Demander une démo Le Portail Infolegale Votre espace client
Demander une démo Le Portail Infolegale Votre espace client
Demander une démo Le Portail Infolegale

Réglementation DORA : qui est concerné ? 

par Infolegale le 26/08/25 14:14

DORA : qui est concerné ?

DORA : qui est concerné ?
15:14

Dans un contexte où les cyberattaques se multiplient et où les services numériques sont devenus vitaux pour l’ensemble du secteur financier, l’Union européenne renforce ses règles. Avec l’entrée en application de la réglementation DORA en janvier 2025, une nouvelle ère s’ouvre pour la résilience opérationnelle numérique.  Derrière cet acronyme encore peu connu, se cache une obligation de fond pour de nombreuses entreprises.  

Qui est réellement concerné par la réglementation européenne DORA ? Cette réglementation vise-t-elle uniquement les banques ou s’adresse-t-elle à un écosystème plus large ? Dans cet article, faisons le point sur les entités soumise à DORA, les critères à surveiller et les conséquences concrètes pour les organisations touchées.  

Qu’est-ce que la réglementation DORA ?  

La réglementation DORA est une directive en application depuis janvier 2025 qui permet de réunir les préceptes du Digital Operationnal Resilience Act, ou Acte Digital de Résilience Opérationnelle. Le but de cette réglementation pour les entreprises concernées est de renforcer leur résilience opérationnelle. DORA s’applique essentiellement aux acteurs du secteur financier. 

Une réponse européenne au risque numérique  

La recrudescence des cyberattaques visant le secteur bancaire et financier depuis quelques années a obligé l’Union Européenne à statuer sur une véritable réglementation, forçant les principaux concernés à renforcer leur résilience cyber. C’est comme cela que DORA a été mis en place, depuis janvier 2025 : les acteurs concernés doivent être conformes vis-à-vis de la nouvelle réglementation européenne. 

Bien plus que les établissements bancaires, ce sont l’ensemble des acteurs dans le secteur de la finance qui doivent se conformer à DORA. Plus concrètement, il s’agit d’uniformiser la gestion des risques liés aux TIC (technologies de l’information) et de renforcer la sécurité des réseaux et systèmes d’information. 

Une réglementation européenne exigeante 

DORA, en tant que réglementation européenne, est transposée dans chaque pays membre de l’UE. En France, le règlement DORA a été transposé en début d’année 2025 avec d’autres réglementations liées à la cybersécurité : 

  • NIS 2 (Network and Information Security 2) 
  • REC (Résilience des Infrastructures Critiques) 

DORA : trois réglementations transposées en France

De nombreuses entreprises sont donc concernées par ces nouvelles régulations, certaines peuvent même être concernées par NIS 2, DORA et REC. Une constante régit d’ailleurs ces trois réglementations européennes : la nécessité de surveiller proactivement ses tiers en termes de cybersécurité. Un véritable pilier qui s’inscrit dans la pensée du third party risk management : le risk management à 360°.  

third party risk management : conformez vous à DORA

DORA : une réglementation européenne à large spectre  

Le règlement DORA concerne essentiellement le secteur financier, mais quelles sont concrètement les entités visées ?

Les institutions financières concernées  

Les entreprises du secteur financier sont celles principalement concernées par le règlement DORA : 

  • Établissements bancaires  
  • Assurances 
  • Gestionnaires d’actifs 
  • Établissements de paiement, etc  

👉 Les entreprises faisant partie du secteur financier sont, en règle générale, déjà très matures sur les sujets de conformité. Cela s’explique par les nombreuses réglementations qui les encadrent d’ores et déjà. Cela en fait également des cibles très exposées à des risques numériques croissants et les place au centre de toute menace cyber puisque les criminels s’intéressent tout particulièrement à ces structures.

🛡️Les données sensibles détenues par les banques, par exemple, représentent un véritable trésor pour les hackers. La nécessité de renforcer la résilience cyber du secteur financier tombe donc sous le sens.  

