tout en restant soumises aux obligations de déclaration d'incidents et de surveillance des tiers.

Une fois que vous avez déterminé que DORA s'applique à votre organisation, la question suivante concerne les obligations de sécurité spécifiques auxquelles vous êtes confronté.

Exigences de cybersécurité DORA

DORA traite spécifiquement la sécurité des réseaux et des systèmes d'information soutenant les processus métier du secteur financier. Les perturbations liées aux TIC et les cybermenaces représentent des risques importants pour la stabilité financière, la continuité opérationnelle et la protection des clients.

L'article 15 établit des exigences explicites en matière de cybersécurité : vous devez surveiller les comportements anormaux sur les schémas d'utilisation du réseau, les horaires, l'activité informatique et les appareils inconnus. Selon le texte officiel du règlement, les entités financières doivent mettre en place une surveillance des comportements anormaux liés au risque TIC à l'aide d'indicateurs appropriés.

Les exigences de déclaration d'incidents vont au-delà des cadres traditionnels de cybersécurité. Les articles 19 et 20 imposent d'inclure l'attribution des acteurs de la menace dans vos rapports d'incidents et de menaces. Vous devez classer les incidents comme majeurs ou non majeurs dans un délai de 4 heures, puis soumettre une notification initiale à votre autorité nationale compétente.

DORA agit comme lex specialis pour le secteur financier, prévalant sur NIS2. Bien que l'ISO 27001 fournisse une base, DORA étend les exigences avec l'attribution obligatoire des acteurs de la menace, des obligations de notification client et des mécanismes de surveillance des tiers traitant le risque de concentration systémique.

Ces exigences de cybersécurité s'inscrivent dans la structure réglementaire plus large de DORA, qui organise les obligations en cinq piliers distincts.

Comment fonctionne DORA

DORA fonctionne via des exigences techniques obligatoires appliquées par les autorités nationales compétentes coordonnées par les Autorités européennes de surveillance.

Votre cadre de gestion des risques TIC nécessite des stratégies, politiques et procédures. Votre organe de direction porte la responsabilité ultime de la surveillance des risques TIC, comme établi dans l'ensemble des exigences réglementaires de DORA, selon le  briefing réglementaire de Citi.

Lorsqu'un incident survient, vous classez immédiatement les incidents dès leur identification à l'aide de critères prédéfinis. Pour les incidents majeurs, vous soumettez une notification initiale dans les 4 heures suivant la classification à votre autorité nationale compétente, suivie de notifications séquentielles à mesure que la situation évolue.

Le programme de tests de résilience fonctionne selon des cycles définis. Pour la plupart des entités, vous effectuez des évaluations régulières et des tests basés sur des scénarios adaptés à votre profil de risque. Si les autorités réglementaires identifient votre institution comme significative, vous réalisez un TLPT au moins tous les 3 ans. Après la réalisation des tests, vous documentez les résultats synthétiques et les plans de remédiation avec des échéances.

La surveillance des tiers s'effectue via des exigences contractuelles et des désignations réglementaires. Avant de recourir à des prestataires de services TIC, vous vérifiez qu'ils respectent les normes de sécurité de l'information de DORA. Selon  l'article 30, vos contrats doivent inclure :

  • Accords de niveau de service avec indicateurs de performance
  • Normes de sécurité et exigences de conformité
  • Droits d'audit et dispositions d'accès
  • Stratégies de sortie et planification de la transition

Les ESA désignent certains fournisseurs comme prestataires tiers critiques (CTPP) en fonction de leur importance systémique. Ces CTPP sont soumis à une surveillance réglementaire directe, quel que soit leur lieu d'établissement.

Deux des cinq piliers de DORA ont le plus d'impact opérationnel pour les équipes de sécurité : la gestion des risques TIC et la déclaration des incidents.

Gestion des risques TIC selon DORA

La gestion des risques TIC constitue la base du cadre réglementaire de DORA. L'article 6 exige que les entités financières établissent des cadres de gestion des risques TIC comme composante intégrée de leur  système de gestion des risques global, avec une responsabilité directe attribuée à l'organe de direction.

