Aller au contenu
PolicyForge
Tous les articles
Par Vyrhak SATH · Fondateur, NAGASHIELD SECURITY10 min

DORA en France : ACPR, AMF, registre d’information et TLPT

Comment DORA est supervisé en France : rôles de l’ACPR et de l’AMF, registre d’information (instruction 2025-I-12), tests TLPT TIBER-FR, passage aux contrôles approfondis en 2026 — et les documents qu’une entité financière doit tenir prêts.

DORA n’arrive plus — il s’applique

DORA (règlement (UE) 2022/2554) s’applique depuis le 17 janvier 2025 à un large éventail d’entités financières : banques, assureurs, entreprises d’investissement, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, sociétés de gestion et autres. Étant un règlement, il s’applique directement, sans transposition nationale. Les superviseurs français ont fait de 2025 une année d’accompagnement et de premiers contrôles ciblés ; 2026 marque le passage aux contrôles de conformité approfondis.

Qui supervise DORA en France

Deux autorités se partagent le dossier : l’ACPR (banque et assurance) et l’AMF (marchés et gestion d’actifs), chacune pour les entités de son ressort. Pour les tests d’intrusion fondés sur la menace, la France dispose d’une équipe cyber commune — la TCT-FR — réunissant la Banque de France, l’ACPR et l’AMF.

Les cinq piliers — et les documents derrière

PilierObligation centraleDocuments attendus
Gestion du risque TICCadre de gouvernance approuvé par l’organe de directionPolitique de risque TIC, politiques de sécurité, cartographie des actifs
Gestion des incidentsClassifier et notifier les incidents TIC majeursPolitique de réponse aux incidents, grille de classification, procédure de notification
Tests de résilienceTests réguliers ; TLPT pour les entités désignéesProgramme de tests, cadrage TLPT, plans de remédiation
Risque des tiers TICClauses contractuelles + registre d’informationPolitique de sécurité fournisseurs, stratégies de sortie, registre
Partage d’informationsDispositifs volontaires de partage de renseignementAccords de partage

Le registre d’information

Toute entité DORA doit tenir un registre d’information couvrant l’ensemble de ses accords contractuels avec des prestataires tiers de services TIC. Conformément à l’instruction ACPR n° 2025-I-12, les entités de son ressort remettent ce registre à l’ACPR ; les données alimentent la désignation, par les autorités européennes de surveillance, des prestataires TIC critiques (dont les grandes plateformes cloud), placés sous supervision directe au niveau européen. En pratique, le registre est le livrable DORA le plus consommateur de travail pour une entité de taille moyenne : il exige un inventaire complet des fournisseurs TIC, des fonctions supportées et de leur criticité.

TLPT et TIBER-FR

Les entités désignées par leur autorité TLPT (Banque de France, ACPR ou AMF) doivent mener des tests d’intrusion fondés sur la menace au moins tous les trois ans, selon le cadre TIBER-EU décliné nationalement en TIBER-FR. Ce sont des exercices red team sur les systèmes de production, encadrés par la TCT-FR — une discipline différente du pentest annuel, qui suppose une réponse aux incidents et une journalisation matures.

Ce qu’une entité de taille moyenne doit tenir prêt pour 2026

  1. Un cadre de gestion du risque TIC approuvé par l’organe de direction — DORA le rend responsable.
  2. Un processus de classification et de notification des incidents aligné sur les délais et modèles DORA.
  3. Le registre d’information, complet et remettable.
  4. La remédiation contractuelle : clauses conformes à DORA (droit d’audit, sortie, sous-traitance) dans chaque contrat TIC.
  5. Des preuves de tests — même sans désignation TLPT, un programme de tests documenté est attendu.

Sources de référence

Comment PolicyForge vous aide

PolicyForge génère la couche documentaire que les auditeurs DORA demandent en premier — politique de risque TIC, réponse aux incidents avec étapes de notification, sécurité fournisseurs avec considérations de sortie, contrôle d’accès, journalisation — bilingue et versionnée. Commencer gratuitement →

Questions fréquentes

Qui supervise DORA en France ?

L’ACPR pour la banque et l’assurance, l’AMF pour les marchés et la gestion d’actifs, chacune pour les entités de son ressort. Pour les tests fondés sur la menace, la Banque de France, l’ACPR et l’AMF opèrent une équipe cyber nationale commune, la TCT-FR. 2025 a été consacrée à l’accompagnement et aux premiers contrôles ciblés ; 2026 ouvre la phase de contrôles approfondis.

Qu’est-ce que le registre d’information DORA ?

Un registre obligatoire de tous les accords contractuels avec des prestataires tiers de services TIC, couvrant les fonctions supportées et leur criticité. Selon l’instruction ACPR n° 2025-I-12, les entités concernées le remettent à l’ACPR ; ces données alimentent la désignation européenne des prestataires TIC critiques, comme les grandes plateformes cloud.

Qu’est-ce que le TLPT dans DORA ?

Le test d’intrusion fondé sur la menace : un exercice red team sur les systèmes de production que les entités désignées doivent mener au moins tous les trois ans, selon le cadre TIBER-EU décliné en France sous le nom TIBER-FR, sous l’égide de la TCT-FR (Banque de France, ACPR, AMF). La désignation revient à l’autorité TLPT compétente.

DORA s’applique-t-il aux fintechs et petites entités financières ?

DORA couvre un large éventail d’entités financières, y compris les établissements de paiement, de monnaie électronique et les prestataires de services sur crypto-actifs, avec un principe de proportionnalité dans l’application des mesures. Même une petite entité régulée doit tenir un cadre de risque TIC, une notification d’incidents et le registre d’information.