Règlement DORA (UE 2022/2554) : résilience opérationnelle numérique

Le règlement DORA (Digital Operational Resilience Act, UE 2022/2554) impose au secteur financier européen un cadre unique de résilience face aux risques numériques. Il est applicable depuis le 17 janvier 2025 En vigueur. Cette page explique ce que DORA exige, qui est concerné (banques, assurances et leurs prestataires informatiques), et comment SOCLE aide à transformer ces obligations en exigences techniques vérifiables. Public visé : RSSI, équipes conformité et plateformes des entités financières et de leurs fournisseurs.

En bref

Le règlement DORA (UE 2022/2554) impose au secteur financier européen un cadre unique de résilience numérique : gestion du risque informatique, notification des incidents, tests de résilience et maîtrise des prestataires. Il est applicable depuis le 17 janvier 2025.

Ce que vous allez apprendre

• Distinguer le règlement DORA des métriques DevOps du même acronyme
• Identifier si votre organisation entre dans le périmètre
• Comprendre les cinq piliers de DORA
• Relier le risque lié aux prestataires aux exigences SOCLE

DORA, et non les métriques DevOps

Premier point pour éviter toute confusion : ce DORA réglementaire n'a aucun rapport avec les métriques DORA (DevOps Research and Assessment, les quatre indicateurs de performance de livraison). Si vous cherchez ces dernières, voyez plutôt les métriques DORA et leur mise en œuvre. Ici, il s'agit d'un règlement européen contraignant.

Qu'est-ce que DORA

DORA harmonise les règles de gestion du risque lié aux technologies de l'information et de la communication (TIC) pour le secteur financier. Avant lui, ces exigences étaient éparpillées entre directives nationales et lignes directrices sectorielles. Le règlement crée un socle commun directement applicable dans tous les États membres, sans transposition.

L'objectif : garantir qu'une entité financière puisse résister, réagir et se rétablir face à un incident numérique (panne, cyberattaque, défaillance d'un prestataire), sans menacer la stabilité du système financier.

Qui est concerné

Le périmètre est large : une vingtaine de types d'entités financières (banques, assurances, établissements de paiement, sociétés de gestion, plateformes de crypto-actifs, etc.). Surtout, DORA s'étend aux prestataires tiers de services TIC, dont les fournisseurs cloud. Un éditeur ou un hébergeur qui sert le secteur financier devient donc concerné par ricochet via ses contrats.

L'effet de chaîne

Même si vous n'êtes pas une entité financière, vos clients régulés vous imposeront des clauses DORA. Anticiper les preuves de résilience attendues devient un argument commercial autant qu'une contrainte.

Les cinq piliers de DORA

Le règlement s'articule autour de cinq blocs complémentaires.

1. Gestion du risque TIC : un cadre de gouvernance porté par l'organe de direction, avec cartographie des actifs, protection, détection et plans de continuité.
2. Gestion et notification des incidents : classification harmonisée et signalement des incidents majeurs aux autorités dans des délais stricts.
3. Tests de résilience : tests réguliers, jusqu'aux TLPT (tests d'intrusion guidés par la menace) pour les entités les plus critiques.
4. Gestion du risque lié aux prestataires TIC : registre d'information des contrats, clauses obligatoires, et supervision directe des prestataires critiques (CTPP) par les autorités européennes.
5. Partage d'informations sur les cybermenaces, sur une base volontaire.

Comment SOCLE vous aide

DORA fixe des obligations ; SOCLE fournit les exigences techniques qui les rendent démontrables. Les correspondances les plus directes :

• Risque prestataires (pilier 4) : la famille Fournisseurs couvre la gouvernance contractuelle, la provenance des livrables et la continuité et le support.
• Gestion des incidents (pilier 2) : les exigences de journalisation et d'audit alimentent la chaîne de détection et de notification.
• Gestion du risque TIC (pilier 1) : le chiffrement et la gestion des clés et l'IAM cloud durcissent la surface exposée.

Plutôt que de cocher des cases, vous reliez chaque obligation à des preuves de pipeline via la cartographie SOCLE.

À retenir

• DORA est un règlement contraignant du secteur financier, applicable depuis le 17 janvier 2025, à ne pas confondre avec les métriques DORA DevOps.
• Il s'applique aussi aux prestataires TIC (dont le cloud) via la chaîne contractuelle.
• Ses cinq piliers couvrent risque TIC, incidents, tests, risque tiers et partage d'informations.
• SOCLE traduit surtout le risque fournisseurs et la détection des incidents en exigences concrètes.

FAQ : questions fréquentes

Le règlement DORA, c'est quoi en une phrase ?

DORA (UE 2022/2554) est un règlement européen qui impose au secteur financier un cadre unique de résilience face aux risques numériques, applicable depuis le 17 janvier 2025.

Mon entreprise est-elle concernée si elle n'est pas une banque ?

Oui si vous êtes un prestataire de services informatiques (cloud, éditeur) qui sert le secteur financier : DORA s'étend aux tiers via la chaîne contractuelle, et vos clients régulés vous imposeront des clauses.

Faut-il confondre DORA et les métriques DevOps ?

Non. Le règlement DORA n'a aucun rapport avec les métriques DORA (DevOps Research and Assessment), qui mesurent la performance de livraison logicielle. Ce sont deux sujets distincts qui partagent un acronyme.

Quels sont les cinq piliers de DORA ?

DORA repose sur cinq piliers : gestion du risque TIC, gestion et notification des incidents, tests de résilience opérationnelle (dont les TLPT), gestion du risque lié aux prestataires tiers TIC, et partage d'informations sur les cybermenaces.

Depuis quand le règlement DORA s'applique-t-il ?

Le règlement DORA est applicable depuis le 17 janvier 2025. Les entités financières et leurs prestataires TIC doivent donc déjà être en conformité avec ses exigences.

Prochaines étapes

Le référentiel SOCLEDes exigences traçables du code au cloud Famille FournisseursMaîtriser le risque lié aux tiers Directive NIS2L'autre grand texte cyber européen Toutes les conformitésPanorama des normes et leur mapping SOCLE

Ressources officielles

• Texte officiel DORA (EUR-Lex), le règlement UE 2022/2554

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →