+33 1 43 56 37 27

Réglementation DORA : comment s’y préparer au mieux ?

Image de Marion

Marion

Partager l'article

Linkedin Facebook X-twitter

Sommaire

Votre entreprise est dans le secteur financier et vous vous demandez si la réglementation DORA s’applique à votre société ? Et si oui, comment faire pour bien vous y préparer ?

Le 17 janvier 2025, la réglementation DORA (Digital Operational Resilience Act) s’appliquera. Elle imposera aux entités financières le respect des règles établies par la réglementation en matière de cybersécurité et de gestion des risques informatiques dans le secteur financier.  

Son objectif vise à renforcer la résilience opérationnelle des sociétés financières dans l’Union Européenne et à garantir qu’elles puissent faire face à des menaces technologiques.

Les entreprises qui ne respecteront pas les règles de DORA s’exposent à des amendes pouvant aller jusqu’à donner 5% de leur chiffre d’affaires ou encore 10 millions d’euros. 

Vous trouverez dans cet article la réglementation DORA et comment s’y préparer avec des outils.

1. Qu'est-ce que la réglementation DORA ?

Pourquoi cette réglementation ?

Pendant de longues années, les pays membres de l’Union Européenne ont été très discrets sur la cybersécurité, ce qui a multiplié les interprétations et les actions pour les incidents, augmentant ainsi les coûts pour la mise en conformité des entreprises. L’objectif de DORA est donc d’harmoniser les pratiques avec un cadre réglementaire aidant les entreprises du secteur financier à mieux réagir face aux menaces et donc à mieux se protéger. Tout cela, pour renforcer la confiance et la stabilité dans le domaine de la finance.

Livre blanc cybersécurité
Téléchargez notre guide

Qui est concerné par la réglementation ?

  • Gestionnaires de fonds d’investissement alternatifs (avec + 100 000 000 euros d’actifs gérés)
  • Etablissements de crédits
  • Etablissements de monnaie électronique
  • Sociétés d’investissement
  • Prestataires de service d’information et de TIC
  • Prestataires sur cryptoactifs
  • Prestataires de service de financement participatif
  • Dépositaires de titre
  • Sociétés de gestion
  • Référentiels centraux
  • Agences de notation de crédits
  • Contreparties centrales
  • Prestataires de gestion de la donnée
  • Entreprises d’assurance
  • Institutions de retraite professionnelle (avec + de 15 affiliés)
  • Agences de notation de crédit
  • Référentiels de titrisation
  • Plateformes de négociation

Quelles sont les exigences de la réglementation DORA ?

  • La première exigence est que les entreprises puissent savoir gérer les risques liés aux technologies de la communication et de l’information (TIC).
  • Puis, les sociétés doivent pouvoir notifier les incidents liés aux TIC.
  • Ensuite, elles ont des tests de cybersécurité à opérer régulièrement.
  • Et aussi, les sociétés financières doivent savoir gérer les risques liés aux fournisseurs tiers.   
  • Et enfin, les entreprises ont pour mission de partager les informations entre sociétés financières pour encourager l’échange de bonnes pratiques pour l’amélioration de la cybersécurité.

2. Comment vous préparer efficacement à la réglementation DORA ?

Quels sont vos challenges liés à la réglementation DORA ?

Tout d’abord, votre première priorité est de comprendre comment fonctionne DORA et ses exigences afin de bien y répondre

Deuxièmement, votre challenge suivant sera de créer une cartographie des risques technologiques dans votre entreprise. 

Puis, dans un troisième temps, vous pouvez consulter des sociétés spécialisées pour mettre en place une stratégie de mise en conformité. D’ailleurs, vous pouvez consulter notre société Betanum pour cela. 

Et enfin, vous pourrez mettre en place des tests réguliers pour savoir si votre stratégie fonctionne.

Etape 1 : Evaluation de votre conformité à la réglementation DORA

Dans cette première étape, nous vous conseillons de commencer par mettre en place un audit de cybersécurité. Dans cet audit, vous pourrez étudier les vulnérabilités au niveau de vos logiciels, de votre réseau, de vos accès, de vos configurations, de votre matériel informatique et de vos utilisateurs. Cet audit peut être fait en interne et vous pouvez compléter par un audit externe réaliser par une société comme Betanum.

Cette audit, vous permettra ainsi de faire un document des écarts existants entre votre cybersécurité actuelle et celle demandée par la réglementation DORA.

Etape 2 : Mise en place de la gouvernance pour votre gestion de DORA

La mise en conformité DORA dans votre entreprise est un projet à part entière qui nécessite la création d’une équipe de gestion des risques.

Pour cela, il vous faudra une définir l’équipe ainsi que les process qui seront mis en place pour gérer les risques.

Etape 3 : Recherche et intégration de prestataires adaptés

Dans un premier lieu, commencer par sélectionner et évaluer les prestataires adéquats pour vous aider dans votre mise en conformité DORA. Ils pourront vous aider à créer des audits, des tests, des optimisations de cybersécurité ou encore des actions de sensibilisation auprès de vos équipes.

Et enfin, après avoir choisi les prestataires adaptés à votre entreprise, vous pourrez contractualiser en incluant les obligations de la réglementation DORA.

Etape 4 : Renforcement de votre cybersécurité

Dans cette étape, nous vous conseillons d’établir des tests d’intrusion et aussi des évaluations de vulnérabilité. Ces tests permettent de simuler les cyberattaques et ainsi de préparer les équipes aux risques de cybersécurité. De plus, les tests d’intrusion aident à discerner les vulnérabilités du système informatique.

Etape 5 : Mise en place du reporting pour la réglementation DORA

La réglementation DORA exige un suivi rigoureux des risques cybersécurité de votre entreprise financière. Nous vous invitons à tenir un rapport précis de la gestion des risques et des incidents encourus dans votre entreprise. Ce reporting sera tenu par votre équipe de gestion des risques. 

3. Les outils pouvant faciliter votre mise en conformité DORA

Vous avez plusieurs outils pour optimiser votre cybersécurité. 

Tout d’abord, vous avez des plateformes de gestion des risques de cybersécurité qui permettent d’évaluer votre gestion de la cybersécurité avec des audits et le pilotage de votre conformité avec des plans d’actions. En effet, ces plateformes nous aideront à réduire les risques et à simplifier votre conformité. 

Puis, vous avez aussi des outils pour renforcer votre sécurité informatique comme : 

  • Logiciels de protection des données avec par exemple les VPN 
  • Gestionnaires de mot de passe en utilisant un générateur de mot de passe solide
  • Anti-virus
  • Logiciels de sécurisation d’email
  • Logiciels pour les attaques sur le cloud
  • Pare-feux
  • Logiciels de détection d’intrusion

 

Et aussi, vous avez bien évidemment les services de sociétés de conseil spécialisés comme Betanum. 

Et enfin, vous trouverez des formations et des guides comme notre guide ci-dessous.

Téléchargez notre guide
Livre blanc cybersécurité

Pour conclure, si vous êtes une entreprise dans la finance concernée par DORA, il est urgent d’agir pour vous mettre en conformité. 

Nous vous encourageons à vous mettre en mouvement dès aujourd’hui. Si vous avez besoin de conseil, contactez-nous, nous serons heureux de vous conseiller. 

Nous pensons que la réglementation DORA est une opportunité pour nous aider à moderniser nos pratiques et à améliorer le monde informatique.

Inscrivez-vous à notre newsletter

Recevez tous les mois des conseils IT

Plus d'articles

@ Betanum 2001 – 2025