• Qu'est-ce que Dora ? Loi sur la résilience opérationnelle numérique pour les services financiers

Qu'est-ce que Dora ? Loi sur la résilience opérationnelle numérique pour les services financiers

Blog

La loi sur la résilience opérationnelle numérique (DORA) fournit un cadre pour la gestion du risque opérationnel dans un environnement numérique pour le secteur financier.

par YunesTarada

Dernière mise à jour :
4 Temps de lecture : 4 min
Qu'est-ce que Dora ? Loi sur la résilience opérationnelle numérique pour les services financiers
Table des matières-

Adopté: novembre 2022
Entrée en vigueur: 16 janvier 2023
Applicable à partir du: 17 janvier 2025 (date de conformité totale)

La loi sur la résilience opérationnelle numérique (DORA) est un règlement européen contraignant visant à renforcer la résilience opérationnelle numérique du secteur financier. Plutôt que de remplacer les réglementations financières existantes, la DORA les complète en établissant un cadre unifié pour la gestion des risques liés aux TIC et aux opérations dans l'ensemble des entités financières et chez leurs fournisseurs de technologies critiques.

À compter du 17 janvier 2025, toutes les entités financières concernées et tous les prestataires de services informatiques tiers concernés opérant au sein de l'UE devront se conformer aux exigences de la directive DORA.

L'objectif de DORA est de veiller à ce que les organisations puissent prévenir, résister, réagir et se remettre des perturbations liées aux TIC, y compris les cyberattaques, tout en maintenant la continuité des services financiers essentiels.

Voir : Les nouvelles règles de Deloitte pour la conformité à la directive DORA

Points clés à retenir

  1. La directive DORA est une législation européenne adoptée, et non une proposition, dont la mise en conformité est obligatoire à compter du 17 janvier 2025.
  2. Elle s'applique aux entités financières de l'UE et aux prestataires de services TIC qui les soutiennent.
  3. La directive DORA repose sur cinq piliers obligatoires couvrant les risques liés aux TIC, la gestion des incidents, les tests et la surveillance des tiers.
  4. Les organisations doivent mettre en place des capacités structurées de gestion des risques liés aux TIC et de réponse aux incidents.
  5. Les incidents informatiques majeurs doivent être classés et signalés dans des délais réglementaires stricts.
  6. La surveillance des fournisseurs tiers de TIC critiques (CTPP) est assurée par les autorités européennes de surveillance (AES).

Que signifie la loi sur la résilience opérationnelle numérique (DORA) pour votre entreprise ?

La directive DORA introduit des changements importants dans la manière dont les institutions financières gèrent la résilience numérique et opérationnelle. En vertu de cette réglementation, les organisations doivent mettre en œuvre un cadre complet de gestion des risques liés aux TIC, qui comprend des politiques, des procédures, des contrôles et des mécanismes de gouvernance clairement définis.

Les entités financières sont tenues de conserver des plans documentés d'intervention et de reprise après sinistre, détaillant la manière dont elles détecteront, traiteront et se remettront des perturbations informatiques, y compris les cyberincidents tels que les attaques par hameçonnage, les ransomwares ou les interruptions de service.

En outre, les prestataires de services informatiques tiers qui soutiennent les institutions financières relèvent du champ d'application de la DORA et sont soumis à des obligations contractuelles, de surveillance et de gestion des risques renforcées.

Simplifiez Dora avec PowerDMARC !

15 jours d'essaiRéservez une démo

Champ d'application et applicabilité de la DORA

La DORA s'applique à :

  • Entités financières opérant au sein de l'UE (y compris les banques, les assureurs, les sociétés d'investissement, les fintechs et les établissements de paiement)
  • Les prestataires de services informatiques tiers qui soutiennent ces entités financières

Les fournisseurs de TIC jugés essentiels sont soumis à la surveillance directe des autorités européennes de surveillance (AES) afin de garantir que leur résilience et leurs contrôles des risques répondent aux normes DORA.

La DORA n'offre pas de certification volontaire aux organisations qui ne relèvent pas de ce champ d'application. Les organisations non financières peuvent adopter des pratiques exemplaires similaires, mais elles ne peuvent être considérées comme « conformes à la DORA » au sens de la réglementation.

