DORA : Se conformer à la réglementation européenne en 2026

Depuis le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) est pleinement applicable dans toute l'Union européenne. Pour les 22 000 entités financières concernées et leurs prestataires IT, la fenêtre de tolérance est terminée : en 2026, les autorités de supervision passent à l'application active. Amendes pouvant atteindre 2 % du chiffre d'affaires mondial ou 10 millions d'euros, sanctions individuelles jusqu'à 1 million d'euros pour les dirigeants, et pénalités journalières pour les prestataires ICT critiques. Pourtant, selon les données disponibles, seules 50 % des institutions avaient atteint la pleine conformité fin 2025, et 38 % ont repoussé leur échéance à 2026.

Ce guide décrypte les obligations concrètes de DORA, détaille les 5 piliers du règlement et propose un plan d'action étape par étape pour les professionnels IT, RSSI, chefs de projet et managers du secteur financier.

Qu'est-ce que DORA ?

Le Digital Operational Resilience Act (règlement UE 2022/2554) est un règlement européen qui harmonise les exigences en matière de résilience opérationnelle numérique pour le secteur financier. Adopté le 14 décembre 2022, entré en vigueur le 16 janvier 2023, il est devenu pleinement applicable le 17 janvier 2025.

Pourquoi DORA existe

Avant DORA, chaque État membre appliquait ses propres règles en matière de risques IT dans la finance. Cette fragmentation créait des zones grises exploitables par les cyberattaquants et compliquait la supervision transfrontalière. Le secteur financier européen subit en moyenne une cyberattaque majeure toutes les 3 minutes, et le coût moyen d'une violation de données dans la finance dépasse 5,9 millions de dollars selon IBM (2024).

DORA apporte un cadre unique et contraignant pour l'ensemble de l'UE, applicable directement sans transposition nationale, avec un objectif clair : garantir que toutes les entités financières puissent résister, répondre et se rétablir face à tout type de perturbation numérique.

DORA vs NIS2 : quelles différences ?

DORA et NIS2 coexistent mais ne se chevauchent pas. NIS2 s'applique à tous les secteurs critiques (énergie, transports, santé...), tandis que DORA est spécifiquement conçu pour le secteur financier. En vertu du principe lex specialis, DORA prévaut pour les entités financières sur les dispositions générales de NIS2 en matière de cybersécurité et de résilience opérationnelle.

Les 5 piliers de DORA

Le règlement DORA s'articule autour de 5 piliers fondamentaux qui structurent l'ensemble des obligations de conformité.

Pilier 1 : Gestion des risques ICT

C'est le socle du règlement. Chaque entité financière doit mettre en place un cadre de gestion des risques ICT (Technologies de l'Information et de la Communication) complet, documenté et régulièrement révisé. Ce cadre comprend :

• Identification et cartographie de tous les actifs informatiques, interconnexions et dépendances
• Politiques de protection : chiffrement, contrôle d'accès, gestion des patchs, segmentation réseau
• Détection des anomalies et incidents via des mécanismes de surveillance continue
• Plans de réponse et de rétablissement documentés, testés et mis à jour annuellement
• Gouvernance dédiée : l'organe de direction est directement responsable de la stratégie de résilience numérique

Point clé : l'organe de direction (conseil d'administration, comité exécutif) porte la responsabilité directe de la gestion des risques ICT. Les dirigeants doivent suivre une formation spécifique et régulière sur les risques numériques.

Pilier 2 : Gestion et signalement des incidents ICT

DORA impose un processus harmonisé de classification et de signalement des incidents liés aux ICT. Tout incident majeur doit être notifié à l'autorité compétente selon un calendrier strict :

• Notification initiale : dans les 4 heures suivant la classification de l'incident comme majeur (et au plus tard 24 heures après la détection)
• Rapport intermédiaire : dans les 72 heures suivant la notification initiale, avec une analyse détaillée
• Rapport final : dans un délai maximum de 1 mois, incluant les causes profondes, l'impact et les mesures correctives

Les critères de classification incluent le nombre de clients affectés, la durée de l'interruption, l'étendue géographique et l'impact financier. En France, l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) est l'autorité de supervision compétente pour la majorité des entités financières.

