Accueil Cybersécurité Comment appliquer DORA ? Le dossier pratique de la rédaction

Comment appliquer DORA ? Le dossier pratique de la rédaction

Le Digital Operational Resilience Act (DORA) marque une étape importante dans la régulation de la résilience numérique des entités financières au sein de l’Union européenne. Ce règlement, publié au Journal officiel de l’UE le 27 décembre 2023, en vigueur depuis le 17 janvier 2025, impose aux institutions financières de renforcer leurs capacités de gestion des risques liés aux technologies de l’information et aux fournisseurs tiers critiques. Il est crucial pour les prestataires des entités financières de s’y conformer rapidement.

Le règlement DORA vise à instaurer un cadre juridique harmonisé pour renforcer la résilience opérationnelle numérique. Il s’applique aux banques, assurances, gestionnaires d’actifs, et autres institutions financières, et couvre plusieurs domaines clés :

  • Gestion des risques IT : anticipation et prévention des incidents opérationnels majeurs.
  • Gestion des risques liés aux tiers de services TIC.
  • Surveillance des tiers critiques au niveau européen : évaluation et contrôle des fournisseurs de services IT considérés comme critiques qui pourraient avoir un impact systémique sur les services financiers.
  • Tests de résilience : réalisation de tests réguliers pour identifier les vulnérabilités.
  • Reporting des incidents : notification obligatoire des incidents graves aux autorités compétentes.
  • Partage volontaire d’informations relatives aux cybermenaces

Pour en savoir plus :

La résilience numérique est au cœur des obligations imposées par DORA. Elle implique une attention particulière aux stratégies de traitement, de gestion et de protection des données, afin d’assurer la continuité des activités en cas de cyberincident ou de défaillance technique.
Du stockage et des sauvegardes plus résilients pour se conformer à DORA

La conformité au règlement nécessite une anticipation et un outillage adaptés. Plusieurs solutions technologiques, comme les plateformes de protection des applications cloud-natives (CNAPP), offrent un soutien précieux pour répondre aux exigences de DORA.
Sysdig et sa plateforme CNAPP facilitent la conformité NIS2 et DORA

DORA est un texte ambitieux, mais complexe à mettre en œuvre. Une compréhension approfondie de ses implications est essentielle pour réussir la transition et éviter les risques de non-conformité.
Règlement DORA, un texte complexe qui exige anticipation et outillage

DORA s’inscrit dans un écosystème réglementaire européen plus large, incluant la directive NIS2 et le règlement REC qui concernent les secteurs de la finance, l’énergie, les transports. Ces textes en cours de transposition en France et renforcent la cybersécurité et la résilience des infrastructures critiques. Le cyber resilience act (CRA) complète la résilience numérique et introduit des exigences spécifiques pour les fabricants et distributeurs de produits comportant des éléments numériques et logiciels y compris open source.

Le cyber resilience act (CRA)
NIS2, DORA et REC passent au Conseil des ministres

Le non-respect des obligations de DORA peut entraîner des sanctions significatives. Les entités et prestataires concernés doivent rapidement s’assurer de disposer d’un plan d’action clair et d’allouer des ressources suffisantes à la mise en conformité.