DORA Application : Mise en Pratique des Obligations pour les Entités Financières

Comprendre le règlement DORA (EU) 2022/2554 est une chose. L'appliquer concrètement en est une autre. Entre les 64 articles du règlement et les dizaines de normes techniques de niveau 2, il y a un fossé que chaque compliance officer, chaque RSSI et chaque DSI doit combler. J'ai vu des institutions passer 18 mois sur leur gap analysis avant de réaliser qu'elles n'avaient même pas un inventaire complet de leurs contrats cloud. La bonne nouvelle : une approche structurée permet de transformer cette montagne réglementaire en chantiers gérables.

Étape 1 : Comprendre Son Périmètre d'Application

Avant toute action, l'entité doit déterminer précisément quelles obligations DORA lui sont applicables. Cela dépend de sa catégorie (banque, assureur, gestionnaire d'actifs, fintech), de sa taille (régime standard ou simplifié), et de ses activités spécifiques (présence de fonctions critiques externalisées, éligibilité aux tests TLPT). Cette analyse préliminaire conditionne toute la suite de la démarche.

Régime Standard vs Régime Simplifié

Le règlement DORA distingue deux régimes. Le régime standard s'applique à la majorité des entités financières et impose l'ensemble des obligations des chapitres II à V. Le régime simplifié (article 16) s'applique aux petites entités non interconnectées et permet un cadre de gestion des risques TIC moins formalisé. Certaines obligations restent communes aux deux régimes : politique documentée, notification des incidents, registre des contrats prestataires.

Étape 2 : Constituer l'Équipe Projet

La mise en œuvre de DORA nécessite une équipe pluridisciplinaire. Le sponsor doit être au niveau C-suite (CEO, CRO ou COO) pour assurer l'engagement de l'organe de direction. Les contributeurs opérationnels incluent le RSSI (sécurité), le DSI (systèmes), le DPO (données), le responsable conformité, le directeur juridique (contrats prestataires) et le responsable de la continuité d'activité. La gouvernance du projet doit être formalisée avec des réunions de pilotage et un reporting au conseil.

Étape 3 : Cartographier les Actifs et les Risques

La cartographie des actifs TIC (article 8 de DORA) est la fondation de toute la démarche. Elle doit identifier tous les systèmes, applications, bases de données et équipements supportant les fonctions critiques ou importantes. Pour chaque actif, les risques TIC associés doivent être évalués et priorisés. Cette cartographie doit être maintenue à jour et constitue la base du registre des prestataires TIC (article 28).

Étape 4 : Mettre à Jour les Contrats Prestataires

Les contrats avec les tiers prestataires TIC doivent être revus pour intégrer les clauses minimales DORA (article 30). Les points clés à vérifier et/ou négocier : droit d'audit de l'entité financière et du superviseur, niveaux de service (SLA) avec pénalités, plan de continuité du prestataire, modalités de sortie et portabilité des données, localisation des données et des traitements, notification des incidents du prestataire affectant l'entité. Cette révision contractuelle est souvent le chantier le plus chronophage de la conformité DORA.

Étape 5 : Tester et Documenter

La conformité DORA n'est pas uniquement documentaire. Les plans de continuité et de rétablissement TIC doivent être testés et les résultats documentés. Les tests de vulnérabilité et de pénétration doivent être planifiés et leur fréquence respectée. Pour les entités significatives, les tests TLPT doivent être organisés avec des prestataires qualifiés selon le cadre TIBER-EU. Toute cette documentation doit être archivée et accessible pour les contrôles superviseurs.

Outils et Frameworks Pratiques pour la Mise en Oeuvre

Au-delà des obligations, les entités financières peuvent s'appuyer sur des ressources concrètes. Le framework TIBER-EU de la BCE fournit la méthodologie pour les tests TLPT. L'EBA a publié des templates de registre d'informations sur les prestataires ICT tiers (ITS sur les registres, format standardisé). Le NIST Cybersecurity Framework (CSF 2.0) s'aligne largement avec les exigences DORA et peut servir de référentiel opérationnel complémentaire. Côté outils technologiques, des solutions GRC comme ServiceNow GRC, Archer ou OneTrust proposent des modules DORA intégrés. Pour les entités de taille modeste, des outils open source comme OpenCSPM ou Cartography peuvent aider à la cartographie des actifs cloud.

Budget Type d'un Projet DORA

Selon les retours du marché en 2025, le coût d'un projet de mise en conformité DORA varie considérablement selon la taille et la maturité existante. Pour une banque de taille intermédiaire (500-2 000 employés), les budgets observés se situent entre 2 et 8 millions d'euros sur 2-3 ans, incluant les investissements en outils GRC, les audits externes, les tests TLPT et les recrutements de profils spécialisés. Pour une fintech de 50-100 personnes, le budget se situe plutôt entre 200 000 et 800 000 euros. L'essentiel du coût réside dans les ressources humaines qualifiées, pas dans les outils.

Conclusion

L'application du règlement DORA est un projet de transformation organisationnelle et technologique. La clé du succès réside dans une approche structurée : périmètre clair, équipe dédiée, priorisation des chantiers et documentation rigoureuse. Les entités qui ont abordé DORA comme un projet de fond — et pas comme un exercice de documentation — en ressortent avec une résilience numérique réellement améliorée.