Les 5 piliers de DORA expliqués simplement
Face à la multiplication des cyberattaques, des interruptions de service et des incidents opérationnels majeurs, l’Union européenne a souhaité mettre fin à la fragmentation des règles applicables au secteur financier.
Avec le Digital Operational Resilience Act (DORA), l’objectif est clair : renforcer la résilience numérique des acteurs financiers et de leurs prestataires TIC critiques en harmonisant les pratiques de gestion des risques numériques.
Entrée en application en janvier 2025, DORA s’applique aux banques, assurances, fintechs, infrastructures de marché et prestataires TIC essentiels.
Elle repose sur cinq piliers structurants, qui couvrent l’ensemble du cycle de résilience opérationnelle.
Gestion des risques TIC
Objectif : Identifier, évaluer et maîtriser les risques numériques
Mettre en place un cadre structuré pour cartographier les risques liés aux systèmes d’information, définir des mesures de sécurité adaptées et assurer leur suivi dans le temps.
Tests de résilience réguliers
Objectif : Vérifier que l’organisation tient en situation de crise
Réaliser des tests réguliers (techniques et organisationnels) pour s’assurer que les dispositifs de sécurité et de continuité résistent aux cyberattaques et aux interruptions majeures.
Reporting des incidents
Objectif : Détecter, qualifier et notifier rapidement les incidents
Mettre en place des processus clairs pour remonter les incidents majeurs, en mesurer l’impact et notifier les autorités dans les délais réglementaires.
Surveillance des prestataires tiers
Objectif : Maîtriser les risques liés aux fournisseurs critiques
Contrôler les prestataires TIC essentiels, depuis la sélection jusqu’au suivi continu, afin qu’ils ne deviennent pas un point de fragilité pour l’organisation.
Plans de continuité des activités
Objectif : Assurer la poursuite et la reprise des opérations
Définir, tester et maintenir des plans de continuité et de reprise permettant de limiter l’impact des perturbations et de rétablir rapidement les services critiques.
Pour aller plus loin
Découvrez notre guide complet de conformité DORA pour les RSSI
Découvrez comment Auditool vous aide à préparer votre mise en conformité DORA
Ce cadre commun, exigeant et contrôlé, vise à sécuriser durablement les activités face aux risques numériques.
Mais DORA ne se limite pas à une obligation réglementaire assortie de sanctions : bien mise en œuvre, elle constitue un levier stratégique pour structurer la cybersécurité, renforcer la gouvernance et améliorer la capacité réelle de l’organisation à résister, répondre et se rétablir face aux incidents.