Pilier 3 : Tests de résilience opérationnelle numérique

Toutes les entités financières doivent conduire un programme de tests réguliers de leurs systèmes ICT. DORA distingue deux niveaux de tests :

• Tests de base (obligatoires pour toutes les entités) : tests de vulnérabilité, analyses de code source ouvert, évaluations de la sécurité réseau, tests de continuité d'activité, tests de performance. Fréquence : annuelle au minimum.
• Tests avancés TLPT (Threat-Led Penetration Testing) : obligatoires pour les entités à profil de risque élevé (grandes banques, infrastructures de marché). Ces tests simulent des cyberattaques réelles, conduits par des red teams externes certifiées, avec une fréquence minimale de tous les 3 ans.

Les résultats des tests doivent être documentés, partagés avec l'autorité de supervision et suivis de plans de remédiation concrets.

Pilier 4 : Gestion des risques liés aux prestataires ICT tiers

C'est le pilier le plus complexe en pratique. DORA impose un cadre strict de gestion des prestataires tiers ICT (cloud providers, éditeurs de logiciels, hébergeurs, infogérants) :

• Registre d'information : chaque entité doit tenir un registre exhaustif de tous ses contrats avec des prestataires ICT tiers. Ce registre doit être soumis annuellement à l'autorité de supervision (échéance mars 2026 pour la première soumission).
• Due diligence précontractuelle : évaluation rigoureuse avant toute sous-traitance de services ICT critiques
• Clauses contractuelles obligatoires : droit d'audit, plans de sortie, niveaux de service, localisation des données, notification des incidents
• Surveillance continue : suivi des performances, de la sécurité et de la conformité des prestataires

Nouveauté majeure : les prestataires ICT désignés comme critiques par les Autorités Européennes de Surveillance (EBA, ESMA, EIOPA) font l'objet d'une supervision directe européenne. En cas de non-conformité, ils s'exposent à des amendes journalières de 1 % du chiffre d'affaires quotidien moyen mondial pendant une durée pouvant aller jusqu'à 6 mois, soit un plafond de 5 millions d'euros.

Pilier 5 : Partage d'informations sur les cybermenaces

DORA encourage (sans imposer strictement) le partage volontaire de renseignements sur les cybermenaces entre entités financières. Ce mécanisme vise à :

• Renforcer la veille collective sur les menaces émergentes
• Accélérer la détection et la réponse aux attaques à grande échelle
• Permettre aux institutions de bénéficier mutuellement de leurs retours d'expérience

Les échanges doivent s'effectuer dans un cadre sécurisé, en respectant les règles de confidentialité et de protection des données personnelles (RGPD).

Qui est concerné par DORA en 2026 ?

DORA s'applique à 21 catégories d'entités financières, représentant plus de 22 000 institutions dans l'Union européenne. Voici les principales catégories concernées :

Entités financières directement soumises

• Établissements de crédit (banques commerciales, banques d'investissement)
• Entreprises d'investissement
• Entreprises d'assurance et de réassurance
• Établissements de paiement et établissements de monnaie électronique
• Sociétés de gestion d'actifs (OPCVM, FIA)
• Prestataires de services sur crypto-actifs
• Plateformes de financement participatif (crowdfunding)
• Contreparties centrales et dépositaires centraux de titres
• Fonds de pension professionnels
• Agences de notation de crédit
• Intermédiaires d'assurance (hors micro et PME)

Prestataires ICT tiers

Les fournisseurs de services technologiques aux entités financières sont indirectement concernés par les exigences contractuelles de DORA, et directement supervisés s'ils sont désignés comme critiques. Cela inclut :

• Les fournisseurs de services cloud (AWS, Azure, GCP)
• Les éditeurs de logiciels métiers (core banking, trading platforms)
• Les prestataires d'infogérance et de services managés
• Les fournisseurs de cybersécurité (SOC, SIEM, EDR)

Régimes simplifiés et exemptions

DORA prévoit un régime simplifié pour les microentreprises et certaines petites entités financières (moins de 10 salariés et chiffre d'affaires inférieur à 2 millions d'euros). Ces entités bénéficient d'exigences allégées, notamment en matière de tests de résilience et de reporting. Les intermédiaires d'assurance qualifiés de micro ou PME sont exemptés.