Votre organe de direction doit définir, approuver, superviser et être responsable des dispositifs de gestion des risques TIC. Cela inclut la fixation des niveaux de tolérance au risque, l'approbation des politiques de continuité d'activité TIC et l'allocation d'un budget adéquat pour la résilience opérationnelle numérique. DORA précise que le risque TIC est une responsabilité du conseil d'administration, et non une fonction du département informatique.

L'article 8 impose l'identification de toutes les sources de risque TIC, y compris celles découlant des dépendances aux tiers TIC. Vous devez tenir un inventaire complet des actifs TIC, cartographier les interdépendances entre les systèmes et documenter toutes les fonctions métier soutenues par les TIC. Cet exercice de cartographie révèle les risques de concentration et les points de défaillance uniques susceptibles de perturber les services financiers critiques.

Les exigences de protection et de prévention prévues à l'article 9 stipulent que les entités financières doivent mettre en œuvre des politiques de sécurité TIC dans plusieurs domaines :

  • Sécurité de l'information pour les données en transit et au repos
  • Gestion et segmentation de la sécurité réseau
  • Politiques de contrôle d'accès et mécanismes d'authentification
  • Procédures de gestion des correctifs et des mises à jour
  • Sécurité physique et environnementale des actifs TIC

Ces contrôles doivent fonctionner comme un système intégré, et non comme des mesures isolées appliquées indépendamment.

Les capacités de détection sont tout aussi essentielles. L'article 10 exige des mécanismes permettant de détecter rapidement les activités anormales, y compris les problèmes de performance du réseau TIC et les incidents liés aux TIC. Votre infrastructure de détection doit surveiller les comportements anormaux à l'aide d'indicateurs appropriés et permettre plusieurs couches de contrôle.

Les procédures de réponse et de reprise prévues aux articles 11 et 12 complètent le cadre. Vous devez mettre en œuvre des politiques de continuité d'activité TIC, des plans de reprise après sinistre et des politiques de sauvegarde. Ceux-ci doivent être testés régulièrement et mis à jour en fonction des enseignements tirés des perturbations, des tests de résilience et des résultats d'audit.

Le respect de ces obligations de gestion des risques TIC constitue la base des exigences tout aussi strictes de déclaration des incidents prévues par DORA.

Exigences de déclaration des incidents selon DORA

DORA établit un cadre structuré et contraint dans le temps pour la déclaration des incidents, allant au-delà de ce que la plupart des entités financières ont mis en œuvre sous les réglementations précédentes. Les articles 17 à 23 définissent les critères de classification, les délais de déclaration et les obligations de notification pour les incidents liés aux TIC.

Vous devez d'abord classer chaque incident lié aux TIC selon les critères définis à l'article 18. Les facteurs de classification incluent le nombre de clients affectés, la durée et l'étendue géographique de l'incident, les pertes de données impliquées, la criticité des services touchés et l'impact économique. Sur la base de cette évaluation, vous déterminez si l'incident est "majeur" selon les seuils de DORA.

Pour les incidents majeurs, le calendrier de déclaration est strict :

  • Notification initiale : dans les 4 heures suivant la classification de l'incident
  • Rapport intermédiaire : dans les 72 heures suivant la notification initiale, couvrant les mises à jour sur l'avancement, l'analyse préliminaire des causes racines et les mesures temporaires mises en œuvre
  • Rapport final : dans le mois suivant le rapport intermédiaire, incluant l'analyse confirmée des causes racines, l'évaluation de l'impact réel et les actions correctives prises

Des processus efficaces de  réponse aux incidents deviennent essentiels pour respecter ces délais. Les articles 19 et 20 imposent également l'attribution des acteurs de la menace dans vos rapports d'incidents et de menaces, créant un besoin d' intégration de la threat intelligence dans vos flux de déclaration.

