top of page
Rechercher

DORA : quelles obligations de cybersécurité pour les entreprises financières en Europe ?

  • ben67344
  • 3 oct. 2025
  • 3 min de lecture

Depuis le 16 janvier 2023, le Digital Operational Resilience Act (DORA) est officiellement entré en vigueur dans l’Union européenne (Règlement (UE) 2022/2554). Après une période de transition de deux ans, ses dispositions s’appliquent à partir du 17 janvier 2025.



Son objectif ? Garantir que l’ensemble du secteur financier européen — banques, assurances, fintechs, prestataires technologiques — soit capable de résister, de réagir et de se relever face à une cyberattaque.


Chez Safercy, nous considérons que DORA n’est pas une contrainte, mais une formidable opportunité : mettre en avant la valeur des tests d’intrusion (pentests), cœur de notre métier, pour transformer la conformité réglementaire en avantage compétitif.




Historique et contexte : pourquoi DORA ?



Avant DORA, le paysage réglementaire européen était fragmenté :


  • La directive NIS (2016) imposait des mesures de cybersécurité à certains opérateurs critiques.

  • L’EBA (European Banking Authority) avait publié des guidelines sur les tests de résilience (2018).

  • Certains pays avaient mis en place des cadres nationaux (ex : TIBER-NL aux Pays-Bas, TIBER-DE en Allemagne).



Résultat : un patchwork de règles, parfois contradictoires.

DORA vient uniformiser le cadre réglementaire pour l’ensemble de l’UE.




Qui est concerné ?



DORA ne s’applique pas seulement aux banques et assurances. Il vise plus de 20 catégories d’acteurs financiers (Article 2), notamment :


  • Établissements de crédit (banques), compagnies d’assurance et réassurance.

  • Prestataires de services de paiement (PSP), fintechs et établissements de monnaie électronique.

  • Sociétés de gestion de portefeuille, infrastructures de marché (chambres de compensation, bourses).

  • Fournisseurs de services ICT critiques (cloud, hébergeurs, prestataires de cybersécurité).



Exemple : une néobanque devra prouver la solidité de ses systèmes au même titre qu’une grande banque systémique. De même, un fournisseur cloud utilisé par 200 banques européennes devra se mettre en conformité.


Les obligations clés imposées par DORA


Le règlement repose sur 5 piliers :


  1. Gestion des risques ICT (Articles 5 à 15)


    • Cartographier les risques numériques.

    • Mettre en place une gouvernance claire.

    • Définir des politiques de sécurité (accès, données, continuité).


  2. Reporting d’incidents (Articles 17 à 23)


    • Obligation de notifier tout incident majeur aux autorités compétentes.

    • Standardisation du format de reporting (exigences communes au niveau UE).


  3. Tests de résilience numérique (Articles 24 à 27)


    • Réalisation régulière de tests de sécurité (au minimum annuels).

    • Introduction des Threat-Led Penetration Tests (TLPT), calqués sur le cadre TIBER-EU.

    • Pour les entités systémiques : tests avancés de red teaming supervisés par les autorités.


  4. Gestion des prestataires tiers (Articles 28 à 39)


    • Les sous-traitants IT critiques sont désormais sous la loupe des régulateurs.

    • Obligation de clauses contractuelles spécifiques sur la sécurité et la continuité.


  5. Partage d’informations et coopération (Articles 40 à 46)


    • Encouragement au partage d’IoCs (indicateurs de compromission).

    • Développement d’un écosystème européen de cybersécurité financière.



Focus sur les tests de sécurité : une révolution



DORA marque une rupture :


  • Les tests de cybersécurité passent de la recommandation à l’obligation légale.

  • Les TLPT (Threat-Led Penetration Tests) doivent être réalisés tous les 3 ans pour les entités significatives, avec des scénarios basés sur les menaces réelles du secteur.

  • Les autorités (EBA, ESMA, EIOPA) publieront une liste des entités critiques soumises à des tests obligatoires de red teaming.



Exemple : une banque systémique européenne devra passer un red team exercise validé par son régulateur. Une fintech locale pourra se limiter à des pentests annuels documentés.



Les sanctions en cas de non-conformité



Les sanctions prévues par DORA peuvent aller jusqu’à :


  • Amendes financières infligées par les régulateurs nationaux.

  • Interdiction temporaire d’exercer certaines activités.

  • Obligation de se soumettre à des audits renforcés.



En clair : ignorer DORA, c’est prendre le risque de se faire bloquer son activité.



Comment Safercy vous aide à réussir DORA


Nos pentests sont conçus pour répondre aux exigences DORA et TIBER-EU :


  • Tests réalistes menés par des experts certifiés (OSCP, CREST, etc.).

  • Rapports exploitables pour vos équipes techniques ET vos comités de direction.

  • Alignement avec les standards européens (EBA, TIBER, NIS2).

  • Accompagnement complet : du test technique à la documentation pour vos régulateurs.



Conclusion



Avec DORA, l’Europe veut renforcer la confiance dans son système financier face aux cyberattaques. Les pentests deviennent la pierre angulaire de cette nouvelle exigence.


Chez Safercy, nous faisons du pentest non seulement un outil de conformité, mais un levier stratégique pour vos clients, vos partenaires et vos régulateurs.


Anticipez DORA dès aujourd’hui avec Safercy.

 
 
bottom of page