DORA : une nouvelle obligation pour les entités financières ? Non, une opportunité !

par | Mai 20, 2025 | TRANSFORMATION DES ORGANISATIONS, TRANSFORMATION DES PROCESSUS, TRANSFORMATION DES USAGES, TRANSFORMATION DU SI

Rançongiciels, violations de données, interruptions de services : les menaces numériques explosent.

Entre 2023 et 2024, les cyberattaques ont encore augmenté de 15% suivant une hausse déjà significative de 30% entre 2022 et 2023

Le secteur financier est en première ligne de ses attaques, y compris les TPE/PME.

Face à ce contexte, l’UE a adopté fin 2022 trois directives clés. En France, une loi regroupe la transposition de ces 3 textes. Elle a été votée au Sénat le 12 mars 2025, et passera bientôt à l’Assemblée nationale.

        • REC (Résilience des Entités Critiques) : assurer la continuité physique des infrastructures critiques
        • NIS2 (Cybersécurité et résilience informatique) : renforcer la cybersécurité dans tous les secteurs essentiels
        • DORA (Digital Operational Resilience Act) : structurer la résilience numérique des entités financières

DORA impose aux acteurs financiers européens de se doter d’une vraie stratégie de résilience numérique :

  • Une gouvernance active des risques IT
  • Des plans de continuité concrets (PRA, PCA)
  • Une supervision accrue des prestataires critiques

Tout le monde est concerné, de la fintech à la grande banque !

DORA vise à changer de paradigme :

  • Impliquer le COMEX, pas seulement la DSI
  • Réagir vite, mais surtout se préparer avant
  • Garder la main sur les partenaires et sous-traitants

Une approche proactive, pas défensive !

Les 5 piliers d’une stratégie DORA

1. CARTOGRAPHIER les systèmes critiques et les dépendances

2. ANALYSER les risques IT (vulnérabilités, incidents récurrents)

3. TESTER avec des simulations, exercices, pentests

4. SURVEILLER en continu (SIEM/SOC, alerting temps réel)

5. SEGMENTER avec le modèle Zero Trust (aucune confiance par défaut)

PME ou grand groupe : lobjectif reste le même, seule l’approche varie selon le principe de proportionnalité. Les points clés pour les petites structures :

        • Identifier les services les plus exposés
        • Prioriser les ressources sur les actifs critiques
        • S’appuyer sur des partenaires pour mutualiser (SOC partagé, outils SaaS sécurisés)

Les attendus pour être vraiment conforme à DORA :

        • Cartographie des actifs critiques
        • Politique formelle de résilience (rôles, responsabilités, règles)
        • Programme de tests planifié
        • Plans concrets de continuité et de reprise d’activité (PCA / PRA) avec des objectifs définis avec les métiers
        • Suivi documentaire des incidents et des prestataires
        • Reporting aux régulateurs

Pensez que DORA est également une opportunité pour :

        • Montrer à vos clients que vous êtes prêts
        • Rassurer investisseurs et régulateurs
        • Se différencier avec une approche cybersécurité transparente

La résilience devient une promesse commerciale crédible. En anticipant les obligations DORA, vous vous protégez durablement — et vous inspirez confiance.