Au-delà des incidents majeurs, DORA introduit la déclaration volontaire des cybermenaces significatives à l'article 19. Les entités financières peuvent notifier leur autorité compétente lorsqu'elles identifient une cybermenace qu'elles jugent pertinente pour le système financier, même si la menace n'a pas encore abouti à un incident.

Ces obligations de déclaration entraînent des conséquences en matière d'application, ce qui nous amène au cadre de sanctions de DORA.

Sanctions et application de DORA

L'application de DORA est assurée par les autorités nationales compétentes coordonnées par les Autorités européennes de surveillance (ABE, AESMA et AEAPP). Chaque État membre de l'UE met en œuvre son propre cadre de sanctions dans les paramètres de DORA, créant des variations dans les amendes maximales et les approches d'application.

Les structures de sanctions diffèrent considérablement selon les États membres. Selon  l'analyse de DLA Piper, la Belgique impose des sanctions maximales de 5 millions d'euros ou 10 % du chiffre d'affaires annuel net. La Suède calcule les sanctions comme le montant le plus élevé entre 1 million d'euros, 10 % du chiffre d'affaires annuel net total ou trois fois le bénéfice tiré de la violation. Le cadre allemand prévoit des sanctions pouvant aller jusqu'à 5 millions d'euros pour les personnes morales et 500 000 euros pour les personnes physiques occupant des postes de direction.

Les pouvoirs d'application vont au-delà des sanctions financières. Les autorités compétentes peuvent :

  • Émettre des ordres de cessation et d'abstention exigeant une remédiation immédiate
  • Publier des avertissements publics identifiant les entités non conformes par leur nom
  • Révoquer les membres du conseil responsables des défaillances de la surveillance des risques TIC

Ces conséquences réputationnelles dépassent souvent les sanctions financières directes en termes d'impact à long terme sur l'activité.

L'article 54 exige que les autorités compétentes publient les décisions imposant des sanctions administratives sur leurs sites officiels, incluant des informations sur le type et la nature de la violation ainsi que l'identité des personnes responsables. Ce mécanisme de divulgation publique crée de la transparence mais aussi un risque réputationnel important pour les organisations non conformes.

Les prestataires tiers critiques sont soumis à une surveillance directe du superviseur principal désigné par les ESA. Les CTPP qui ne respectent pas les recommandations de surveillance encourent des astreintes périodiques jusqu'à la mise en conformité, distinctes des sanctions imposées aux entités financières qu'ils servent.

Compte tenu de ces enjeux d'application, comprendre les obstacles pratiques à la conformité devient essentiel.

Défis de la mise en œuvre de DORA

Les études sectorielles révèlent des obstacles systémiques à la mise en œuvre dans le secteur financier, la gestion des risques liés aux tiers TIC et les tests de résilience opérationnelle numérique affichant les niveaux de conformité les plus faibles.

  1. Complexité de la gestion des risques liés aux tiers : La gestion des risques liés aux tiers TIC représente le domaine de conformité le plus faible parmi tous les piliers de DORA. Les organisations sont confrontées à la perspective de revues juridiques automatisées de milliers de contrats, chacun nécessitant une vérification de la conformité des fournisseurs aux normes de sécurité de DORA.
  2. Déficiences des programmes de tests : Les tests de résilience opérationnelle numérique affichent des niveaux de conformité tout aussi préoccupants. Cela indique que les organisations peinent à mettre en œuvre les cadres de tests d'intrusion pilotés par la menace exigés par DORA.
  3. Lacunes de visibilité multi-cloud : Créer une vue centralisée de systèmes TIC complexes, cloisonnés et segmentés représente un défi majeur. Vous avez besoin d'ingestion de métadonnées depuis des environnements multi-cloud, d'intégration de l'infrastructure sur site et d'inventaires complets des actifs. Les plateformes de visibilité unifiée qui consolident la surveillance sur les environnements multi-cloud et sur site contribuent à relever ce défi.
  4. Exigences d'attribution des incidents : L'obligation d'inclure l' attribution des acteurs de la menace dans les rapports d'incidents crée une charge opérationnelle supplémentaire par rapport à la réponse aux incidents traditionnelle. Cette exigence nécessite l'accès à des flux de threat intelligence et à des analystes spécialisés dans l'attribution, ainsi que des workflows de déclaration autonomes pour soutenir la notification multi-intervenants, y compris la communication client.
  5. Pression sur les délais : L'exigence de notification sous 4 heures à compter de la classification de l'incident crée une pression opérationnelle importante. Les plateformes de sécurité dotées de capacités autonomes réduisent le temps de réponse en détectant et classant les menaces sans intervention manuelle. Lorsqu'un incident survient à 2 h du matin, vous disposez de quatre heures pour classifier la gravité, évaluer l'impact, déterminer les acteurs de la menace et soumettre la notification initiale.

