Solution française • Hébergement souverain • Conformité européenne Blog IA souveraine
Conformité & Droit 30 avril 2026 10 min de lecture

DORA : guide pratique pour la conformité du système d'information des établissements financiers

Le règlement DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025 dans toute l'Union européenne. Il impose aux établissements financiers — banques, assurances, entreprises d'investissement, PSP, ELTIF — un cadre complet de résilience opérationnelle numérique. Contrairement à NIS 2 qui couvre de nombreux secteurs, DORA est spécifique au secteur financier et va beaucoup plus loin dans ses exigences. Ce guide couvre ce que vous devez faire concrètement en 2026.

Ce qu'il faut retenir

  • DORA applicable depuis le 17 janvier 2025 — les contrôles de l'ACPR et de l'AMF sont en cours
  • 5 piliers : gestion des risques ICT, gestion des incidents, tests de résilience, risque tiers ICT, partage d'informations
  • Les tests de pénétration TLPT (Threat-Led Penetration Testing) sont obligatoires pour les entités significatives
  • Les fournisseurs ICT "critiques" sont directement supervisés par les autorités européennes (ABE, AEAPP, AEMF)

Périmètre et entités concernées par DORA

DORA s'applique à plus de 20 types d'entités financières :

  • Établissements de crédit (banques) et établissements de monnaie électronique
  • Entreprises d'investissement et gestionnaires de fonds alternatifs
  • Compagnies d'assurance et de réassurance, mutuelles
  • Prestataires de services de paiement (PSP)
  • Contreparties centrales (CCP) et dépositaires centraux
  • Sociétés de gestion de portefeuille
  • Fournisseurs de services de crypto-actifs (PSAN)
  • Agences de notation de crédit

Des dispositions allégées s'appliquent aux petites entités (microentreprises de moins de 10 salariés et 2M€ de CA) — elles restent couvertes mais avec des obligations proportionnées.

Les 5 piliers DORA

DORA s'articule autour de cinq domaines :

  1. Gestion des risques ICT : cadre de gouvernance, stratégie, politiques, procédures, cartographie des actifs
  2. Gestion et classification des incidents ICT : détection, réponse, notification aux autorités et clients
  3. Tests de résilience opérationnelle numérique : tests réguliers dont des TLPT pour les entités significatives
  4. Gestion des risques liés aux tiers prestataires ICT : due diligence, contrats, suivi des prestataires critiques
  5. Partage d'informations : échange de renseignements sur les cybermenaces entre entités financières

Gestion des risques ICT : ce que DORA exige

DORA impose un cadre de gouvernance ICT formalisé, avec responsabilité explicite de l'organe de direction :

  • Cartographie complète des actifs ICT : tous les systèmes, applications, données — y compris les services cloud et les IA utilisées
  • Identification et classification des risques : évaluation de l'impact potentiel sur la continuité des services financiers
  • Mesures de protection : contrôle des accès, chiffrement, sécurité des réseaux
  • Capacités de détection : monitoring en temps réel, systèmes de détection des anomalies
  • Plans de réponse et reprise : RTO et RPO documentés et testés, objectifs de reprise approuvés par la direction
  • Communication de crise : plan de communication pour les incidents majeurs

Gestion et reporting des incidents ICT

DORA définit des délais de notification stricts pour les incidents "majeurs" :

  • Notification initiale : 4 heures après détection d'un incident majeur (ou 24h au plus tard)
  • Rapport intermédiaire : 72 heures — analyse préliminaire, évaluation de la gravité
  • Rapport final : 1 mois — analyse complète, mesures correctives

Un incident est "majeur" s'il remplit des critères précis définis par les autorités de supervision (ABE) : nombre de clients affectés, durée de l'indisponibilité, pertes financières, impact sur d'autres entités. Les seuils sont définis dans des normes techniques de réglementation (RTS) publiées par les autorités européennes.

Tests de résilience opérationnelle : les TLPT

Les tests de résilience sont obligatoires pour toutes les entités — mais leur niveau varie :

Pour toutes les entités : tests de vulnérabilités réguliers, tests de pénétration basiques, tests des plans de reprise d'activité.

