FAQ DORA
Vos questions sur la résilience opérationnelle numérique
Les juristes de La Robe Numérique répondent aux questions les plus fréquentes que se posent responsables conformité, juristes et dirigeants d'entités financières sur le règlement DORA.
Vos questions sur la réglementation DORA et la résilience opérationnelle
-
Toutes les entités financières soumises à DORA doivent réaliser des tests de résilience. Seules certaines, désignées par les autorités, sont soumises aux tests avancés TLPT.
L'article 24 de DORA impose un programme de tests de résilience à toutes les entités (tests de vulnérabilité, scans de sécurité, tests de pénétration). Les tests avancés TLPT (Threat-Led Penetration Testing, Art. 26-27) sont réservés aux entités identifiées par les autorités compétentes sur un cycle triennal. En France, la Banque de France, l'ACPR et l'AMF notifient individuellement les entités concernées.
Deux niveaux de tests DORA :
Tests de base (Art. 24-25) : Concerne toutes les entités DORA, à réaliser au moins une fois par an.
Tests TLPT (Art. 26-27) : Concerne les entités désignées par les autorités, à réaliser tous les 3 ans.
L'œil du consultant : Les microentreprises (<10 salariés, CA <2 M€) bénéficient d'un régime simplifié. Mais ne confondez pas exemption de TLPT et exemption de tests. Toutes les entités DORA doivent tester leur résilience, y compris les plus petites.
-
Un incident est majeur s'il touche des services critiques (critère primaire) et remplit au moins un seuil de perte de données ou deux autres seuils d'importance significative.
L'article 18 de DORA liste 6 critères de classification. Le règlement délégué 2024/1772 précise les seuils.
La double condition est :L'incident affecte un service soutenant une fonction critique,
Il atteint le seuil « pertes de données » (accès malveillant non autorisé) ou au moins deux des cinq autres seuils quantitatifs. L'ACPR adopte une lecture large : tout accès malveillant au SI, même partiel, est un incident majeur.
Critères de classification — Art. 18 DORA
Clients touchés : >10 % des utilisateurs du service ou >100 000 clients.
Durée : indisponibilité prolongée du service.
Répartition géographique : impact dans plus de deux États membres.
Pertes de données : atteinte à la disponibilité, authenticité, intégrité ou confidentialité.
Services critiques touchés : fonctions critiques ou importantes de l'entité.
Impact économique
L'œil du consultant : Prévoyez une revue des incidents récurrents : pris isolément ils ne sont pas majeurs, mais DORA permet leur requalification collective.
-
DORA (Art. 30) impose des clauses minimales obligatoires couvrant les niveaux de service, le droit d'audit, la notification d'incidents, la localisation des données et la stratégie de sortie.
Le non-respect de ces clauses peut justifier la résiliation du contrat (Art. 28). Tous les contrats TIC existants doivent être audités et, si nécessaire, complétés par un « avenant DORA ».
L'ACPR a identifié la conformité des contrats prestataires comme l'une de ses 3 priorités de contrôle 2026. Les contrats soutenant des fonctions critiques sont soumis à des exigences renforcées.
Clauses obligatoires — Art. 30 DORA
SLA : niveaux de service mesurables, indicateurs de performance quantitatifs.
Notification d'incidents : le prestataire doit signaler les incidents dans des délais compatibles DORA.
Droit d'audit : accès du client (ou d'un tiers mandaté) aux systèmes et locaux du prestataire.
Localisation des données : identification des lieux de traitement et de stockage.
Coopération avec les autorités : obligation de collaborer avec l'ACPR/AMF sur demande.
Stratégie de sortie : réversibilité documentée, testée et activable sans rupture (Art. 28 § 8).
Résiliation : clauses de résiliation en cas de manquement sécurité ou de non-coopération.
L'œil du consultant : Les grands acteurs numériques (AWS, Azure, GCP) n'acceptent pas facilement les droits d'audit physique. DORA le sait : il autorise des rapports d'audit certifiés par un tiers comme alternative. Mais la clause doit quand même figurer au contrat. Auditez tous vos contrats Cloud existants, beaucoup nécessiteront un avenant.
-
"L'organe de direction définit, approuve et supervise le cadre de gestion des risques TIC. Il porte la responsabilité ultime de la résilience opérationnelle numérique" (Art. 5, DORA).