Les prestataires de services TIC dans le viseur  

Au-delà des établissements bancaires et financiers au sens large, ce sont les prestataires de services TIC qui se retrouvent dans le viseur de DORA :  

  • Cloud 
  • Hébergement 
  • Services IT externalisés  
  • Logiciels SaaS 
  • Services de développement applicatif externes 
  • Services de télécommunications, etc. 

DORA impose aux entreprises concernées de déterminer si les services TIC externalisés sont considérés comme critiques ou importants.  

❌Si un service TIC critique ou important est indisponible, défaillant ou compromis et que cela affecte de manière significative la continuité, la sécurité ou la conformité de l’activité de la structure concernée.  

En fait, l’objectif in fine est d’encore mieux encadrer la chaîne de sous-traitance, souvent en cause dans les affaires de cyberattaques qui visent les établissements financiers.  

🗒️À noter : 

Les prestataires TIC critiques peuvent être déterminés par l’entreprise financière elle-même ou bien qualifiés directement par les autorités européennes de supervision.  

 

Comment savoir si votre entreprise est concernée par DORA ?  

La réglementation DORA inclut la majorité des institutions financières ainsi que les prestataires tiers de services TIC considérés comme critiques ou importants. L’ensemble des établissements bancaires ou financiers peut donc se considérer comme concerné par le règlement DORA.  

Une liste officielle avec des cas particuliers  

Voici la liste officielle des établissements financiers concernés par DORA : 

  • Établissements de crédit 
  • Établissements de paiement  
  • Établissements de monnaie électronique 
  • Fournisseurs de services d’information sur les comptes (AISPs) 
  • Sociétés d’investissements (hors exceptions) 
  • Fournisseurs de services sur crypto-actifs et émetteurs de jetons adossés à des actifs 
  • Dépositaires centraux de titres (CSD) 
  • Contreparties centrales (CCP) 
  • Places de négociation (marchés réglementés, MTF, OTF) 
  • Administrateurs de benchmarks critiques 
  • Agences de notation de crédit 
  • Fournisseurs de crowdfunding 
  • Référentiels de titrisation 
  • Prestataires de services de reporting de données (DRSP) 
  • Gestionnaires de sociétés de gestion d’OPCVM 
  • Gestionnaires de fonds d’investissements alternatifs (AFIM) 
  • Entreprises d’assurance et de réassurance (sauf certaines petites structures) 
  • Intermédiaires d’assurance et réassurance 
  • Institutions de retraite professionnelle 
  • Fournisseurs tiers de services TIC 

Globalement, tous les prestataires financiers sont concernés par DORA. Des exceptions existent, notamment liées à la taille de l’entreprise. C’est par exemple le cas des petites entreprises d’assurance.  

Les critères d’exposition au risque numérique  

Les critères d’exposition au risque numérique, c’est l’ensemble des facteurs qui augmentent ou réduisent la vulnérabilité d’un établissement financier face aux risques TIC.  

Dans le cadre de DORA, les entreprises concernées sont obligées de s’auto-évaluer à ce sujet via : 

  • Le cadre de gestion des risques TIC 
  • Les tests de résilience numériques avancés 
  • L’enregistrement d’incidents majeurs 
  • Le contrôle des fournisseurs tiers TIC 

Par exemple, voici quelques critères d’exposition : 

Critère 

Pourquoi ça

augmente le risque ? 

Nombre de fournisseurs TIC critiques 

Plus on externalise, plus la dépendance augmente 

Types de services externalisés (cloud, paiements, cybersécurité, …) 

Certains services sont critiques (hébergement, cloud public) 

Niveau de digitalisation des services 

Plus on est digitalisé, plus on expose sa chaîne opérationnelle 

Sensibilité des données traitées 

RGPD, données bancaires ou assurances, donc attaquables 

Taille et complexité du SI 

Un SI fragmenté ou complexe est plus difficile à sécuriser 

Historique des incidents récents 

Signes potentiels de faiblesses 

Présence dans plusieurs juridictions 

Complexité réglementaire accrue 

 

⚠️ Le règlement DORA fonctionne sur un principe proportionnel : autrement dit, les entreprises concernées par DORA considérées comme les plus critiques au vu des critères précédemment évoquées seront soumises à des obligations plus lourdes que les structures moins exposées à des facteurs de risques.  