Éviter ces obstacles nécessite des stratégies délibérées répondant aux exigences les plus contraignantes de DORA.

Bonnes pratiques DORA

La réussite de la mise en œuvre de DORA nécessite des approches structurées sur les volets gouvernance, opérationnel et technologique.

Prioriser la gestion des risques liés aux tiers : Étant donné que la gestion des risques liés aux tiers affiche les taux de conformité les plus faibles, effectuez des revues juridiques automatisées de tous les contrats de prestataires de services TIC. Mettez en place des approches individualisées pour les fournisseurs critiques. Établissez une surveillance continue de la conformité des tiers et gérez le risque de concentration par des stratégies de diversification.

Mettre en œuvre une réponse aux incidents autonome : Les plateformes de sécurité qui déploient de l'IA comportementale pour surveiller les comportements anormaux sur les schémas réseau, les horaires, l'activité informatique et les appareils inconnus, comme l'exige l'article 15, permettent une réponse rapide aux incidents. Vous avez besoin de  plateformes de sécurité offrant des capacités autonomes pour détecter et classifier les menaces, vous aidant à respecter le délai de notification de 4 heures. Assurez-vous que votre infrastructure intègre la threat intelligence pour soutenir l'analyse d'attribution des acteurs de la menace requise aux articles 19-20.

Construire des programmes de tests adaptés aux profils de risque : Mettez en œuvre des tests d'intrusion pilotés par la menace (TLPT) pour les systèmes critiques identifiés au moins tous les 3 ans. Votre programme de tests doit inclure :

  • Exercices réguliers de résilience basés sur des scénarios
  • Résultats de tests documentés avec synthèse des constats
  • Plans de remédiation avec échéances précises
  • Intégration à la planification de la continuité d'activité

Déployer des plateformes de visibilité unifiée : Établissez une visibilité centralisée sur les environnements multi-cloud et sur site. Maintenez des inventaires complets des actifs TIC. Mettez en œuvre une gestion continue de la posture. Créez une source unique de vérité pour les dépendances TIC sur la base des recommandations sectorielles traitant les défis de visibilité multi-cloud et hybride.

Établir une conformité continue : Créez des programmes de  surveillance de la conformité continue plutôt que des évaluations ponctuelles. Mettez en place des boucles de rétroaction entre les tests et la gestion des risques. Maintenez une veille sur l'évolution des attentes des superviseurs. Prévoyez les mises à jour des normes techniques réglementaires. Surveillez les désignations de prestataires tiers critiques par les autorités.

En complément de ces pratiques opérationnelles, comprendre le calendrier de conformité DORA permet de hiérarchiser les efforts de mise en œuvre.

Calendrier de conformité DORA et dates clés

DORA suit un calendrier de mise en œuvre progressif débutant avec sa publication et se poursuivant par des mises à jour continues des normes techniques réglementaires. Anticiper ces échéances est essentiel pour maintenir la conformité.

DORA a été publié au  Journal officiel de l'UE le 27 décembre 2022 et est entré en vigueur le 16 janvier 2023. Les entités financières et les prestataires de services TIC tiers disposaient d'une période de transition de deux ans pour mettre en œuvre les exigences du règlement.

