Aller au contenu
ZxR Cyber Sentinel 4.1 est disponible — Découvrir nos modeles IA
\u{1F1EA}\u{1F1FA}DORAMandatory

DORA Compliance, Automated

Règlement sur la résilience opérationnelle numérique (Règlement (UE) 2022/2554). Automatisez la gap analysis, la collecte de preuves et le monitoring continu avec la plateforme Zaxyr propulsée par l'IA.

Contrôles
64 contrôles
Autorité
European Commission & ESAs
En vigueur
January 2025
Présentation

Qu'est-ce que DORA?

Le règlement sur la résilience opérationnelle numérique (DORA) est un règlement européen majeur qui établit un cadre complet de gestion des risques liés aux TIC dans le secteur financier. Applicable depuis le 17 janvier 2025, DORA garantit que les entités financières peuvent résister, répondre et se rétablir face à tous types de perturbations et de menaces liées aux TIC, y compris les cyberattaques.

DORA comble une lacune critique de la réglementation financière européenne en créant des règles harmonisées dans tous les États membres pour la gestion des risques TIC, le signalement des incidents, les tests de résilience opérationnelle numérique, la gestion des risques liés aux tiers TIC et les dispositifs de partage d'informations. À la différence de la mosaïque antérieure de lignes directrices nationales, DORA fournit un cadre réglementaire unique et directement applicable à plus de 22 000 entités financières.

Le règlement repose sur cinq piliers : la gestion des risques TIC (cadre de gouvernance complet), la gestion des incidents liés aux TIC (classification, signalement et réponse), les tests de résilience opérationnelle numérique (tests d'intrusion fondés sur la menace tous les 3 ans), la gestion des risques liés aux tiers TIC (registre, diligence raisonnable, supervision) et les dispositifs de partage d'informations (échange volontaire de renseignements sur les cybermenaces). DORA est une lex specialis vis-à-vis de NIS2, ce qui signifie que ses exigences sectorielles prévalent pour les entités financières.

Source officielle : European Commission & ESAs

Qui doit se conformer

  • Établissements de crédit (banques) et établissements de paiement
  • Entreprises d'investissement, plateformes de négociation et contreparties centrales
  • Entreprises d'assurance et de réassurance
  • Prestataires de services sur crypto-actifs et émetteurs de jetons se référant à des actifs
  • Dépositaires centraux de titres et référentiels centraux
  • Agences de notation de crédit et prestataires de services de financement participatif
  • Prestataires tiers critiques de services TIC (cloud, SaaS, services managés)
  • Gestionnaires de fonds d'investissement alternatifs et sociétés de gestion d'OPCVM

Exigences clés

  • Cadre de gestion des risques TIC : gouvernance, identification, protection, détection, réponse, rétablissement et apprentissage
  • Classification et signalement des incidents : notification initiale sous 4h, rapport intermédiaire sous 72h, rapport final sous 1 mois
  • Tests de résilience opérationnelle numérique : tests de base annuels, tests d'intrusion fondés sur la menace tous les 3 ans
  • Gestion des risques liés aux tiers TIC : registre de tous les contrats, diligence raisonnable, clauses contractuelles et stratégies de sortie
  • Partage d'informations : mécanismes volontaires d'échange de renseignements sur les cybermenaces
  • Politique de continuité d'activité TIC et plans de reprise après sinistre
  • Responsabilité de l'organe de direction sur la stratégie de gestion des risques TIC
  • Revue et audit réguliers du cadre de gestion des risques TIC
Risque de non-conformité

Le coût de l'inaction

Sanction maximale

Jusqu'à 1% du chiffre d'affaires mondial quotidien moyen par jour, pendant un maximum de 6 mois, pour les prestataires TIC critiques

Au-delà des sanctions financières, la non-conformité peut entraîner des dommages réputationnels, la perte de licences et la responsabilité personnelle des dirigeants.

Capacités de la plateforme

Comment Zaxyr automatise la conformité DORA

Analyse de gap DORA automatisée sur les 5 piliers avec mapping de contrôles spécifique au secteur financier et scoring de maturité

Registre des risques liés aux tiers TIC avec évaluation automatisée des fournisseurs, suivi des clauses contractuelles et analyse du risque de concentration

Moteur de classification des incidents avec templates de signalement 4h/72h/1 mois pré-connectés à vos outils SIEM et SOC

Gestion des tests de résilience avec planification des TLPT (tests d'intrusion fondés sur la menace), définition du périmètre et suivi des résultats

Tableaux de bord de reporting direction avec KPI spécifiques à DORA : posture de risque TIC, métriques d'incidents, exposition aux tiers et couverture des tests

Mapping inter-frameworks NIS2 et ISO 27001 afin que le travail de conformité DORA fasse progresser automatiquement votre posture de conformité globale

Questions fréquentes

DORA FAQ Conformité

Commencez votre parcours de conformité DORA

Obtenez une évaluation personnalisée de votre conformité. Notre équipe vous accompagne.