DORA n’arrive plus — il s’applique
DORA (règlement (UE) 2022/2554) s’applique depuis le 17 janvier 2025 à un large éventail d’entités financières : banques, assureurs, entreprises d’investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, sociétés de gestion et autres. Étant un règlement, il s’applique directement, sans transposition nationale. Les superviseurs français ont fait de 2025 une année d’accompagnement et de premiers contrôles ciblés ; 2026 marque le passage aux contrôles de conformité approfondis.
Qui supervise DORA en France
Deux autorités se partagent le dossier : l’ACPR (banque et assurance) et l’AMF (marchés et gestion d’actifs), chacune pour les entités de son ressort. Pour les tests d’intrusion fondés sur la menace, la France dispose d’une équipe cyber commune — la TCT-FR — réunissant la Banque de France, l’ACPR et l’AMF.
Les cinq piliers — et les documents derrière
| Pilier | Obligation centrale | Documents attendus |
|---|---|---|
| Gestion du risque TIC | Cadre de gouvernance approuvé par l’organe de direction | Politique de risque TIC, politiques de sécurité, cartographie des actifs |
| Gestion des incidents | Classifier et notifier les incidents TIC majeurs | Politique de réponse aux incidents, grille de classification, procédure de notification |
| Tests de résilience | Tests réguliers ; TLPT pour les entités désignées | Programme de tests, cadrage TLPT, plans de remédiation |
| Risque des tiers TIC | Clauses contractuelles + registre d’information | Politique de sécurité fournisseurs, stratégies de sortie, registre |
| Partage d’informations | Dispositifs volontaires de partage de renseignement | Accords de partage |
Le registre d’information
Toute entité DORA doit tenir un registre d’information couvrant l’ensemble de ses accords contractuels avec des prestataires tiers de services TIC. Conformément à l’instruction ACPR n° 2025-I-12, les entités de son ressort remettent ce registre à l’ACPR ; les données alimentent la désignation, par les autorités européennes de surveillance, des prestataires TIC critiques (dont les grandes plateformes cloud), placés sous supervision directe au niveau européen. En pratique, le registre est le livrable DORA le plus consommateur de travail pour une entité de taille moyenne : il exige un inventaire complet des fournisseurs TIC, des fonctions supportées et de leur criticité.
TLPT et TIBER-FR
Les entités désignées par leur autorité TLPT (Banque de France, ACPR ou AMF) doivent mener des tests d’intrusion fondés sur la menace au moins tous les trois ans, selon le cadre TIBER-EU décliné nationalement en TIBER-FR. Ce sont des exercices red team sur les systèmes de production, encadrés par la TCT-FR — une discipline différente du pentest annuel, qui suppose une réponse aux incidents et une journalisation matures.
Ce qu’une entité de taille moyenne doit tenir prêt pour 2026
- Un cadre de gestion du risque TIC approuvé par l’organe de direction — DORA le rend responsable.
- Un processus de classification et de notification des incidents aligné sur les délais et modèles DORA.
- Le registre d’information, complet et remettable.
- La remédiation contractuelle : clauses conformes à DORA (droit d’audit, sortie, sous-traitance) dans chaque contrat TIC.
- Des preuves de tests — même sans désignation TLPT, un programme de tests documenté est attendu.
Sources de référence
- Règlement (UE) 2022/2554 (DORA) — texte intégral sur EUR-Lex (eur-lex.europa.eu/eli/reg/2022/2554/oj).
- ACPR — FAQ DORA et instruction 2025-I-12 (acpr.banque-france.fr).
- AMF — ressources DORA (amf-france.org).
- Banque de France — guide national TIBER-FR (banque-france.fr).
Comment PolicyForge vous aide
PolicyForge génère la couche documentaire que les auditeurs DORA demandent en premier — politique de risque TIC, réponse aux incidents avec étapes de notification, sécurité fournisseurs avec considérations de sortie, contrôle d’accès, journalisation — bilingue et versionnée. Commencer gratuitement →