Accompagnement DORA
A partir de janvier 2025, la réglementation européenne DORA visant à renforcer la résilience opérationnelle des entreprises du secteur financier face aux risques numériques entrera en vigueur.
Nos référents DORA aident les entreprises à naviguer efficacement dans ce nouveau cadre réglementaire, afin de garantir une conformité complète tout en minimisant les risques opérationnels.
-
Réalisation d'un audit pour identifier les écarts de conformité et évaluer la maturité de votre organisation en matière de résilience numérique. Sur cette base, nous élaborons une feuille de route détaillée et personnalisée de mise en conformité, qui inclut :
Identification des priorités de mise en conformité et des axes d'amélioration.
Définition des objectifs de résilience et des résultats attendus.
Planning détaillé des initiatives et projets à déployer.
-
Une fois la feuille de route définie, nous vous aidons à concevoir et à déployer les politiques, procédures et contrôles nécessaires pour répondre aux exigences de DORA :
Mise en place des politiques de gestion des risques TIC et de gestion des incidents.
Création de processus de gouvernance pour superviser et valider les efforts de mise en conformité.
Intégration de contrôles internes pour surveiller l’efficacité des mesures de résilience.
-
Nous agissons comme un partenaire stratégique et opérationnel pour vous aider à déployer chaque étape de votre feuille de route. Cela inclut :
Coordination des équipes internes et externes,
Aide à la mise en place des solutions de cybersécurité, de surveillance et de gestion des incidents,
Suivi des progrès et ajustement de la feuille de route.
-
Nous vous accompagnons pour vous assurer que vos prestataires tiers critiques sont également conformes aux exigences de DORA. Cela inclut :
Sélection et évaluation des prestataires selon des critères de résilience numérique.
Négociation et révision des contrats pour intégrer des clauses de conformité.
Audit régulier des fournisseurs et développement de plans de remédiation en cas de non-conformité.
-
La mise en conformité DORA nécessite une adoption par toutes les parties prenantes. Nous organisons des programmes de formation et de sensibilisation sur mesure pour assurer l’adhésion et la montée en compétences des équipes :
Modules de formation adaptables aux différentes équipes,
Exercices de simulation de crise grandeur nature,
Programmes de sensibilisation pour diffuser une culture de résilience dans l’ensemble de l’organisation.
Un accompagnement de bout en bout
Suis-je concerné par la Réglementation DORA ?
Vous êtes un établissement de paiement, de monnaie électronique, une compagnie d’assurance, une société de gestion exerçant sur le territoire de l’UE ou faites partie d’une des 21 catégories identifiées par la réglementation…
Vous êtes concernés.
Organisation du secteur financier
Vous êtes partenaire fournisseur de technologies d’information et de communication (TIC) telles que des plateformes cloud ou des services de data analytics…
Vous êtes concernés.
Prestataire de services TIC
Besoin d’un accompagnement de conformité DORA ?
La Robe Numérique est à votre écoute pour faire le point sur vos besoins.
Pourquoi choisir La Robe Numérique ?
Expertise réglementaire
Nos référents DORA vous guident tout au long de votre projet pour clarifier les exigences réglementaires, leur champ d’application et les responsabilités associées. Grâce à leur expertise sectorielle et métier, ils vous aident à relever les défis de la résilience opérationnelle numérique, en mettant en place des stratégies et des mesures adaptées à votre organisation pour anticiper et répondre efficacement aux incidents.
Approche personnalisée
Nous adaptons notre accompagnement à vos besoins spécifiques et à la taille de votre organisation. Nos consultants collaborent étroitement avec vos référents DORA, non seulement pour comprendre les exigences spécifiques de la réglementation, mais aussi pour les intégrer de manière stratégique dans vos processus existants.