La date principale d'application était le 17 janvier 2025. À compter de cette date, toutes les entités financières concernées doivent démontrer leur conformité aux exigences fondamentales de DORA : cadres de gestion des risques TIC, procédures de déclaration des incidents, programmes de tests de résilience et obligations de gestion des risques liés aux tiers.

Les principales échéances après l'entrée en vigueur incluent :

  • 17 janvier 2025 : Conformité totale requise pour toutes les entités concernées
  • 30 avril 2025 : Première échéance de soumission du registre des informations sur les relations avec les tiers TIC aux autorités compétentes
  • En continu (tous les 3 ans) : Tests d'intrusion pilotés par la menace (TLPT) pour les entités identifiées comme significatives
  • En continu : Mises à jour annuelles du registre des tiers TIC et surveillance continue de la conformité des tiers

Les Autorités européennes de surveillance continuent de publier des normes techniques réglementaires (RTS) et des normes techniques d'exécution (ITS) fournissant des orientations détaillées sur les obligations spécifiques de DORA. La  première série de RTS couvrant la gestion des risques TIC, la classification des incidents et le risque lié aux tiers a été finalisée début 2024. Une seconde série portant sur les exigences TLPT et les cadres de tests avancés a suivi.

Les entités financières doivent surveiller les publications des ESA pour les mises à jour des normes techniques et des orientations de supervision susceptibles d'affiner les attentes en matière de conformité au fil du temps. DORA s'articule également avec d'autres cadres réglementaires de l'UE que les entités financières doivent gérer simultanément.

DORA et réglementations connexes de l'UE

DORA fonctionne en parallèle de plusieurs réglementations européennes qui, ensemble, façonnent le paysage de la cybersécurité et de la résilience opérationnelle pour les institutions financières. Comprendre comment ces cadres interagissent permet d'éviter les doublons et d'assurer une couverture réglementaire complète.

  • DORA et NIS2 : DORA agit comme lex specialis pour le secteur financier, ce qui signifie qu'il prévaut sur la directive sur la sécurité des réseaux et de l'information (NIS2) pour les entités relevant de son champ d'application. Lorsque les deux réglementations pourraient s'appliquer, les exigences spécifiques au secteur financier de DORA l'emportent sur les dispositions générales de cybersécurité de NIS2. Cependant, les prestataires de services TIC non classés comme CTPP peuvent toujours relever des obligations NIS2 s'ils sont considérés comme entités essentielles ou importantes au sens de cette directive.
  • DORA et RGPD : Le Règlement général sur la protection des données continue de s'appliquer parallèlement à DORA, notamment en ce qui concerne la notification des violations de données à caractère personnel. Lorsqu'un incident lié aux TIC implique des données personnelles, vous devez respecter à la fois le délai de notification de DORA (notification initiale sous 4 heures aux autorités compétentes) et celui du RGPD (notification sous 72 heures aux autorités de protection des données). Les deux flux de déclaration fonctionnent en parallèle avec des délais, destinataires et contenus différents.
  • DORA et le Cyber Resilience Act (CRA) : Le CRA porte sur les exigences de cybersécurité pour les produits à éléments numériques mis sur le marché de l'UE. Tandis que DORA régit la gestion opérationnelle des risques TIC par les entités financières, le CRA traite la sécurité des produits matériels et logiciels que ces entités acquièrent. Ensemble, ils créent un cadre de sécurité de la chaîne d'approvisionnement où les fabricants doivent respecter les normes du CRA et les entités financières doivent vérifier la conformité des fournisseurs selon DORA.
  • DORA et ISO 27001 : L'ISO 27001 fournit un cadre volontaire de système de gestion de la sécurité de l'information, tandis que DORA impose des exigences obligatoires. L'ENISA propose des tableaux de correspondance officiels entre les exigences de DORA et les contrôles ISO 27001. Les entités financières certifiées ISO 27001 disposent d'une avance, mais doivent encore combler les lacunes en matière d'attribution des acteurs de la menace, de protocoles de notification client, de gestion du risque de concentration des tiers et d'exigences TLPT spécifiquement imposées par DORA.