Exigences fondamentales en vertu de la loi DORA

La directive DORA s'articule autour de cinq piliers obligatoires :


de la gestion des risques liés aux TIC Mise en place d'une gouvernance, de politiques, de contrôles et de procédures pour gérer les risques liés aux TIC


s relatives à la déclaration des incidents liés aux TIC Classification des incidents majeurs et obligation de les signaler aux autorités de réglementation dans des délais définis
(y compris une notification initiale dans les heures qui suivent, suivie de mises à jour et d'un rapport final)


de tests de résilience opérationnelle numérique Tests réguliers des systèmes, processus et contrôles afin d'identifier les vulnérabilités


de la gestion des risques liés aux tiers dans le domaine des TIC Gérer les risques liés aux services TIC externalisés par le biais de contrats, de mesures de surveillance et de stratégies de sortie.


de partage d'informations Encourager le partage volontaire d'informations sur les cybermenaces au sein du secteur financier

Ces mesures visent à garantir que les entités financières et leurs partenaires TIC puissent fonctionner en toute sécurité, même en cas de perturbations numériques graves.

Se conformer à la loi DORA

Pour répondre aux exigences de la directive DORA, les organisations doivent mettre en œuvre un programme bien défini en matière de risques et de résilience liés aux TIC, qui comprend généralement :

  • Évaluations continues des risques et tests de vulnérabilité
  • Procédures de détection, de classification et de réponse aux incidents
  • Planification de la continuité des activités et de la reprise après sinistre
  • Programmes de sensibilisation et de formation des employés
  • Surveillance des fournisseurs et sous-traitants dans le domaine des TIC

Un cadre documenté et mis en œuvre de manière cohérente aide les organisations à démontrer leur conformité et à instaurer la confiance au sein de l'écosystème financier.

La loi DORA : Principales conditions et objectifs

La directive DORA vise à garantir que le secteur financier de l'UE reste sûr, stable et résilient face à l'augmentation des menaces numériques. Les principales attentes réglementaires sont les suivantes :

  • Un plan clairement défini pour la réponse aux incidents informatiques et la reprise des activités
  • Évaluation continue et atténuation des risques liés aux TIC
  • Contrôles de sécurité rigoureux sur l'ensemble des réseaux, des systèmes et des infrastructures
  • Signalement rapide et structuré des incidents informatiques majeurs aux autorités de réglementation
  • Mesures visant à assurer la continuité des services essentiels en cas de perturbations

Un pas de plus vers la conformité DORA avec PowerDMARC

Alors que les organisations renforcent leur résilience numérique en réponse à la directive DORA, les e-mails restent un vecteur d'attaque critique qui doit être protégé dans le cadre d'une stratégie plus large de sécurité des TIC.

Bien que la DORA n'impose pas explicitement de protocoles d'authentification des e-mails, elle exige des organisations qu'elles sécurisent leurs réseaux, leurs systèmes et leurs infrastructures de communication. La mise en œuvre de contrôles de sécurité rigoureux pour les e-mails s'inscrit dans les objectifs généraux de la DORA en matière de réduction des risques et de prévention des incidents.

PowerDMARC est une plateforme SaaS multi-locataires qui aide les organisations à renforcer la sécurité de leurs canaux de messagerie électronique grâce à une suite complète d'authentification des e-mails. Nous sommes conformes aux normes ISO 27001, SOC 2 Type II et RGPD, et travaillons avec des organisations financières afin de réduire les menaces liées aux e-mails et d'améliorer la visibilité sur les risques d'authentification.

Nous vous aidons :

  • Protégez-vous contre l'usurpation d'identité et l'imitation à l'aide du protocole DMARC.
  • Réduisez les risques liés aux attaques par déclassement et interception grâce à MTA-STS
  • Bénéficiez d'une meilleure visibilité sur les résultats de l'authentification des e-mails grâce aux rapports DMARC.
  • Évitez les échecs SPF grâce à SPF automatisé

Contactez-nous dès aujourd'hui pour renforcer la sécurité de vos e-mails dans le cadre d'une stratégie de gestion des risques informatiques conforme à la directive DORA.

Derniers messages de Yunes Tarada (voir tous)
Dernière mise à jour :
Les 5 meilleurs outils de sécurité pour la messagerie électronique en 2025Les 5 meilleurs outils de sécurité pour le courrier électroniqueComment se remettre d'une attaque de ransomware ?Comment se remettre d'une attaque par ransomware ?