Liste de contrôle de conformité DORA : ce que les entreprises de services financiers doivent faire en 2025–2026

Écrit parHubSecure Equipe éditoriale

Guides pratiques pour les portails clients sécurisés, RBAC, à bord et les opérations de clients réglementés.

Révisé parHubSecure Security & Conformité Review

Examen du positionnement de sécurité, de l'exactitude des flux de travail et de la clarté de la mise en œuvre.

Dernière mise à jourMay 7, 2026

Vérification par rapport au site de commercialisation actuel et au positionnement du produit.

Voie d'achat HubSecure connexe

Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow

Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance

Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .

Cas d'utilisation connexe

Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .

Introduction: Qu'est-ce que la loi européenne sur la résilience opérationnelle numérique (DORA)?

La loi sur la résilience opérationnelle numérique (DORA) représente un cadre réglementaire historique mis en place par l'Union européenne pour normaliser et améliorer la résilience opérationnelle numérique du secteur financier. À mesure que les services financiers dépendent de plus en plus de l'infrastructure numérique, du cloud computing et des écosystèmes logiciels complexes, la surface d'attaque des cybermenaces s'est élargie de façon exponentielle. La DORA vise à remédier à cette situation en veillant à ce que les entités financières et leurs fournisseurs de services tiers critiques dans le domaine des technologies de l'information et des communications (TIC) puissent résister à tous les types de perturbations et de menaces liées aux TIC, y réagir et se rétablir. Pour les administrateurs en chef de la technologie, les agents en chef de la sécurité de l'information et les agents de conformité, la DORA n'est pas qu'une autre case à cocher pour vérifier la conformité. Entrée en vigueur en janvier 2025, la DORA remplace un paysage fragmenté de lignes directrices nationales par un ensemble unifié de règles normatives exigeant une attention stratégique immédiate et une exécution opérationnelle.

Qui doit se conformer à la DORA?

La DORA s'applique largement à l'ensemble de la chaîne de valeur financière. Contrairement aux directives antérieures qui ont laissé des lacunes concernant les fournisseurs tiers, DORA lance explicitement un large réseau pour assurer la sécurité de l'ensemble de l'écosystème. Si votre organisation entre dans l'une des catégories suivantes, vous devez atteindre et maintenir la conformité à la DORA :

• Institutions de crédit: banques traditionnelles, coopératives de crédit et établissements de crédit opérant dans l'UE.
• Entreprises d'investissement : courtiers, gestionnaires de portefeuille et entités exécutant des opérations financières.
• Entreprises d'assurance et de réassurance: Fournisseurs de produits d'assurance, y compris les intermédiaires d'assurance.
• Fournisseurs de services Crypto-Asset (CASC): Échanges, fournisseurs de portefeuilles et dépositaires opérant dans l'espace de cryptomonnaie en vertu des règlements MiCA.
• Institutions de paiement: passerelles de paiement, services de transfert de fonds et émetteurs de monnaie électronique.
• Plateformes Fintech: entreprises de technologie financière innovantes fournissant des services technologiques sous-traités aux entités réglementées.
• Fournisseurs tiers TIC : Fournisseurs de services gérés, entreprises d'analyse de données et fournisseurs de logiciels bancaires de base au service du secteur financier.
• Fournisseurs de Cloud Service au secteur financier : Grands hyperscaleurs et fournisseurs de services cloud spécialisés qui hébergent des données financières ou des infrastructures essentielles sensibles.

Les cinq piliers fondamentaux de la conformité à la DORA

Pour parvenir à la pleine conformité de la DORA, les organisations doivent structurer leurs stratégies de cybersécurité et de résilience opérationnelle autour de cinq piliers distincts. Chaque pilier répond à une vulnérabilité spécifique dans le cycle de vie opérationnel numérique.

1. Gestion des risques liés aux TIC

La DORA exige des entités financières qu'elles mettent en œuvre un cadre global de gestion des risques informatiques à l'échelle de l'organisation. C'est le fondement de la résilience opérationnelle, exigeant que la sécurité soit intégrée dans la structure organisationnelle plutôt que silosée au sein des services de TI. La gouvernance et la responsabilisation doivent être établies au niveau du conseil.