Support
en continu
Nous vous accompagnons au-delà de la conformité initiale, avec un support continu pour garantir la pérennité de vos efforts en matière de résilience numérique. Cela implique une évaluation détaillée de vos besoins, la mise en place de plans d’action clairs et la formation de vos équipes et l’accompagnement de vos référents DORA.
Formations DORA
Fondamentaux
Conformez-vous au mieux à ce nouveau cadre réglementaire en vous formant aux côtés de La Robe Numérique.
Cible : Responsable Conformité, Avocat, DSI/RSSI, Dirigeant…
Durée de la formation : 7h
Prérequis : aucun
Cette formation vous permettra d’acquérir les compétences nécessaires pour diriger et superviser la mise en œuvre des stratégies de résilience opérationnelle numérique au sein de entités financière afin d’assurer leur mise en conformité avec la réglementation européenne DORA.
Cible : Responsable Conformité, Avocat, DSI/RSSI, Dirigeant…
Durée de la formation : 5 jours
Prérequis : aucun
PECB Certified DORA Lead Manager
Cette formation vous est proposée en partenariat avec Consulia.
Questions fréquentes sur la réglementation DORA
-
Toutes les entités financières soumises à DORA doivent réaliser des tests de résilience. Seules certaines, désignées par les autorités, sont soumises aux tests avancés TLPT.
L'article 24 de DORA impose un programme de tests de résilience à toutes les entités (tests de vulnérabilité, scans de sécurité, tests de pénétration). Les tests avancés TLPT (Threat-Led Penetration Testing, Art. 26-27) sont réservés aux entités identifiées par les autorités compétentes sur un cycle triennal. En France, la Banque de France, l'ACPR et l'AMF notifient individuellement les entités concernées.
Deux niveaux de tests DORA :
Tests de base (Art. 24-25) : Concerne toutes les entités DORA, à réaliser au moins une fois par an.
Tests TLPT (Art. 26-27) : Concerne les entités désignées par les autorités, à réaliser tous les 3 ans.
L'œil du consultant : Les microentreprises (<10 salariés, CA <2 M€) bénéficient d'un régime simplifié. Mais ne confondez pas exemption de TLPT et exemption de tests. Toutes les entités DORA doivent tester leur résilience, y compris les plus petites.
-
Un incident est majeur s'il touche des services critiques (critère primaire) et remplit au moins un seuil de perte de données ou deux autres seuils d'importance significative.
L'article 18 de DORA liste 6 critères de classification. Le règlement délégué 2024/1772 précise les seuils.
La double condition est :L'incident affecte un service soutenant une fonction critique,
Il atteint le seuil « pertes de données » (accès malveillant non autorisé) ou au moins deux des cinq autres seuils quantitatifs. L'ACPR adopte une lecture large : tout accès malveillant au SI, même partiel, est un incident majeur.
Critères de classification — Art. 18 DORA
Clients touchés : >10 % des utilisateurs du service ou >100 000 clients.
Durée : indisponibilité prolongée du service.
Répartition géographique : impact dans plus de deux États membres.
Pertes de données : atteinte à la disponibilité, authenticité, intégrité ou confidentialité.
Services critiques touchés : fonctions critiques ou importantes de l'entité.
Impact économique
L'œil du consultant : Prévoyez une revue des incidents récurrents : pris isolément ils ne sont pas majeurs, mais DORA permet leur requalification collective.
-
DORA (Art. 30) impose des clauses minimales obligatoires couvrant les niveaux de service, le droit d'audit, la notification d'incidents, la localisation des données et la stratégie de sortie.
Le non-respect de ces clauses peut justifier la résiliation du contrat (Art. 28). Tous les contrats TIC existants doivent être audités et, si nécessaire, complétés par un « avenant DORA ».
L'ACPR a identifié la conformité des contrats prestataires comme l'une de ses 3 priorités de contrôle 2026. Les contrats soutenant des fonctions critiques sont soumis à des exigences renforcées.
Clauses obligatoires — Art. 30 DORA
SLA : niveaux de service mesurables, indicateurs de performance quantitatifs.
