Dream On Technology Logo
Dream On Technology Logo
Se connecter

DORA en pratique : ce que les acteurs financiers doivent vraiment démontrer pendant une crise cyber

DORA va bien au-delĂ  des politiques de risque : il exige une rĂ©silience opĂ©rationnelle prouvĂ©e sous stress. Voici ce que banques, assureurs et FinTech doivent rĂ©ellement ĂȘtre capables de faire, exemples concrets Ă  l'appui.

4 min de lecture Par Dream On Technology Conformité
Illustration d'un bùtiment bancaire à colonnades avec un bouclier de résilience devant et une courbe de continuité en dessous

DORA n’est pas un Ă©niĂšme cadre de gestion des risques

Le rĂšglement sur la rĂ©silience opĂ©rationnelle numĂ©rique (Digital Operational Resilience Act, DORA) est entrĂ© en application dans l’Union europĂ©enne en janvier 2025. Pour les banques, assureurs, sociĂ©tĂ©s de gestion, Ă©tablissements de paiement et prestataires informatiques critiques qui les servent, c’est un changement structurel : les rĂ©gulateurs ne veulent plus voir des politiques, ils veulent voir une rĂ©silience opĂ©rationnelle dĂ©montrĂ©e sous stress.

Autrement dit, DORA ne demande pas « avez-vous un plan ? », il demande « ĂȘtes-vous rĂ©ellement capable d’exĂ©cuter ce plan quand la moitiĂ© de vos systĂšmes sont chiffrĂ©s un dimanche Ă  3h du matin ? »

Ce n’est pas du tout la mĂȘme question.

Les cinq piliers DORA en langage clair

PilierCe que cela signifie en opérations
Gestion du risque ICTUn registre des risques vivant, portĂ© par le conseil d’administration, mis Ă  jour en continu.
Notification d’incidentsNotification des incidents majeurs au rĂ©gulateur dans des dĂ©lais stricts, avec des champs structurĂ©s et un suivi.
Tests de résilience opérationnelleTLPT (Threat-Led Penetration Testing) régulier pour les entités significatives, plus exercices tabletop et tests de reprise.
Risque tiers ICTInventaire complet des prestataires critiques, garanties contractuelles, stratégies de sortie et analyse de concentration.
Partage d’informationsCoopĂ©ration volontaire avec les pairs et les autoritĂ©s pour anticiper les menaces Ă©mergentes.

Tous ces piliers convergent vers la mĂȘme rĂ©alitĂ© opĂ©rationnelle pendant une vraie crise : le rĂ©gulateur finira par demander des preuves.

Ce que « preuves » signifie vraiment

Les rĂ©gulateurs n’acceptent pas les captures d’écran. Sous DORA, les preuves doivent ĂȘtre :

  • HorodatĂ©es - chaque action, chaque dĂ©cision, chaque notification, Ă  la seconde prĂšs.
  • InaltĂ©rables - des journaux qui ne peuvent pas ĂȘtre rĂ©Ă©crits silencieusement a posteriori.
  • Reconstructibles - vous pouvez rejouer la crise chronologiquement, heure par heure, rĂŽle par rĂŽle.
  • IndĂ©pendantes - si vos outils collaboratifs ont Ă©tĂ© compromis, les preuves restent intactes parce qu’elles vivent ailleurs.

Ce dernier point est celui que les institutions sous-estiment le plus. Si votre rĂ©ponse Ă  incident tourne sur le mĂȘme tenant Microsoft 365 ou sur le mĂȘme partage que votre environnement de production, un seul rançongiciel peut dĂ©truire Ă  la fois vos opĂ©rations et les preuves dont vous avez besoin pour dĂ©montrer votre rĂ©ponse.

Trois capacités concrÚtes à bùtir dÚs maintenant

Si vous ĂȘtes RSSI, COO ou responsable des risques dans un Ă©tablissement financier, concentrez-vous sur trois capacitĂ©s opĂ©rationnelles :

1. Communications de crise hors bande

Votre cellule de crise doit pouvoir se rĂ©unir, Ă©changer, partager des documents et assigner des tĂąches sans dĂ©pendre de l’IT sous attaque. Cela implique une plateforme dĂ©diĂ©e, hĂ©bergĂ©e hors de votre pĂ©rimĂštre de production, accessible depuis des appareils personnels et protĂ©gĂ©e par une gestion d’identitĂ© indĂ©pendante.

2. Pistes de décision auditables

Chaque instruction Ă©mise pendant la crise - « isoler les contrĂŽleurs de domaine », « notifier l’ACPR », « activer l’assurance », « communiquer aux clients Ă  9h » - doit ĂȘtre capturĂ©e automatiquement avec auteur, horodatage et contexte. Le but n’est pas la surveillance ; c’est de pouvoir reconstruire la chronologie quand le rĂ©gulateur et le conseil le demandent.

3. Notifications pré-rédigées et adaptées aux juridictions

Les délais de notification DORA sont courts. Les banques opérant dans plusieurs juridictions doivent aussi traiter en parallÚle le RGPD, NIS2, les régulateurs sectoriels et les notifications contractuelles aux clients. Des modÚles pré-rédigés, mappés aux scénarios et juridictions, font gagner des heures quand chaque minute compte.

Comment PanicSafe soutient la conformité DORA

PanicSafe a Ă©tĂ© conçu prĂ©cisĂ©ment pour ce cahier des charges. Il fournit une cellule de crise activable instantanĂ©ment, indĂ©pendante de l’IT, avec chat, vidĂ©o et stockage de documents chiffrĂ©s de bout en bout ; une main courante automatique et immuable qui produit exactement le type de piste horodatĂ©e que DORA attend ; et un moteur de playbooks structurĂ©s qui s’aligne avec la classification des incidents et les flux de notification. Pour nos partenaires dans le secteur financier, cela raccourcit l’écart entre avoir un programme DORA et ĂȘtre dĂ©montrablement rĂ©silient.

En conclusion

Les institutions qui passeront le contrĂŽle DORA sans difficultĂ© ne sont pas celles qui ont les politiques de risque les plus Ă©paisses - ce sont celles dont les Ă©quipes savent gĂ©rer une crise avec discipline, traçabilitĂ© et indĂ©pendance. Le travail pour bĂątir cette capacitĂ© se fait avant que l’alarme ne sonne, pas aprĂšs. Échangez avec notre Ă©quipe si vous souhaitez confronter votre dispositif actuel aux attentes opĂ©rationnelles de DORA.

DORAservices financiersrésilience opérationnellecybersécurité bancaireréglementation