Skip to content Skip to footer
Demandez une démo
Contactez-nous
Fermer
Blog

DORA : réglementation sur la résilience opérationnelle numérique

Depuis le 17 janvier 2025, le règlement DORA s’impose aux entités financières européennes. Pour vous, l’enjeu dépasse largement la seule cybersécurité. Il touche à votre capacité à maintenir vos services, à encadrer vos prestataires technologiques, à documenter vos incidents et à démontrer, pièces à l’appui, que votre organisation demeure opérationnelle en situation de tension. DORA est un règlement européen directement applicable, conçu pour élever le niveau commun de résilience opérationnelle numérique dans l’ensemble du secteur financier.

Chez AP Solutions IO, nous abordons cette évolution réglementaire comme un enjeu de gouvernance, de traçabilité et de continuité d’activité. Pour un directeur de la conformité, un RCCI, un RCSI, un MLRO ou une direction juridique, la question centrale est celle de la preuve. Êtes-vous en mesure de démontrer que vos dispositifs critiques, vos flux, vos dépendances technologiques et vos contrôles demeurent maîtrisés lorsqu’un incident survient ou lorsque le superviseur exige des éléments précis ?

 

DORA : définition, objectifs et calendrier de mise en œuvre

 

Le Digital Operational Resilience Act désigne le règlement (UE) 2022/2554. Son objet est clair : fixer des exigences communes relatives à la sécurité des réseaux et des systèmes d’information qui soutiennent les processus métiers des entités financières. Le texte couvre notamment : 

  • de la gestion des risques liés aux TIC ;
  • de la notification des incidents majeurs ;
  • des tests de résilience ;
  • du partage d’informations sur les cybermenaces ;
  • de la gestion du risque lié aux prestataires TIC ;
  • du cadre de supervision des prestataires critiques.

La date d’application modifie en profondeur la manière d’aborder les projets de conformité. Vous n’êtes plus dans une phase de préparation théorique. Vous êtes désormais dans une phase de mise en œuvre, de maintien en conditions opérationnelles et de justification.

En France, l’ACPR a déjà rendu le dispositif opérationnel. Elle l’a notamment fait au moyen d’instructions relatives aux déclarations d’incidents majeurs et à la transmission des registres d’information portant sur les accords contractuels conclus pour des services TIC.

DORA transforme également la gouvernance interne. Le texte impose à l’organe de direction de définir, d’approuver, de superviser et d’assumer la responsabilité du cadre de gestion des risques liés aux TIC, y compris la stratégie de résilience opérationnelle numérique et le niveau de tolérance au risque. Le principe de proportionnalité demeure applicable, mais il n’atténue pas l’exigence de pilotage. Il module l’intensité des obligations en fonction de la taille, du profil de risque et du degré de complexité de l’entité.

 

Illustration de la résilience numérique dans le secteur financier sous DORA

 

Les 5 piliers de DORA : gestion des risques TIC, incidents, tests, tiers et partage d’informations

 

Pour piloter votre conformité DORA, nous vous recommandons d’organiser votre lecture autour de cinq piliers opérationnels. Le cadre européen prévoit également un sixième niveau de vigilance : la supervision des prestataires TIC critiques à l’échelle de l’Union.

Le premier pilier porte sur la gestion des risques TIC. Il couvre les politiques internes, l’organisation, la continuité, la réponse aux incidents, le rétablissement ainsi que la gouvernance des actifs numériques. 

Le deuxième concerne la gestion et la notification des incidents, avec leur qualification, leur escalade, la déclaration des incidents majeurs et celle de certaines cybermenaces significatives.

Le troisième vise les tests de résilience opérationnelle numérique, au moyen d’un programme fondé sur les risques, complété, pour certaines entités, par des tests avancés. 

Le quatrième traite du risque lié aux tiers TIC, à travers la cartographie des dépendances, les clauses contractuelles, la concentration, la réversibilité et le suivi des fournisseurs.

Le cinquième couvre le partage d’informations, avec des échanges encadrés sur les cybermenaces et les vulnérabilités afin de renforcer l’anticipation collective.

Ces piliers constituent le cœur du dispositif réglementaire.

En pratique, ce cadre vous oblige à passer d’un empilement de contrôles à une véritable chaîne de preuve. Un incident doit être identifié, qualifié, remonté, documenté, puis rattaché à des responsabilités clairement établies. Un prestataire critique doit être évalué avant la signature du contrat, suivi pendant son exécution et intégré dans une vision consolidée du risque. 

Quant au programme de tests, il doit produire des résultats réellement exploitables par la gouvernance. Pour certaines entités, les tests de pénétration pilotés par les menaces (TLPT) deviennent une exigence avancée et récurrente.

 

Qui est concerné ? Banques, assurances, sociétés de gestion, prestataires TIC

 

Le périmètre de DORA est large. Le règlement vise notamment les :

  • établissements de crédit ;
  • établissements de paiement ;
  • établissements de monnaie électronique ;
  • entreprises d’investissement ;
  • prestataires de services sur crypto-actifs ;
  • infrastructures de marché ;
  • sociétés de gestion ;
  • entreprises d’assurance et de réassurance ;
  • intermédiaires d’assurance ;
  • agences de notation ;
  • administrateurs d’indices critiques ;
  • plateformes de financement participatif ;
  • référentiels de titrisation ;
  • prestataires tiers de services TIC

L’ESMA indique que DORA couvre 21 catégories d’entités financières.

Concrètement, cela inclut les banques et les services de paiement, les entreprises d’assurance et leurs intermédiaires, les sociétés de gestion, les acteurs de marché, les prestataires sur crypto-actifs ainsi que les infrastructures financières. Il inclut également les prestataires tiers de services TIC intervenant dans la chaîne de valeur financière.