La mise en œuvre de ces bonnes pratiques et la gestion du chevauchement réglementaire nécessitent une infrastructure de sécurité conçue pour la surveillance continue et la réponse rapide.

Une cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

DORA impose la résilience opérationnelle numérique à l'ensemble des entités financières de l'UE avec une application à compter du 17 janvier 2025. Le règlement exige des cadres de gestion des risques TIC avec une responsabilité au niveau du conseil, une classification et une déclaration des incidents majeurs sous 4 heures incluant l'attribution des acteurs de la menace, des tests de résilience avec TLPT au moins tous les trois ans pour les entités significatives, une surveillance des tiers avec déclaration des prestataires TIC à partir du 30 avril 2025, et des mécanismes de partage d'information pour l'échange de renseignements sur les cybermenaces.

La gestion des risques liés aux tiers et les tests de résilience affichent les taux de conformité les plus faibles dans le secteur financier, créant une exposition réglementaire significative. Les plateformes de sécurité qui surveillent les comportements anormaux, intègrent la threat intelligence et permettent une réponse rapide aux incidents aident les organisations à répondre aux exigences strictes de DORA.

FAQ

DORA (Digital Operational Resilience Act) est le règlement de l'UE 2022/2554 qui établit des exigences uniformes pour la gestion des risques liés aux TIC au sein des entités financières de l'UE. Le règlement impose aux institutions financières d’atteindre la résilience opérationnelle numérique en mettant en place des cadres de gestion des risques TIC, des procédures de déclaration d’incidents, des programmes de tests de résilience et une supervision des risques liés aux tiers. 

DORA est entré en vigueur le 17 janvier 2025 et s’applique à 21 types d’entités financières, y compris les banques, les sociétés d’investissement, les compagnies d’assurance et leurs prestataires de services TIC.

DORA s'applique à 21 catégories d'entités financières opérant au sein de l'UE, y compris les établissements de crédit, les entreprises d'investissement, les compagnies d'assurance, les prestataires de services de paiement, les prestataires de services sur crypto-actifs et les plateformes de négociation. 

Les prestataires de services TIC tiers qui servent ces entités financières doivent également se conformer, que le prestataire ait son siège à l'intérieur ou à l'extérieur de l'UE. Le principe de proportionnalité permet aux entités de plus petite taille de mettre en œuvre des exigences simplifiées proportionnelles à leur taille et à leur profil de risque.

DORA est entré en vigueur le 16 janvier 2023, après sa publication au Journal officiel de l'UE le 27 décembre 2022. Le règlement est devenu pleinement applicable et exécutoire le 17 janvier 2025, après une période de transition de deux ans. 

Les entités financières et les prestataires tiers de services TIC devaient avoir mis en place tous les cadres, politiques et procédures nécessaires à cette date d'application.

Oui. DORA impose des tests de résilience opérationnelle numérique conformément aux articles 24 à 27, ce qui inclut des évaluations de vulnérabilité, des évaluations de la sécurité réseau et des tests basés sur des scénarios. 

Pour les entités identifiées comme significatives par les autorités de régulation, l'article 26 exige des tests d’intrusion pilotés par la menace (TLPT) au moins tous les trois ans. Les TLPT doivent simuler des scénarios d’attaque réels en utilisant des renseignements sur les véritables acteurs de la menace ciblant l’organisation concernée.

Commencez par cartographier vos actifs TIC et vos dépendances tierces pour comprendre l'ensemble de votre périmètre réglementaire. Établissez un cadre de gestion des risques TIC avec une responsabilité au niveau du conseil d'administration, comme l'exige l'article 6. 

Examinez et mettez à jour tous les contrats de prestataires de services TIC pour répondre aux exigences de l'article 30. Mettez en œuvre des procédures de classification et de notification des incidents respectant le délai de notification de 4 heures. Développez ou renforcez votre programme de tests de résilience proportionnel à votre profil de risque.

Les sanctions varient selon les États membres, allant généralement de 5 à 10 millions d'euros ou de 5 à 10 % du chiffre d'affaires net annuel. La Belgique impose des sanctions maximales de 5 millions d'euros ou 10 % du chiffre d'affaires net annuel. 

