Retour sur Advens.fr
Cyber Légale Article

Assurer sa conformité DORA en 5 étapes 

13 mars 2025 6 min de lecture
Conformite DORA
Sommaire :

Le règlement européen DORA (Digital Operational Resilience Act) est entré en vigueur le 17 janvier 2025. Avec les discussions autour de NIS 2 et de l’AI Act, le début d’année s’est trouvé chargé en enjeux réglementaires – si bien que les organisations peuvent rapidement se sentir submergées par ces nouvelles exigences.  

Dans ce contexte, il est essentiel de prendre du recul et de procéder par étapes. Voici donc la marche à suivre pour votre mise en conformité DORA

Contexte : les essentiels de la réglementation DORA 

Tout comme NIS 2, le Digital Operational Resilience Act est une initiative de l’Union européenne. Ce nouveau règlement vise à renforcer la résilience des institutions financières face aux risques de cybersécurité.  

Pour cela, DORA impose un cadre de cybersécurité unique pour tous les acteurs européens du secteur financier. Dans un contexte où les entités sont de plus en plus nombreuses et interconnectées, l’harmonisation des pratiques est clé : il est essentiel que toutes ces entités aient le même niveau de sécurité, mais aussi les mêmes pratiques de gestion des risques. 

À qui s’applique DORA ? 

DORA concerne un large éventail d’acteurs du secteur financier, comme par exemple : 

  • banques et établissements de crédit, 
  • compagnies d’assurances et réassurances, 
  • sociétés de gestion d’actifs, 
  • fintechs, 
  • prestataires de services informatiques critiques pour ces institutions, 
  • etc. 

Cela représente près de 22000 entités concernées en Europe. 

Quels sont les 5 piliers de DORA ? 

La réglementation DORA est organisée autour de cinq axes fondamentaux, eux-mêmes répondant à plusieurs enjeux. 

#1 Stratégie et gouvernance 

Les objectifs business de l’entreprise doivent être alignés avec sa stratégie de résilience et de cybersécurité. Cela implique de mettre en place une structure de gouvernance cyber claire, avec des rôles et responsabilités bien définis. 

#2 Gestion des risques liés aux TIC  

Les risques liés aux TIC doivent être abordés et traités de la même manière que les risques propres à l’entreprise elle-même : 

  • identification et classification des actifs informatiques critiques
  • mise en place de politiques de gestion des risques et de plans de traitement
  • surveillance continue des menaces et des vulnérabilités. 

#3 Surveillance et réponse aux incidents 

Avant de pouvoir traiter les incidents, il faut implémenter un processus de détection et de réponse précis. Mais ce n’est pas tout : avec un paysage de cybermenaces en perpétuelle évolution, un véritable travail d’amélioration continue doit être mis en place pour maintenir les capacités de réaction de l’entreprise aux cyberattaques.  

Dans ce contexte, la réglementation DORA impose aux organisations de notifier les incidents majeurs aux autorités compétentes. Il est donc également nécessaire d’avoir un process efficient de déclaration. 

#4 Tests de résilience 

Assurer sa résilience face au risque cyber implique de la tester et de l’évaluer de manière régulière. Cette exigence englobe :  

  • de réaliser des audits réguliers qu’ils soient techniques ou organisationnels
  • l’audit des processus de gestion des risques, 
  • l’évaluation des plans de continuité (PCA) et de reprise d’activité (PRA).  

#5 Gestion des prestataires tiers  

Les entreprises ne travaillent plus seules : elles exercent maintenant dans tout un écosystème de relations client-fournisseur – des relations qui peuvent être source de vulnérabilités si elles ne sont pas sécurisées. DORA prévoit (et impose) donc :  

  • le recensement et l’évaluation des fournisseurs critiques ainsi que des sous-traitants ultérieurs
  • l’inclusion de clauses de conformité DORA dans les contrats de sous-traitance, 
  • la mise en place d’une surveillance rapprochée et d’audits réguliers des performances et de la sécurité des partenaires. 