Quelles obligations pour les entités concernées ?  

Les entités concernées par DORA doivent répondre à un certain nombre d’obligations, dans une plus ou moins grande mesure selon leur niveau d’exposition au risque. L’autorité régulatrice en France est l’Autorité des Marchés Financiers (AMF).  

Gouvernance, tests, surveillance des tiers  

Les obligations en matière de gestion des risques informatiques pour les entreprises concernées par DORA sont listées dans le chapitre II du règlement (articles 5 à 14) et concernent toutes les entités financières couvertes par le règlement.  

Mise en place d’un cadre de gestion des risques TIC  

Chaque entité se doit d’établir, maintenir et revoir un cadre complet et documenté couvrant :  

  • L’identification des risques TIC 
  • La protection des actifs 
  • La détection des incidents 
  • La réponse et la reprise 
  • La communication interne et externe 

Ce cadre doit être intégré à la gouvernance générale de l’entreprise.  

Gouvernance et responsabilités 

Les dirigeants sont directement responsables de la résilience opérationnelle numérique. Ils doivent donc :

  • Définir l’appétence au risque TIC 
  • Valider le cadre de gestion 
  • Recevoir des rapports réguliers 
  • Former les équipes de direction 

Identification et classification des actifs TIC 

  • Cartographier tous les actifs numériques (matériels, logiciels, données, réseaux, etc) 
  • Identifier les actifs critiques pour le bon fonctionnement des services financiers 
  • Évaluer leur niveau de vulnérabilité 

Protection et prévention 

Les entreprises concernées par DORA doivent mettre en œuvre : 

  • Des mesures de cybersécurité 
  • Des contrôles d’accès 
  • Une surveillance de leur réseau 
  • Des politiques de mises à jour et de correctifs 

Détection des anomalies 

  • Dispositifs de surveillance continue pour détecter : 
  • Comportements anormaux 
  • Intrusions 
  • Activités suspectes 

La réglementation DORA incite les entreprises concernées à se tourner vers des solutions automatisées permettant de surveiller proactivement et en temps réel ces types d’incidents.

💡Le produit Cyber Infolegale, permet par exemple aux entreprises de scorer leurs tiers au niveau cyber pour détecter toute anomalie en temps réel. 

Gestion des incidents  

  • Mise en place d’un process clair de gestion des incidents cyber 
  • Obligation de déclarer les incidents majeurs à l’autorité compétente dans les 72h 
  • Tenir un registre détaillé des incidents 

Continuité des activités et reprise après incident 

Le Plan de continuité d’activité et le plan de reprise d’activité sont obligatoires pour les structures concernées par DORA : ces plans doivent être testés régulièrement et mis à jour en continu.

en savoir plus sur le plan de continuité d'activité dans le cadre de DORA

Les sanctions en cas de non-conformité DORA  

Les entreprises concernées par DORA ne se conformant pas à la réglementation risquent des sanctions plus ou moins lourdes : 

  • Amendes pouvant aller jusqu’à 10M€ ou 5% du CA annuel total pour les établissements financiers 
  • Astreintes journalières pouvant atteindre six mois, soit 1% du CA quotidien moyen mondial pour les TIC 

Les autorités régulatrices nationales, en France l’AMF pour rappel, peuvent également mener des enquêtes plus poussées, inspecter les établissements concernés par DORA, émettre des injonctions et même suspendre certaines pratiques si celles-ci sont considérées comme non conformes.  

les amendes en cas de non conformité à DORA pour les banques et TIC

Anticiper la conformité DORA dès maintenant  

Se conformer au règlement DORA demande aux établissements concernés de mettre en place de nouveaux process au sein de leur structure. En application officielle depuis le début d’année 2025, les entités disposent d’encore quelques mois pour pouvoir définitivement fixer leur process et être en conformité DORA

Une démarche proactive recommandée  

Dans le cadre de la réglementation DORA, l’objectif est d’anticiper plutôt que subir: réalisation d’audits, cartographie des risques, plans d’action, … Tous ces process sont bons pour pouvoir mettre en place le plus efficacement possible les démarches obligatoires.  