La Suède calcule les sanctions comme le montant le plus élevé entre 1 million d'euros, 10 % du chiffre d'affaires net annuel total ou trois fois le bénéfice tiré de la violation. L'article 54 permet également aux autorités de publier les détails des sanctions, créant ainsi un risque de réputation au-delà des conséquences financières.

DORA régit 21 types d'entités financières, y compris les établissements de crédit, les entreprises d'investissement, les compagnies d'assurance, les prestataires de services sur crypto-actifs et les plateformes de négociation. 

Les prestataires tiers de services TIC desservant des entités financières de l'UE doivent également se conformer, quel que soit le lieu de leur siège social. Les microentreprises peuvent bénéficier d'exigences de cadre simplifiées selon l'article 16(3).

DORA exige l'attribution des acteurs de la menace dans les rapports d'incident, la notification des incidents aux clients et une supervision réglementaire directe des prestataires tiers TIC. ISO 27001 fournit une base de gestion des risques mais ne comporte pas ces exigences spécifiques. 

DORA agit en tant que lex specialis pour les services financiers, prévalant sur les exigences générales de cybersécurité de NIS2. Les entités financières certifiées ISO 27001 présentent encore des lacunes en matière d'attribution des acteurs de la menace, de protocoles de notification aux clients et de gestion du risque de concentration des tiers que DORA prend en compte.

La TLPT exige que les entités identifiées comme significatives effectuent des tests avancés au moins tous les trois ans, simulant des cyberattaques réelles. Les tests doivent utiliser des renseignements sur de véritables acteurs de la menace, tactiques, techniques et procédures ciblant spécifiquement votre organisation. 

Après l’achèvement, vous documentez les résultats et les plans de remédiation avec des échéanciers, puis soumettez la documentation de conformité aux autorités compétentes pour un examen de supervision.

L'article 28 établit que les entités financières ne peuvent conclure des contrats qu'avec des prestataires TIC conformes aux normes de sécurité de l'information de DORA. Les contrats existants avec des prestataires non conformes créent une exposition réglementaire et doivent être examinés pour vérifier la présence des dispositions requises. 

Les ESA désignent les prestataires tiers critiques pour une supervision réglementaire directe. Les entités financières doivent soumettre les informations relatives à leurs relations avec des tiers TIC au registre et maintenir une documentation de conformité à jour.

En savoir plus sur Cybersécurité

Cybersécurité dans le secteur public : risques, bonnes pratiques et cadres de référenceCybersécurité

Cybersécurité dans le secteur public : risques, bonnes pratiques et cadres de référence

Découvrez les risques et menaces auxquels les agences et organismes gouvernementaux sont confrontés dans le domaine de la cybersécurité. Nous abordons également les meilleures pratiques pour sécuriser les systèmes gouvernementaux. Poursuivez votre lecture pour en savoir plus.

En savoir plus
Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?Cybersécurité

Qu'est-ce qu'une Insecure Direct Object Reference (IDOR) ?

Une Insecure Direct Object Reference (IDOR) est une faille de contrôle d'accès où l'absence de vérification de propriété permet à des attaquants d'accéder aux données de n'importe quel utilisateur en modifiant un paramètre d'URL. Découvrez comment la détecter et la prévenir.

En savoir plus
Sécurité IT vs OT : Principales différences et meilleures pratiquesCybersécurité

Sécurité IT vs OT : Principales différences et meilleures pratiques

La sécurité IT vs OT couvre deux domaines avec des profils de risque, des exigences de conformité et des priorités opérationnelles distincts. Découvrez les principales différences et les meilleures pratiques.

En savoir plus
Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiquesCybersécurité

Qu'est-ce que les sauvegardes Air Gapped ? Exemples et meilleures pratiques

Les sauvegardes Air Gapped conservent au moins une copie de récupération hors de portée des attaquants. Découvrez leur fonctionnement, les types, des exemples et les meilleures pratiques pour la récupération après ransomware.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français