Pour les entités significatives : les Threat-Led Penetration Tests (TLPT) sont obligatoires tous les 3 ans. Ces tests simulant des attaques APT réalistes sont réalisés par des testeurs certifiés TIBER-EU, validés par l'autorité de supervision. Ils couvrent les systèmes de production — pas seulement les environnements de test.

Les fournisseurs ICT sont dans le scope TLPT

Un TLPT peut inclure les fournisseurs ICT critiques de l'entité testée. Si votre fournisseur de LLM ou de services cloud est critique pour votre activité, il peut être soumis à des tests dans le cadre de votre TLPT. C'est une raison supplémentaire de vérifier la solidité sécuritaire de vos prestataires IA.

Gestion des tiers ICT critiques : l'obligation la plus lourde

DORA introduit un régime entièrement nouveau pour les fournisseurs tiers ICT critiques (CTPP). Ces fournisseurs — désignés par les autorités européennes — sont directement supervisés par l'ABE, l'AEAPP ou l'AEMF.

Pour les entités financières, les obligations vis-à-vis de leurs fournisseurs ICT sont :

  • Due diligence avant contractualisation : évaluation des risques, certifications, historique d'incidents
  • Clauses contractuelles minimales obligatoires définies par DORA : droits d'audit, niveaux de service, plan de sortie, localisation des données, sous-traitance
  • Registre des contrats ICT : liste exhaustive des fournisseurs ICT avec classification critique/non critique
  • Plan de sortie : procédure documentée pour migrer vers un autre fournisseur si nécessaire
  • Suivi des incidents chez les fournisseurs : notification obligatoire si un fournisseur subit un incident impactant les services

IA et DORA : points d'attention spécifiques

L'utilisation de systèmes d'IA dans les entités financières crée des obligations DORA spécifiques :

  • Cartographie obligatoire : tout LLM ou système d'IA utilisé pour des fonctions opérationnelles doit figurer dans la cartographie des actifs ICT
  • Classification des fournisseurs IA : OpenAI, Microsoft Azure OpenAI, AWS Bedrock sont des fournisseurs ICT soumis aux obligations DORA — due diligence, contrats conformes DORA, plan de sortie
  • Continuité sans l'IA : si un système IA devient indisponible, votre plan de continuité doit prévoir le fonctionnement dégradé
  • Tests incluant les systèmes IA : les tests de résilience doivent couvrir les systèmes IA critiques

Un LLM déployé on-premise élimine le risque fournisseur IA tiers : pas de dépendance externe, pas de clause contractuelle DORA à négocier avec OpenAI, pas de risque de défaillance d'un prestataire américain.

IA conforme DORA pour votre établissement financier

Intelligence Privée déploie des LLM sur votre infrastructure — aucun fournisseur ICT tiers critique, résilience garantie, documentation DORA fournie.

Parler à un expert finance →

Questions fréquentes DORA

NIS 2 et DORA se cumulent-ils ?

Oui. Pour les entités financières désignées comme OIV ou OE au sens de NIS 2, les deux règlements s'appliquent. DORA prévoit toutefois que ses dispositions prévalent sur NIS 2 pour les entités financières dans les domaines couverts par DORA (principe de lex specialis).

Quelles sont les sanctions en cas de non-conformité DORA ?

Les sanctions sont déterminées par chaque État membre. En France, l'ACPR et l'AMF peuvent infliger des sanctions administratives pouvant aller jusqu'à 10% du chiffre d'affaires annuel pour les manquements graves, ainsi que des mesures conservatoires (suspension d'activités, retrait d'agrément).

Un PSSI existant suffit-il pour DORA ?

Non. DORA va au-delà d'un PSSI standard : il exige des tests TLPT, un régime spécifique de gestion des fournisseurs ICT, et des obligations de notification d'incidents plus strictes et plus rapides. Une revue du PSSI existant à l'aune des exigences DORA est nécessaire.

Continuer la lecture

Secteurs

IA finance et banque — DORA

Obligations DORA pour les systèmes IA dans la finance.

9 min
Conformité & Droit

IA et délit d'initié

Règlement MAR, information privilégiée, AMF/ESMA.

8 min
Conformité & Droit

NIS 2 : obligations pour les entreprises

NIS 2 et DORA se cumulent pour les entités financières désignées OIV.

9 min