Notification d'incidents : le prestataire doit signaler les incidents dans des délais compatibles DORA.
Droit d'audit : accès du client (ou d'un tiers mandaté) aux systèmes et locaux du prestataire.
Localisation des données : identification des lieux de traitement et de stockage.
Coopération avec les autorités : obligation de collaborer avec l'ACPR/AMF sur demande.
Stratégie de sortie : réversibilité documentée, testée et activable sans rupture (Art. 28 § 8).
Résiliation : clauses de résiliation en cas de manquement sécurité ou de non-coopération.
L'œil du consultant : Les grands acteurs numériques (AWS, Azure, GCP) n'acceptent pas facilement les droits d'audit physique. DORA le sait : il autorise des rapports d'audit certifiés par un tiers comme alternative. Mais la clause doit quand même figurer au contrat. Auditez tous vos contrats Cloud existants, beaucoup nécessiteront un avenant.
-
"L'organe de direction définit, approuve et supervise le cadre de gestion des risques TIC. Il porte la responsabilité ultime de la résilience opérationnelle numérique" (Art. 5, DORA).
L'article 5 de DORA est explicite : l'organe de direction doit définir la stratégie de résilience, approuver le cadre de gestion des risques, allouer les ressources budgétaires et humaines, et superviser la mise en œuvre. Il doit aussi valider les plans de continuité TIC, les accords avec les prestataires critiques et le programme de tests. Cette responsabilité n'est pas délégable au RSSI ou au DSI.
Obligations de l'organe de direction — Art. 5 DORA
Définir : la stratégie de résilience opérationnelle numérique et la tolérance aux risques.
Approuver : le cadre de gestion des risques TIC, les politiques de continuité et de sécurité.
Allouer : le budget et les ressources nécessaires à la mise en œuvre.
Superviser : la mise en œuvre effective, les résultats des tests, les incidents majeurs.
Se former : maintenir des connaissances suffisantes sur les risques TIC.
Rendre compte : assumer la responsabilité en cas de manquement.
L'œil du consultant : L'erreur classique : le comité de direction valide un document une fois par an et considère sa mission remplie. DORA exige une supervision « active et continue ». Mettez la résilience TIC à l'ordre du jour trimestriel du comité, avec un tableau de bord d'indicateurs clés. C'est cette cadence que les autorités de contrôle chercheront à vérifier.
-
Préparez en priorité :
le registre d'informations TIC (RoI),
le cadre de gestion des risques TIC,
la procédure de notification d'incidents
les preuves de tests de résilience.
L'ACPR a identifié 3 axes de contrôle pour 2026 : gestion des incidents, cadre de risques TIC, conformité des contrats. Chaque axe se traduit en livrables concrets. L'ACPR sera attentive à la complétude des rapports narratifs et à l'identification formelle de la fonction de contrôle du risque TIC (Art. 6 DORA).
Livrables DORA — Check-list contrôle ACPR
Registre TIC (RoI) : 15 modèles ITS, format xBRL-CSV, à jour, remis via OneGate.
Cadre de gestion des risques TIC : politique formalisée, gouvernance documentée (Art. 5-6).
Stratégie de résilience : objectifs, indicateurs, plan de continuité des TIC (Art. 11).
Procédure de notification : processus de classification et de déclaration d'incidents (Art. 17-19).
Programme de tests : plan annuel, résultats, actions correctives tracées (Art. 24-25).
Contrats TIC : clausier conforme Art. 30, avenants DORA signés, stratégies de sortie.
Preuves de formation : attestations direction et personnel (Art. 5 + Art. 13).
L'œil du consultant : Créez un dossier de conformité DORA centralisé, mis à jour en continu.
Tout comprendre de la Réglementation DORA
La Robe Numérique a décrypté pour vous les grandes lignes de cette nouvelle réglementation européenne.
Consultez notre infographie pour en savoir plus !