L'article 5 de DORA est explicite : l'organe de direction doit définir la stratégie de résilience, approuver le cadre de gestion des risques, allouer les ressources budgétaires et humaines, et superviser la mise en œuvre. Il doit aussi valider les plans de continuité TIC, les accords avec les prestataires critiques et le programme de tests. Cette responsabilité n'est pas délégable au RSSI ou au DSI.
Obligations de l'organe de direction — Art. 5 DORA
Définir : la stratégie de résilience opérationnelle numérique et la tolérance aux risques.
Approuver : le cadre de gestion des risques TIC, les politiques de continuité et de sécurité.
Allouer : le budget et les ressources nécessaires à la mise en œuvre.
Superviser : la mise en œuvre effective, les résultats des tests, les incidents majeurs.
Se former : maintenir des connaissances suffisantes sur les risques TIC.
Rendre compte : assumer la responsabilité en cas de manquement.
L'œil du consultant : L'erreur classique : le comité de direction valide un document une fois par an et considère sa mission remplie. DORA exige une supervision « active et continue ». Mettez la résilience TIC à l'ordre du jour trimestriel du comité, avec un tableau de bord d'indicateurs clés. C'est cette cadence que les autorités de contrôle chercheront à vérifier.
-
Préparez en priorité :
le registre d'informations TIC (RoI),
le cadre de gestion des risques TIC,
la procédure de notification d'incidents
les preuves de tests de résilience.
L'ACPR a identifié 3 axes de contrôle pour 2026 : gestion des incidents, cadre de risques TIC, conformité des contrats. Chaque axe se traduit en livrables concrets. L'ACPR sera attentive à la complétude des rapports narratifs et à l'identification formelle de la fonction de contrôle du risque TIC (Art. 6 DORA).
Livrables DORA — Check-list contrôle ACPR
Registre TIC (RoI) : 15 modèles ITS, format xBRL-CSV, à jour, remis via OneGate.
Cadre de gestion des risques TIC : politique formalisée, gouvernance documentée (Art. 5-6).
Stratégie de résilience : objectifs, indicateurs, plan de continuité des TIC (Art. 11).
Procédure de notification : processus de classification et de déclaration d'incidents (Art. 17-19).
Programme de tests : plan annuel, résultats, actions correctives tracées (Art. 24-25).
Contrats TIC : clausier conforme Art. 30, avenants DORA signés, stratégies de sortie.
Preuves de formation : attestations direction et personnel (Art. 5 + Art. 13).
L'œil du consultant : Créez un dossier de conformité DORA centralisé, mis à jour en continu.
-
L'ACPR a officiellement annoncé lors de son webinaire du 23 janvier 2026 le passage d'une « année d'accompagnement » (2025) à une « année de supervision » (2026), avec trois priorités de contrôle ciblées :
Gestion des incidents TIC (art. 17-23 DORA) — processus de détection, classification et notification en trois étapes
Cadre de gestion des risques TIC (art. 5-16 DORA) — politique de sécurité, stratégie de résilience, gouvernance, rapports narratifs
Conformité des contrats TIC (art. 28-30 DORA) — clauses obligatoires, distinction fonctions critiques, registre d'informations
Côté AMF, la supervision effective se traduit par des contrôles cybersécurité sur les SGP/PSI, l'analyse des premiers reportings d'incidents et le lancement des tests TLPT.
L'œil du consultant : Un incident TIC sérieux dans une entité financière déclenche rarement une seule notification. Jusqu'à trois canaux peuvent s'ouvrir simultanément : DORA vers l'ACPR ou l'AMF, NIS2 vers l'ANSSI si l'entité est aussi entité essentielle, RGPD vers la CNIL si des données personnelles sont concernées. Chaque canal a ses délais, ses formulaires, ses critères propres. Notre approche : construire un référentiel unique de notification multi-réglementaire
Ces réponses constituent un cadre général d'information. Les obligations DORA variant selon la nature et la taille de l'entité financière, La Robe Numérique accompagne les organisations dans l'analyse de leurs obligations spécifiques et la préparation aux contrôles.
Vos dispositifs sont-ils prêts pour un contrôle ACPR ?
Faites le point avec nos juristes.