• Mettre en place une fonction interne de gestion des risques des TIC dotée d'une autorité, de ressources et d'indépendance suffisantes pour appliquer les politiques.
• Définir clairement les rôles, les responsabilités et les structures de responsabilisation du conseil d'administration et de la haute direction en ce qui concerne les risques liés aux TIC.
• Mettre en œuvre des politiques globales de continuité des opérations et de reprise après sinistre qui garantissent des fonctions essentielles restent opérationnelles lors d'un cyberévénement majeur.
• Tenir à jour une cartographie de toutes les fonctions opérationnelles essentielles, des flux de données sous-jacents et des actifs d'appui aux TIC.
• Effectuer régulièrement des audits internes axés spécifiquement sur l'efficacité du cadre de gestion des risques TIC.

2. Déclaration des incidents liés aux TIC

En vertu de la DORA, les règles régissant la déclaration des cyberincidents sont strictement normalisées. Les entités financières doivent mettre en place des mécanismes rigoureux de détection, de classification et d'établissement de rapports pour s'assurer que les autorités compétentes sont tenues informées en temps utile des perturbations majeures.

• Élaborer et documenter un système strict de classification des incidents en fonction des critères de gravité et des modèles décrits dans les Normes techniques de réglementation (NRT).
• Mettre en place des voies de communication sûres pour soumettre les premiers rapports d'incident à l'autorité compétente compétente compétente dans les quatre heures suivant la classification.
• Utiliser des modèles de déclaration des incidents obligatoires et normalisés pour soumettre des mises à jour intermédiaires et des rapports complets finaux.
• Mettre en place un système automatisé de détection des menaces pour identifier les comportements anormaux qui pourraient indiquer un incident non classifié ou en cours lié aux TIC.
• Établir des protocoles de communication clairs pour informer les clients, les homologues et le public lorsqu'un incident grave affecte leur disponibilité des données ou des services.

3. Essai de résilience opérationnelle numérique

La DORA exige que les cadres théoriques de sécurité soient continuellement validés par des essais rigoureux et concrets. Les entités financières doivent régulièrement évaluer leurs défenses, les exigences les plus strictes étant imposées aux institutions d'importance systémique.

• Effectuer des évaluations continues de la vulnérabilité et des analyses automatisées des sources ouvertes afin de déceler les faiblesses du code et de l'infrastructure.
• Effectuer des tests de scénario pour la sécurité du réseau, la sécurité physique, le chiffrement de bout en bout et les attaques d'ingénierie sociale.
• Exécuter au moins tous les trois ans un test avancé de pénétration sous l'influence de menaces (TLPT), qui a été confié principalement aux grandes entreprises systémiques.
• Veiller à ce que le conseil d'administration examine activement les résultats des essais de résilience et approuve les stratégies d'assainissement subséquentes.
• Engager des parties externes indépendantes et qualifiées à mener ou à vérifier des exercices TLPT pour assurer l'objectivité et la conformité réglementaire.

4. Gestion des risques des tiers dans le domaine des TIC

Les attaques de la chaîne d'approvisionnement sont un vecteur principal de cybermenaces. La DORA s'attaque à ce problème en exerçant une surveillance stricte sur tous les fournisseurs de technologies tiers. Les entités financières doivent maintenir la visibilité et le contrôle de leur chaîne d'approvisionnement numérique étendue.

• Tenir à jour un registre complet d'informations détaillant tous les fournisseurs de services tiers TIC, leurs fonctions spécifiques et les risques associés.
• Négocier et intégrer des exigences contractuelles spécifiques qui accordent des droits d'audit, des garanties d'accès aux données et l'assurance de la conformité réglementaire des fournisseurs.
• Élaborer des stratégies de sortie concrètes, documentées et éprouvées pour tous les fournisseurs tiers essentiels de TIC afin d'empêcher le verrouillage des fournisseurs et d'assurer la continuité des opérations.
• Évaluer, surveiller et atténuer le risque de concentration, en particulier lorsqu'il s'agit de s'appuyer fortement sur un seul fournisseur de services en nuage au service du secteur financier.
• Effectuer une diligence raisonnable précontractuelle stricte pour évaluer la position de cybersécurité et les capacités opérationnelles de résilience de tous les fournisseurs potentiels de TIC.

5. Partage de l'information

La DORA encourage une approche collaborative de la cybersécurité. En Obtenir des informations de conformité dans votre boîte de réception Joignez plus de 300 agents de conformité et équipes juridiques pour obtenir des mises à jour hebdomadaires sur la LMA, le RGPD et la réglementation de sécurité — pas de bruit, désabonnement à tout moment.