5 étapes clés pour réussir sa mise en conformité DORA 

Étape 1 – Réaliser un état des lieux 

Avant toute chose, il est essentiel d’évaluer la situation actuelle de l’organisation vis-à-vis des exigences de DORA. Il faut donc passer par une phase d’observation et d’étude, incluant :  

  • l’identification des écarts entre les exigences de la réglementation et les processus en place,  
  • la cartographie des fonctions critiques de l’entreprise et des actifs numériques, 
  • la définition d’une feuille de route conformité incluant toutes les actions nécessaires – qu’elles soient techniques, humaines ou financières. 

Étape 2 – Mettre en place une gouvernance efficace 

La mise en conformité est un projet de longue haleine et qui implique de nombreux acteurs. L’enjeu est donc d’embarquer, structurer et coordonner toutes les parties prenantes. Le meilleur moyen d’y parvenir est de désigner un « chef d’orchestre » du projet DORA, qui peut être le RSSI, le DSI, le RPCA ou encore le Responsable Conformité.  

Il sera chargé de définir et orchestrer une feuille de route réaliste, avec un système de priorisation adapté au contexte de l’entreprise – et de s’assurer de sa mise en œuvre.  

Étape 3 – Déployer les outils et les processus 

Une fois le cadre posé et les parties prenantes structurées, vient le moment du déploiement de la stratégie de mise en conformité. Puisque DORA impose aux entreprises de renforcer leur système de surveillance et de protection, les premières actions à mener sont l’implémentation de mesures de protection organisationnelles et techniques, ainsi que de processus de gestion de la continuité 

Cette mise en place ne doit pas être une fin en soi : l’amélioration continue est au cœur de la réglementation DORA. Cette étape implique donc également de suivre les efforts sur le long terme, avec par exemple :  

  • un programme de formation des équipes à la gestion des incidents, 
  • des tests de résilience réguliers. 

Étape 4 – Gérer la relation avec les prestataires tiers 

DORA impose une responsabilisation des entreprises vis-à-vis de leurs fournisseurs de services numériques. La conformité des tiers est donc un enjeu incontournable, qui doit être traité en : 

  • vérifiant la conformité des prestataires aux exigences de la réglementation, 
  • intégrant des clauses spécifiques de conformité dans les contrats, 
  • mettant en place un suivi et contrôle des performances et de la sécurité des sous-traitants. 

Étape 5 – Anticiper les audits et la documentation 

Le travail de mise en conformité ne s’arrête pas au déploiement du plan d’action. L’entreprise doit en effet être en mesure de prouver et justifier cette conformité, en particulier lors des audits de contrôle.  

Afin de s’y préparer, il est essentiel de :  

  • définir et déployer un processus de reporting précis, 
  • organiser des audits internes
  • mettre en place un plan d’amélioration continue
  • consolider la documentation de référence pour faciliter les contrôles. 

DORA, un levier pour une cybersécurité plus mature 

Plutôt que de voir DORA comme une contrainte, les entreprises peuvent au contraire en faire un levier stratégique pour renforcer leur cybersécurité et leur résilience ! Et pour cause : la formation des collaborateurs, l’automatisation de la gestion des risques et la mise en place d’une gouvernance cyber efficace – tout cela permet, in fine, de mieux protéger l’entreprise

Et une organisation mieux protégée est aussi une entreprise qui inspire la confiance des clients et partenaires ! En anticipant leur mise en conformité DORA, les entités financières peuvent donc valoriser cette obligation en un réel avantage compétitif

Sur le même sujet…
Reglement DORA
Cyber Légale Article

Application du règlement DORA : ce qui change pour vos équipes 

21 mars 2025 6 min
Cyberassurance
Sécurité opérationnelle Article

Cyberassurance : comment assurer son entreprise contre les risques Cyber ? 

10 mars 2025 6 min
Gestion de crise cyber
Sécurité opérationnelle Article

7 méthodes à privilégier pour éviter une crise cyber majeure

24 février 2025 6 min

Retour à la page Cyber Légale