RÉGLEMENTATION EUROPÉENNE

DORA & le SI : Êtes-vous prêts pour le choc ?

Digital Operational Resilience Act — En vigueur depuis le 17 janvier 2025

Le règlement DORA est désormais applicable à l’ensemble du secteur financier européen. Pour les ESN et prestataires IT qui accompagnent ces acteurs, les obligations sont réelles, immédiates et structurantes. Storm Group fait le point sur ce que cela change concrètement pour vos systèmes d’information.

Nous contacter

22 000+

Entités concernées en UE

8%

Ratio Cooke — Bâle I

12,2 %

Impact G-SIIs Tier 1

2033

Pleine impl. CRR3 (EBA)

CONTEXTE

Qu’est-ce que DORA — et pourquoi ça concerne votre SI ?

Adopté par le Parlement européen le 14 décembre 2022 (Règlement UE 2022/2554) et entré en application le 17 janvier 2025, DORA (Digital Operational Resilience Act) impose un cadre unifié de résilience numérique à l’ensemble des acteurs financiers européens et à leurs prestataires TIC.

Son ambition va au-delà de la cybersécurité classique : DORA définit la résilience opérationnelle numérique comme la capacité d’une entité financière à développer, garantir et réévaluer l’intégrité opérationnelle de son système d’information. En clair, il ne suffit plus de se protéger — il faut prouver que vous pouvez encaisser et rebondir.

« Le respect d’une hygiène informatique de base devrait éviter à l’économie d’avoir à supporter des coûts considérables, en réduisant au minimum les incidences et les coûts des dysfonctionnements des TIC. »

— Considérant 6 du Règlement (UE) 2022/2554 · Parlement Européen, décembre 2022

Pour les DSI et prestataires IT, DORA représente bien plus qu’une simple obligation de conformité. Selon RESCO Courtage (2026), la réglementation impose une transformation profonde des approches de cybersécurité, plaçant la résilience opérationnelle numérique au même niveau d’importance stratégique que les risques financiers traditionnels.

ARCHITECTURE RÉGLEMENTAIRE

Les 5 piliers qui transforment votre SI.

DORA s’articule autour de cinq axes structurants. Chacun a des conséquences directes sur l’architecture, les processus et la gouvernance de votre système d’information.

Nous contacter

PILIER 1

Gestion des risques TIC

Mise en place d’un cadre de gouvernance, identification continue des risques, politique de sécurité de l’information et plans de continuité testés annuellement.

PILIER 2

Gestion des incidents

Détection en temps réel, registre des incidents, classification par criticité, notification obligatoire à l’AMF/ACPR pour les incidents majeurs.

PILIER 3

Tests de résilience

Tests annuels obligatoires : tests de pénétration, analyses de vulnérabilité, simulations d’attaques (TLPT). Red Team pour entités critiques.

PILIER 4

Risques tiers (Third-Party)

Registre exhaustif des prestataires TIC, audits fournisseurs annuels, clauses contractuelles spécifiques, stratégies de sortie. Cloud, SaaS, hébergeurs : tous concernés.

PILIER 5

Partage d’informations sur les menaces

Mutualisation des renseignements cyber entre entités financières pour renforcer la sécurité collective. Mise en place de politiques encadrant les informations pouvant être partagées.

IMPACT OPÉRATIONNEL

Ce qui change concrètement dans votre SI.

Pour les prestataires informatiques — éditeurs SaaS, hébergeurs, intégrateurs — DORA s’applique dès lors qu’ils fournissent des services aux entités financières concernées. Selon le cabinet Avoconseil (2024), les organes de direction doivent avoir un rôle majeur dans l’application des dispositions et assurer le suivi de la mise en œuvre des processus afférents.

Sanctions en cas de non-conformité

Les autorités compétentes (EBA, ESMA, EIOPA) disposent de pouvoirs élargis : amendes administratives pouvant atteindre plusieurs millions d’euros, suspension temporaire d’activités en cas de risque systémique avéré, sanctions disciplinaires pour les dirigeants. Docaposte (2026) rappelle que retarder la mise en conformité n’est plus une option.

D’un point de vue architecture SI, les impacts sont multiples et profonds. Voici la checklist des chantiers à engager ou à auditer dès maintenant :

  • Cartographie des actifs TIC — Inventaire complet des systèmes, outils et protocoles avec revue annuelle obligatoire (AMF, 2025).
  • Politique de sécurité de l’information — Disponibilité, authenticité, intégrité et confidentialité des données formellement documentées.
  • Plan de continuité & PRA/PCA — Tests annuels obligatoires des procédures de sauvegarde, restauration et reprise d’activité.
  • Registre des incidents TIC — Origine, nature, durée, portée, impact financier. Procédure de post-mortem systématique.
  • Registre des prestataires tiers — Contrats mis à jour avec clauses d’audit, droits d’accès régulateurs, stratégies de sortie (PwC, 2025).
  • Programme de tests de résilience — Tests de pénétration, analyses de vulnérabilité, TLPT pour les entités les plus exposées (SysDream, 2025).
  • Formation et sensibilisation — Administrateurs, DG et équipes IT formés aux obligations DORA et aux procédures de réponse aux incidents.

STORM GROUP · EXPERTISE DORA

Comment Storm Group peut vous accompagner.

En tant qu’ESN spécialisée, Storm Group accompagne les entités financières et leurs prestataires IT dans leur mise en conformité DORA. De l’audit initial à la mise en œuvre opérationnelle, nos équipes interviennent sur l’ensemble de la chaîne de valeur.

Audit de maturité DORA

Cartographie des risques TIC

Mise en place du registre tiers

Tests d’intrusion & PenTest

Plan de remédiation SI

Gouvernance & documentation

PRA / PCA & tests de continuité

Formation des équipes dirigeantes

Nous contacter

Les autres articles

Nous contacter.

Vous êtes une entreprise à la recherche d’expertises IT & Finance, ou un talent prêt à relever de nouveaux défis ? Nos équipes sont à votre écoute.

Écrivez-nous, nous vous répondons dans les plus brefs délais.

Villes : Paris, Bordeaux, Lyon
Adresse e-mail : contact@storm-group.fr
Téléphone : 01 88 61 64 27