Le renforcement de la résilience cyber est, par ailleurs, au cœur de l’actualité, et ce depuis quelques mois maintenant. Il va sans dire que cela va être le quotidien de beaucoup d’entreprises pendant encore de nombreuses années. Le règlement DORA, c’est donc l’opportunité pour les entreprises concernées de renforcer globalement sa posture cyber

Les partenaires commerciaux, eux-mêmes soumis aux autres directives cyber demandent de plus en plus de montrer patte blanche. La démocratisation de la norme ISO 27001 en est une des preuves.  

Plus que jamais, il convient donc aux entités qui sont concernées par DORA de s’avancer dans la mise en place des process répondant aux obligations de la réglementation européenne.  

DORA dans l’écosystème réglementaire global : cohérence et ambition 

DORA n’est pas qu’un texte de conformité : il pose les bases d’une dynamique d’amélioration continue de la résilience numérique. En obligeant les entités à documenter, tester, revoir et faire évoluer régulièrement leurs dispositifs (plans de continuité, cartographie des risques, tests, …), le règlement pousse les entreprises concernées par DORA à passer d’une logique réactive à une logique proactive. 

Aussi, DORA s’inscrit dans une vision cohérente des régulateurs européens pour sécuriser la chaîne de valeur numérique (NIS 2, CSRD, etc). Cela permet de renforcer la résilience stratégique de l’économie européenne.  

Découvrez Cyber par Infolegale et SecurityScorecard et renforcez dès à présent votre résilience face aux réglementations européennes NIS 2 et DORA.

Demander une démo

 

Qui est concerné par la réglementation DORA : les questions les plus fréquentes 

Qui doit se conformer à DORA ? 

DORA concerne l’extrême majorité des établissements bancaires et financiers opérant dans l’Union européenne, ainsi que les prestataires TIC. Des exceptions existent pour les établissements financiers dont la structure répond aux critères de la micro ou petite entreprise. 

Quoi qu’il en soit, assurer sa résilience cyber doit être la règle pour toutes les entreprises sans exceptions. Les cyberattaques sont grandissantes et sont la cause d’un quart des défaillances en France. 

Qui est exempté de DORA ? 

Sont exemptées de DORA les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire qui sont des micro-entreprises ou des TPE/PME.  

Quels sont les 5 piliers de DORA ? 

Les 5 piliers de DORA sont les suivants : 

  • Gestion des risques liés aux TIC 
  • Gestion classification et notification des incidents liés aux TIC 
  • Effectuer des tests de résilience opérationnelle numérique 
  • Gestion des risques liés aux prestataires tiers de services TIC 
  • Classification et notification des incidents 
Article précédent
← NIS 2 : qui est concerné par la nouvelle directive européenne ?
Les 5 articles qui vous ont le plus intéressés en 2018
top-5-articles-blog-infolegale-2018 (002)
Actualités

Les 5 articles qui vous ont le plus intéressés en 2018

26/12/18 14:50 4 min à lire
56 % de bilans déclarés confidentiels en mars 2018
bilans confidentiels-3
Risque client

56 % de bilans déclarés confidentiels en mars 2018

19/04/18 14:26 3 min à lire
Système d'information : l'enrichir grâce aux données d'entreprises
Intégration de données B2B dans votre SI
Système d'informations

Système d'information : l'enrichir grâce aux données d'entreprises

14/03/17 09:24 5 min à lire

M'abonner à la newsletter

Pas encore de commentaire

Votre avis nous intéresse !