Comment se mettre en conformité : étape par étape

La mise en conformité DORA est un projet structurant qui mobilise les équipes IT, cybersécurité, juridiques, conformité et direction générale. Voici un plan d'action en 6 étapes :

Étape 1 : Réaliser un diagnostic de maturité (gap analysis)

Évaluez votre niveau actuel de conformité par rapport aux 5 piliers de DORA. Identifiez les écarts entre vos pratiques existantes et les exigences du règlement. Ce diagnostic doit couvrir :

• Le cadre de gouvernance ICT existant
• Les processus de gestion des incidents
• Le programme de tests de résilience
• La cartographie des prestataires ICT tiers
• Les contrats existants avec les fournisseurs

Étape 2 : Constituer le registre d'information

C'est la priorité immédiate pour 2026. Le registre d'information doit recenser l'ensemble des accords contractuels avec des prestataires ICT tiers. Il doit suivre le format défini par les normes techniques (RTS/ITS) des Autorités Européennes de Surveillance et être soumis annuellement. Utilisez les templates fournis par l'ACPR pour structurer votre registre.

Étape 3 : Renforcer le cadre de gestion des risques ICT

Mettez à jour ou créez votre politique de gestion des risques ICT conformément aux articles 5 à 16 de DORA. Intégrez :

• Une cartographie des actifs informatiques complète et à jour
• Des procédures de détection et de réponse aux incidents
• Des plans de continuité d'activité (PCA) et de reprise d'activité (PRA) testés
• Une politique de gestion des accès et de chiffrement

Étape 4 : Mettre en place le processus de signalement des incidents

Définissez une procédure interne claire de classification et de remontée des incidents ICT. Assurez-vous de pouvoir respecter les délais de notification (4 heures pour la notification initiale). Désignez un point de contact unique avec l'autorité de supervision.

Étape 5 : Lancer le programme de tests de résilience

Planifiez et exécutez un programme annuel de tests couvrant l'ensemble de vos systèmes critiques. Pour les entités soumises aux tests TLPT, engagez des prestataires de tests d'intrusion certifiés. Documentez les résultats et les actions correctives.

Étape 6 : Réviser les contrats avec les prestataires ICT

Passez en revue tous vos contrats avec des prestataires ICT tiers. Intégrez les clauses obligatoires DORA : droit d'audit, plans de sortie (exit strategies), niveaux de service (SLA), notification des incidents, et localisation des données. Priorisez les contrats portant sur des fonctions critiques ou importantes.

Les compétences clés pour DORA

La conformité DORA nécessite des compétences transversales, à la croisée de la cybersécurité, de la gestion de projet et de la gouvernance IT. Voici les profils et compétences les plus recherchés :

Cybersécurité et gestion des risques

DORA exige des compétences solides en analyse et gestion des risques cyber. Les professionnels certifiés en sécurité (CISSP, CISM, Azure Security) sont en première ligne pour mettre en oeuvre les piliers 1, 2 et 3 du règlement. La capacité à conduire des analyses de vulnérabilité, à piloter des tests d'intrusion et à définir des politiques de sécurité est essentielle.

Gestion de projet et conduite du changement

La mise en conformité DORA est un programme de transformation impliquant de multiples parties prenantes. Les méthodologies de gestion de projet (PMP) sont indispensables pour structurer le programme, gérer les risques projet, coordonner les équipes et respecter les échéances réglementaires. Les approches agiles facilitent l'itération rapide sur les livrables de conformité.

Gouvernance IT et ITIL

Le cadre ITIL 4 fournit les bonnes pratiques directement alignées avec les exigences DORA :

• Gestion des incidents : processus structurés de détection, classification et résolution, directement transposables au pilier 2 de DORA
• Gestion des changements : contrôle rigoureux des modifications des systèmes IT, essentiel pour le pilier 1
• Gestion de la continuité des services : PCA/PRA conformes aux exigences de résilience
• Gestion des fournisseurs : cadre méthodologique pour le pilier 4 (prestataires ICT tiers)

Compétences cloud et infrastructure

La maîtrise des environnements cloud (Azure, AWS, GCP) est critique pour les piliers 1 et 4. Les professionnels doivent savoir évaluer la sécurité des architectures cloud, auditer les configurations et garantir la conformité des services hébergés.

Comment Elitek vous prépare à DORA

Elitek est un organisme de formation certifié Qualiopi, spécialisé en IT, cybersécurité, gestion de projet et cloud. Nos formations certifiantes vous donnent les compétences recherchées pour piloter et exécuter un programme de conformité DORA.

