DORA : résilience opérationnelle for le secteur financier

Q: DORA s'applique à qui ?

Toutes institutions financières UE (banques, assurances, fonds, prestataires services TIC) + leurs critical third-party providers. Applicable depuis janvier 2025. Non-conformité : sanctions financières + reporting public.

Q: Différence DORA vs NIS2 ?

DORA spécifique secteur financier (lex specialis). NIS2 transversal multi-secteurs. Pour banques : cumul des deux (DORA prime sur NIS2). Pour autres secteurs essentiels : NIS2 only.

Chargement...

DORA : résilience opérationnelle for le secteur financier

April 15, 2026·2 min read·355 words

DORA (Digital Operational Resilience Act) est la régulation EU entrée vigueur janvier 2025 for secteur financier. Impose résilience opérationnelle digitale with obligations strictes en gestion risques ICT, tests TLPT, reporting incidents, supply chain. Impact network majeur. Guide DORA 2026.

Entités concernées

Banques, sociétés de gestion, assureurs
FinTech and crypto-actifs (MiCA)
Market infrastructures (Bourses, CCP)
Fournisseurs ICT critiques (cloud providers, FinTech B2B)
Exemption : micro-entrepriits <10 employés, <2M€ CA

5 piliers DORA

1. Risk Management ICT

Gouvernance : CEO responsable
Cartographie complète ICT
Gestion risques formalisée + revue annuelle
BCP + DRP testés

2. Incident reporting

Classification incidents major (impact servithese critiques)
Notification autorité : <4h initial, suivi 24-48h, final 1 mois
En France : ACPR + AMF selon secteur

3. Operational resilience testing

Tests annuels + avancés tous les 3 ans
TLPT (Threat-Led Penetration Testing) for grandes entités
Red team exercises
Scénarios avancés : ransomware, supply chain

4. Third-party risk

Registre fournisseurs ICT
Contrat obligatoire with clauits spécifiques
Audit droit of donneur d'ordre
Concentration risque : identifier critical 3P dependencies

5. Information sharing

Partage threat intelligence entre entités financières (volontaire mais encouragé)
Participation TIBER-EU

Impact network

Segmentation + micro-segmentation obligatoire
SIEM + SOC 24×7 for notification rapide
Redundancy DC géo-diversifié (cas backup)
Logs conservation 10 ans
Tests cyber-résilience annuels
Pentest annuel obligatoire, TLPT tous 3 ans (grands comptes)

Supply chain ICT

Big impact sur cloud providers (AWS, Azure, GCP, OVH) :

Obligation de transparence security
Audit rights for clients réguliers
Sortie contrat 'prop' facilitée
Concentration risk : limites dépendance single-vendor

Sanctions

Amendes : jusqu'à 2% CA annuel mondial
For dirigeants : 1M€ amende personnelle
Suspension activité possible
Réputation : disclosure publique

Conformité : roadmap 12 mois

Mois 1-3 : gap analysis vs DORA
Mois 3-6 : refonte risk management + incident process
Mois 6-9 : déploiement outils (SIEM, SOC, SIEM, TLPT)
Mois 9-12 : tests + documentation
Post : audit annuel ACPR

Budget conformité typique

SMB banque : 500 k€-2M€
ETI : 5-15M€
Grande banque : 30-100M€
Inclut : outils, consultants, tests, formation

Commander chez OPTINOC

Accompagnement DORA : audit, déploiement outils (SIEM Splunk/Sentinel, ZTNA, micro-segmentation), TLPT partenaires. Expertise secteur financier. Devis sous 1 semaine.

Frequently Asked Questions

DORA s'applique à qui ?