Compliance Resource Center
DORA : Comprendre le Digital Operational Resilience Act
Déchiffrez la conformité DORA avec ce hub rassemblant toutes les ressources utiles sur le règlement – votre guide ultime du Digital Operational Resilience Act.
Qu’est-ce que le règlement DORA ?
Le Digital Operational Resilience Act (DORA) est un règlement (n°2022/2554) adopté par l’Union européenne en décembre 2022 pour encadrer la cybersécurité des entités financières, telles que les banques et les établissements de crédit.
Quand DORA entrera-t-il en vigueur ?
La loi sur la résilience opérationnelle numérique entrera en vigueur le 17 janvier 2025. Cette date butoir correspond à une période de 24 mois après la publication du règlement au Journal officiel de l’UE, conformément à l’article 64.
Pourquoi DORA est-il nécessaire ?
L’objectif du règlement DORA, tel qu’énoncé dans son considérant 105, est d’atteindre un niveau élevé de résilience opérationnelle numérique pour les entités financières réglementées.
La résilience opérationnelle numérique est définie comme la capacité d’une entité financière à construire, assurer et contrôler son intégrité et sa fiabilité opérationnelles. Ceci implique de garantir la sécurité des réseaux et des systèmes d’information, que ce soit par des moyens directs ou indirects en utilisant des services fournis par des prestataires de services TIC tiers.
L’objectif final est de maintenir la continuité opérationnelle des services financiers au sein de l’Union européenne, même en cas de perturbations, d’incidents ou d’attaques. DORA marque un changement de paradigme, le passage d’une vision défensive de la sécurité à une résilience globale du secteur financier. Il ne s’agit plus seulement de se défendre, mais bien de résister.
Quels sont les organismes financiers réglementés par DORA ?
Le Digital Operational Resilience Act concerne 21 types d’entités. Les voici, tels que décrits à l’Article 2 :
- Les établissements de crédit ;
- Les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
- Les prestataires de services d’information sur les comptes ;
- Les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE;
- Les entreprises d’investissement ;
- Les prestataires de services sur crypto-actifs et les émetteurs de jetons se référant à un ou des actifs ;
- Les dépositaires centraux de titres ;
- Les contreparties centrales ;
- Les plateformes de négociation ;
- Les référentiels centraux ;
- Les gestionnaires de fonds d’investissement alternatifs ;
- Les sociétés de gestion ;
- Les prestataires de services de communication de données ;
- Les entreprises d’assurance et de réassurance ;
- Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
- Les institutions de retraite professionnelle ;
- Les agences de notation de crédit ;
- Les administrateurs d’indices de référence d’importance critique ;
- Les prestataires de services de financement participatif ;
- Les référentiels des titrisations ;
- Les prestataires tiers de services TIC
DORA : Toutes les ressources utiles
Nos articles sur le Digital Operational Resilience Act
Les ressources utiles ailleurs sur le web
- Texte officiel de la loi sur la résilience opérationnelle numérique (EUR-Lex) (2022)
- Texte officiel de la loi sur la résilience opérationnelle numérique (Format PDF) (2022)
- Consultation des AES sur la première série de projets de normes techniques DORA (ESMA) (2023)
- Normes techniques réglementaires (RTS) sur le cadre de gestion des risques liés aux TIC et RTS sur le cadre simplifié de gestion du risque lié aux TIC ;
- RTS sur les critères de classification des incidents liés aux TIC ;
- Normes techniques d’implémentation (ITS) pour établir les modèles du registre d’information ;
- RTS pour spécifier la politique sur les services TIC fournis par des prestataires tiers
- Consultation des AES sur la deuxième série de projets de normes techniques DORA (ESMA) (2023)
- Document de consultation sur le projet de RTS sur la sous-traitance
- Document de consultation sur le projet de lignes directrices sur l’estimation des coûts et pertes annuels agrégés causés par des incidents majeurs liés aux TIC
- Document de consultation sur le projet de RTS sur l’harmonisation de la supervision
- Document de consultation sur les projets de RTS et d’ITS sur les rapports d’incidents majeurs dans le cadre de DORA
- Document de consultation sur le projet de lignes directrices relatives à la coopération en matière de contrôle
- Document de consultation sur le projet de RTS sur les tests de pénétration fondés sur la menace (TLPT)
- Les AES précisent les critères de criticité et les frais de surveillance pour les fournisseurs tiers de TIC critiques dans le cadre de DORA (ESMA) (2023)
- Les AES publient un rapport sur le paysage des fournisseurs tiers de TIC dans l’UE (ESMA) (2023)
À propos du cadre TIBER-EU
- Page d’information TIBER-EU (Banque centrale européenne, BCE)
- Lignes directrices pour la prestation de services dans le cadre du framework TIBER-EU (BCE)(2018)
- Comment mettre en œuvre le cadre européen pour le Red Teaming Ethique basé sur le renseignement sur les menaces (2018)
- Guide White Team : Les rôles et responsabilités de l’équipe blanche dans le cadre d’un test Red Teaming basé sur le renseignement sur les menaces (2018)
- Bonnes pratiques de la Purple Team (2022)
- Modèle de spécification du scope (2020)
- Recommandations pour le rapport de renseignement sur les menaces ciblées (2020)
- Recommandations pour le plan de test de la Red Team (2020)
- Recommandations pour le rapport de test de la Red Team (2020)
- Recommandations pour le rapport de synthèse du test TIBER-EU (2020)
- Modèle d’attestation TIBER-EU (2020)
Nos guides de conformité DORA
Vous pouvez télécharger ci-dessous nos deux guides de conformité gratuits pour aider les organisations réglementées par DORA à naviguer dans les exigences introduites par le règlement.
DORA : Guide de conformité complet pour le secteur financier
Un guide de 50 pages pour accompagner les RSSI, les DPO et les services juridiques dans l'application de la réglementation européenne. Aucun blabla, rien que des conseils pratiques et des analyses exploitables.
DORA : guide des tests de sécurité pour les entités réglementées
Un guide de conformité de 60 pages pour guider les responsables de la sécurité des entités réglementées par DORA à travers les obligations de test de sécurité prévues par le règlement : les tests de résilience et les tests de pénétration fondés sur la menace (TLPT).
Besoin de réaliser des tests de sécurité dans le cadre de la conformité DORA ?
N’hésitez pas à nous contacter ou à prendre rendez-vous pour en savoir plus sur nos tests de Sécurité Offensive pour les entités réglementées par DORA – Pentest as a Service (PtaaS), Red Teaming et TLPT, etc.