Formations directement applicables à DORA

• Certification ITIL 4 Foundation : maîtrisez le cadre de gouvernance IT de référence. Les pratiques ITIL (gestion des incidents, continuité, fournisseurs) s'alignent directement sur les exigences DORA. Formation éligible CPF.
• Certification PMP (Project Management Professional) : développez les compétences de gestion de programme pour piloter votre mise en conformité. La certification PMP est reconnue mondialement et éligible au CPF.
• Microsoft Azure Technologies de Sécurité : approfondissez la sécurité cloud avec les outils Microsoft (Defender, Sentinel, Entra ID). Compétences directement applicables aux piliers 1 et 4 de DORA.

Pourquoi choisir Elitek ?

• Taux de réussite supérieur à 90 % aux examens de certification
• Formateurs experts praticiens : tous certifiés et en activité sur des projets réels de conformité et de transformation IT
• Pédagogie 70 % pratique : études de cas réels, simulations et mises en situation professionnelle
• Formations éligibles au CPF : financez votre montée en compétences avec votre solde CPF (guide CPF 2026)

Découvrez nos formations et préparez votre conformité DORA →

FAQ

Qu'est-ce que le règlement DORA ?
DORA (Digital Operational Resilience Act) est un règlement européen (UE 2022/2554) qui harmonise les exigences de résilience opérationnelle numérique pour le secteur financier. Il impose un cadre commun pour la gestion des risques ICT, le signalement des incidents, les tests de résilience, la supervision des prestataires ICT tiers et le partage d'informations sur les cybermenaces.

Quand DORA est-il entré en application ?
DORA est pleinement applicable depuis le 17 janvier 2025. L'année 2025 a été une période d'accompagnement, et 2026 marque le début de l'application active par les autorités de supervision, avec des contrôles renforcés et les premières sanctions.

Quelles sont les sanctions en cas de non-conformité DORA ?
Les entités financières non conformes risquent des amendes pouvant atteindre 2 % de leur chiffre d'affaires annuel mondial ou 10 millions d'euros (le montant le plus élevé). Les dirigeants peuvent être sanctionnés personnellement jusqu'à 1 million d'euros. Les prestataires ICT critiques s'exposent à des pénalités journalières de 1 % de leur chiffre d'affaires quotidien moyen mondial.

Mon entreprise est-elle concernée par DORA ?
Si votre entreprise est une entité financière (banque, assurance, société de gestion, fintech, établissement de paiement, prestataire de services sur crypto-actifs) ou un prestataire ICT de ces entités, vous êtes concerné. DORA s'applique à 21 catégories d'entités représentant plus de 22 000 institutions dans l'UE.

Quelle est la différence entre DORA et NIS2 ?
NIS2 est une directive de cybersécurité transversale couvrant tous les secteurs critiques. DORA est un règlement spécifique au secteur financier. Pour les entités financières, DORA prévaut sur NIS2 en vertu du principe lex specialis. Les deux textes sont complémentaires mais DORA impose des exigences plus détaillées pour la finance.

Quelles certifications professionnelles aident à la conformité DORA ?
Les certifications ITIL 4 (gouvernance IT), PMP (gestion de projet), Azure Security (sécurité cloud), CISSP et CISM (cybersécurité) sont directement applicables aux exigences DORA. Chez Elitek, les formations ITIL 4, PMP et Azure Security sont disponibles et éligibles au CPF.

Qu'est-ce que le registre d'information DORA ?
Le registre d'information est un document obligatoire recensant l'ensemble des accords contractuels avec les prestataires ICT tiers. Il doit être tenu à jour en permanence et soumis annuellement à l'autorité de supervision compétente. La première échéance de soumission a eu lieu début 2026.

Les prestataires cloud sont-ils concernés par DORA ?
Oui. Les prestataires cloud (AWS, Azure, GCP et autres) sont indirectement concernés par les exigences contractuelles imposées par leurs clients financiers. Les prestataires ICT désignés comme critiques par les Autorités Européennes de Surveillance font l'objet d'une supervision directe et de sanctions spécifiques (amendes jusqu'à 5 millions d'euros et pénalités journalières).

Sources

• EUR-Lex : Règlement (UE) 2022/2554 (DORA)
• ACPR : Digital Operational Resilience Act (DORA)
• ACPR : FAQ DORA
• EIOPA : Digital Operational Resilience Act
• AMF : The Regulation on Digital Operational Resilience (DORA)
• DORA Compliance Platform : DORA in 2026 Enforcement
• PwC France : La réglementation DORA

Article mis à jour le 16 avril 2026.

Articles connexes :

• Formation cybersécurité : certifications 2026
• Comment vérifier son solde CPF en 2026
• CPF et formation : guide complet 2026