Le périmètre exact dépend toutefois du statut de l’entité et des exclusions prévues par le texte.

Pour vous, cela signifie qu’une chaîne de conformité n’est jamais isolée. Les dispositifs de KYC, de KYB, de KYT, de détection des sanctions, de gestion des personnes politiquement exposées (PPE) et de surveillance des transactions reposent sur des outils, des API, des référentiels et des fournisseurs. 

Dès lors que ces briques soutiennent des fonctions critiques ou importantes, DORA devient un sujet central pour la conformité, l’audit interne, les achats, la DSI et la direction générale.

 

DORA et LCB-FT : les synergies en matière de conformité

 

C’est ici que l’articulation entre DORA et la LCB-FT prend toute sa portée. Un moteur de filtrage des sanctions interrompu, un registre fournisseur incomplet, une dépendance cloud insuffisamment documentée ou un incident non qualifié à temps peuvent fragiliser votre dispositif de vigilance. L’impact ne concerne pas uniquement l’IT.

Il affecte aussi la continuité de vos contrôles en matière de LCB-FT, la qualité de vos arbitrages et votre capacité à justifier une décision lors d’un audit ou d’une inspection. La résilience opérationnelle numérique protège ainsi, de manière directe, la solidité opérationnelle de votre conformité.

Sur le terrain, nous observons souvent les mêmes difficultés : cartographie incomplète des dépendances, preuves dispersées, contrats hétérogènes, gouvernance répartie entre plusieurs équipes, outils opaques, revues difficiles à auditer. DORA vous oblige à reprendre la main sur ces zones insuffisamment maîtrisées. Vous devez identifier le service qui soutient chaque fonction, le tiers qui intervient, les données qui circulent, le test réalisé, la décision prise et le fondement sur lequel elle repose.

Chez AP Solutions IO, nous apportons précisément cette logique de maîtrise démontrable. Notre approche Glass Box renforce l’auditabilité, la traçabilité et la lisibilité des décisions dans les chaînes KYC, KYB, KYT, sanctions et surveillance des transactions.

Avec AP Scan, AP Scoring, AP Monitoring et AP Filter, nous vous aidons à structurer des dispositifs qui demeurent explicables pour vos équipes, solides face aux régulateurs et compatibles avec vos exigences de continuité. Cette logique repose sur une architecture SaaS ouverte, multilingue, no-code et intégrable par API, hébergée à 100 % en France. Elle s’appuie sur plus de 90 critères paramétrables et peut réduire les faux positifs jusqu’à 98 %, selon les cas d’usage.

 

Assurez votre conformité DORA avec une solution souveraine française

 

Nous ne considérons pas DORA comme un simple projet documentaire. Nous le traitons comme un programme de maîtrise opérationnelle. Cela suppose : 

  • d’identifier les chaînes critiques de vos processus de conformité ; 
  • d’évaluer les dépendances TIC qui les soutiennent ;
  • d’encadrer les fournisseurs ; 
  • de consolider les preuves ; 
  • d’organiser les scénarios d’incident ;
  • de rendre vos décisions opposables. 

Cette articulation permet de rendre l’obligation réglementaire concrètement pilotable.

Notre positionnement répond à cette attente. AP Solutions IO apporte le point d’équilibre recherché par les grands comptes et les ETI : une expertise historique de la conformité LCB-FT, associée à une RegTech de nouvelle génération, souveraine, auditable et rapidement intégrable dans votre système d’information. Nos solutions font l’objet de mises à jour tous les quatre mois. Une logique d’intelligence augmentée explicable permet de vous aider à préparer aussi bien vos revues internes que vos échanges avec l’ACPR.

Cette approche vous prépare également à une pression réglementaire plus large. Les attentes en matière de gouvernance technologique, d’explicabilité, de documentation et de conservation des traces progressent déjà de manière sensible. 

DORA en est une illustration particulièrement concrète. Le règlement européen sur l’intelligence artificielle (AI Act) renforce encore cette tendance pour les outils algorithmiques. Vous avez donc intérêt à construire une architecture durable, lisible et justifiable. 

Si vous souhaitez avancer sur ce chantier, nous pouvons cadrer avec vous un plan d’action DORA articulé à vos enjeux de LCB-FT, à votre trajectoire de mise en conformité, à votre lecture des attentes de l’ACPR et à votre gouvernance des outils de conformité.

 

IA Explicable

 

 

FAQ

 

DORA remplace-t-il les directives existantes ?

 

Non. DORA ne remplace pas l’ensemble des textes existants applicables au secteur financier. Le règlement harmonise les exigences relatives à la résilience opérationnelle numérique, tandis que la directive (UE) 2022/2556 modifie plusieurs directives sectorielles afin d’assurer la cohérence du cadre. Pour les entités financières relevant de son périmètre, DORA constitue également un acte sectoriel spécifique au regard de NIS 2.

 

Les RegTech sont-elles concernées par DORA ?

 

La réponse dépend de leur place dans la chaîne de valeur. Une RegTech peut être directement concernée si elle relève elle-même d’une catégorie d’entité financière visée à l’article 2. Elle peut également être concernée en tant que prestataire tiers de services TIC

Dans ce cas, elle entre dans le dispositif de gestion du risque lié aux tiers des entités financières et, pour les acteurs désignés comme critiques, dans le cadre européen de supervision. En pratique, cela signifie que vos prestataires RegTech doivent être évalués, contractualisés, suivis et correctement inscrits dans vos registres d’information.

Vous aimerez peut-être aussi

conformité créatrice
Blog
De la conformité subie à la conformité créatrice de valeur, il n’y a qu’un pas !
Impact de l’intelligence augmentée sur la LCB-FT
Blog
KYT (Know Your Transaction) : définition et surveillance des transactions en temps réel