Glossaire · Régulation financière européenne DORA (Digital Operational Resilience Act)
Règlement européen établissant des exigences de résilience opérationnelle pour les institutions financières, en vigueur depuis janvier 2025.
## Ce que fait réellement DORA
Le Digital Operational Resilience Act (Règlement (UE) 2022/2554) établit un cadre unifié pour la résilience opérationnelle des institutions financières européennes. Il s'applique depuis le 17 janvier 2025, remplaçant un patchwork de directives sectorielles par une régulation transversale complète.
DORA couvre spécifiquement le risque TIC (Technologies de l'information et de la communication) — l'idée centrale du règlement est que la stabilité financière dépend de plus en plus de la résilience technologique, autant que de la solidité financière.
## À qui DORA s'applique
DORA s'applique à pratiquement toutes les entités financières européennes :
- Banques et établissements de crédit
- Entreprises d'investissement
- Établissements de paiement et de monnaie électronique
- Entreprises d'assurance et de réassurance
- Fonds de pension (IRP)
- Prestataires de services sur crypto-actifs
- Prestataires de services de financement participatif
- Référentiels de titrisation
- Plateformes de négociation, contreparties centrales, dépositaires centraux de titres
- Agences de notation de crédit
- Cabinets d'audit (pour leurs clients du secteur financier)
Il crée également de nouvelles exigences de surveillance pour les **prestataires tiers TIC critiques** — c'est-à-dire les principaux fournisseurs cloud (AWS, Microsoft, Google) et autres fournisseurs technologiques dont dépendent les institutions financières.
## Les cinq piliers de DORA
DORA établit des exigences dans cinq domaines :
### 1. Gestion des risques TIC
Les entités financières doivent mettre en œuvre des cadres complets de gestion des risques couvrant l'identification, la protection, la détection, la réponse, la reprise et l'apprentissage continu. Cela inclut des structures de gouvernance documentées, des évaluations régulières des risques et une responsabilité explicite au niveau du conseil d'administration.
### 2. Notification des incidents
Les incidents majeurs liés aux TIC doivent être signalés aux autorités selon des modèles et des délais standardisés. Les menaces cyber significatives doivent également être signalées. Les obligations de notification sont plus strictes que le cadre général de NIS2.
### 3. Tests de résilience opérationnelle numérique
Les entités financières doivent effectuer des tests réguliers de leur résilience opérationnelle numérique :
- Évaluations et analyses de vulnérabilité
- Évaluations de sécurité réseau
- Tests d'intrusion (annuels minimum)
- Pour les entités significatives : **tests d'intrusion fondés sur la menace (TLPT)** tous les trois ans
Le TLPT est la forme la plus exigeante — les tests doivent simuler les capacités d'acteurs de menace réels et sont menés par des prestataires certifiés sous supervision réglementaire.
### 4. Gestion des risques tiers
DORA introduit des exigences spécifiques pour gérer les risques liés aux prestataires de services TIC :
- Clauses contractuelles standardisées requises pour l'externalisation TIC
- Diligence pré-contractuelle sur les prestataires critiques
- Surveillance du risque de concentration (éviter une dépendance excessive à un seul prestataire)
- Plans de contingence en cas de défaillance du prestataire
### 5. Partage d'informations
Les entités financières sont encouragées à partager les renseignements sur les menaces cyber entre elles et avec les autorités via des accords de partage d'informations de confiance.
## Pourquoi DORA change les décisions sur les fournisseurs cloud
Le pilier de gestion des risques tiers affecte spécifiquement les choix de fournisseurs cloud et SaaS. DORA exige :
**1. Prestataires tiers TIC critiques sous surveillance réglementaire directe.** Les superviseurs financiers européens (ESMA, EBA, EIOPA) peuvent désormais superviser directement les fournisseurs cloud servant plusieurs institutions financières. C'est sans précédent — autorité réglementaire directe sur les fournisseurs technologiques.
**2. Gestion du risque de concentration.** Les institutions financières ne peuvent pas avoir toute leur infrastructure critique chez un seul fournisseur cloud. Cela pousse vers des stratégies multi-cloud, ce qui implique souvent l'ajout de fournisseurs résidant dans l'UE en complément des hyperscalers américains.
**3. Exigences contractuelles.** DORA impose des clauses spécifiques dans les contrats d'externalisation TIC. Les conditions standard des fournisseurs américains nécessitent généralement des modifications pour s'y conformer.
**4. Considérations géographiques.** Bien que DORA n'exige pas explicitement la résidence des données dans l'UE, les attentes de coopération réglementaire fonctionnent mieux avec des fournisseurs résidant dans l'UE.
## Implications pratiques pour la fintech européenne
Pour les institutions financières européennes en 2026 :
**Option 1 : Multi-cloud avec UE en primaire.** Utilisez Hetzner, Scaleway, OVHcloud ou Open Telekom Cloud comme infrastructure principale avec un hyperscaler américain en secondaire. Réduit le risque de concentration et améliore la posture DORA.
**Option 2 : Cloud souverain pour les charges sensibles.** Open Telekom Cloud, T-Systems Sovereign Cloud ou Cloud de Confiance français pour les applications les plus sensibles. Hyperscaler américain pour les charges moins sensibles.
**Option 3 : Négocier des conditions conformes à DORA avec les fournisseurs américains.** Possible mais opérationnellement complexe. Les principaux fournisseurs américains ont construit des offres conformes à DORA mais les conditions contractuelles spécifiques nécessitent encore des négociations.
Pour les startups fintech européennes, construire dès le départ sur du cloud résidant dans l'UE est opérationnellement plus simple que d'adapter rétroactivement la conformité. L'écart coût-performance (Hetzner/Scaleway vs AWS) rend le choix financièrement attractif aussi.
## L'influence plus large de DORA
DORA établit un schéma réglementaire qui s'étendra probablement au-delà des services financiers :
- **Le EU AI Act** utilise des concepts similaires de surveillance des tiers
- **NIS2** a des structures parallèles de notification d'incidents
- **Le futur Cyber Resilience Act européen** s'appuie sur les concepts de risque tiers de DORA
Pour les fournisseurs tech européens servant plusieurs secteurs réglementés, démontrer une résilience opérationnelle de type DORA devient une caractéristique compétitive même hors services financiers.
## Ce qu'apporte 2026
La première année complète d'application de DORA (2025-2026) définira les attentes pratiques de conformité. À surveiller :
- **Premiers rapports d'incidents majeurs** dans les nouveaux modèles DORA
- **Programmes de tests d'intrusion** se déployant dans les institutions financières européennes
- **Désignations de prestataires tiers TIC critiques** par les superviseurs européens
- **Premières actions d'application** pour non-conformité
Pour les entreprises européennes servant les institutions financières en tant que fournisseurs, la conformité DORA devient un prérequis pour l'achat.
Cela vous a-t-il été utile ?
Merci pour votre retour !