Le règlement DORA (Digital Operational Resilience Act) entre en application le 17 janvier 2025. Pour les banques, assurances, fintech et intermédiaires financiers de l’UE, c’est une révolution : la résilience numérique devient une obligation réglementaire à part entière, avec des sanctions pouvant atteindre 1 % du chiffre d’affaires journalier moyen.
Ce guide complet détaille chaque pilier de DORA, ses implications techniques pour votre infrastructure cloud, et comment un cloud privé souverain vous met en conformité tout en réduisant vos coûts de 40 à 70 %.
DORA en bref
DORA (règlement EU 2022/2554) harmonise les exigences de résilience numérique pour l’ensemble du secteur financier européen. Il s’applique à plus de 22 000 entités :
- Établissements de crédit (banques, néobanques)
- Établissements de paiement et monnaie électronique
- Assurances et réassurances
- Fintech et prestataires de services financiers
- Fonds d’investissement et gestionnaires d’actifs
- Fournisseurs de services ICT tiers au secteur financier (nouveau !)
Les 5 piliers de DORA
| Pilier | Article | Obligation principale |
|---|---|---|
| Gestion des risques ICT | Art. 5-16 | Cadre de gouvernance intégré, identification des actifs critiques |
| Gestion des incidents ICT | Art. 17-23 | Classification, signalement dans des délais stricts |
| Tests de résilience | Art. 24-27 | Tests de pénétration réguliers, TLPT pour les systémiques |
| Risques liés aux tiers | Art. 28-44 | Due diligence renforcée sur les fournisseurs ICT |
| Partage d’informations | Art. 45 | Échanges sur les menaces cyber entre pairs |
Pourquoi DORA change la donne pour votre cloud
Vous êtes responsable de vos fournisseurs cloud
DORA article 28-44 impose une due diligence approfondie sur chaque fournisseur de services ICT critique. Cela signifie :
- Auditer la sécurité de votre hébergeur cloud (certifications ISO 27001, SOC 2, SecNumCloud)
- Vérifier la localisation des données et les transferts hors UE
- Documenter les clauses de sortie et de réversibilité
- S’assurer que votre fournisseur peut garantir la continuité (SLA ≥ 99,9 %)
- Évaluer les risques de concentration (dépendance envers un seul fournisseur)
Important : les fournisseurs de services ICT tiers sont directement concernés par DORA. Si vous hébergez des données financières, vous êtes soumis aux obligations de supervision de l’ESMA/EBA/EIOPA.
Le Cloud Act américain bloque DORA
Si vos données financières sont chez AWS, Azure ou GCP, le CLOUD Act permet au gouvernement américain d’accéder à vos données — sans votre consentement. Cela entre en contradiction directe avec DORA article 5 sur la localisation et la protection des données.
En pratique, aucune autorité de supervision européenne ne peut garantir que des données hébergées chez un fournisseur cloud américain restent à l’abri d’une requête étrangère. DORA exige que vous identifiiez et traitiez ce risque de manière documentée.
Tests de résilience obligatoires
Toutes les entités financières doivent réaliser des tests de résilience opérationnelle (article 24) :
- Tests de pénétration (TLPT — Threat-Led Penetration Testing) pour les entités systémiques
- Tests de vulnérabilités internes au minimum annuels
- Scénarios de crise documentés et testés
- Rapports de tests transmis aux autorités de supervision
Les TLPT sont supervisés par l’autorité compétente (ACPR en France) et impliquent des tests en conditions réelles par des équipes agréées (TIBER-EU framework).
Gestion des incidents ICT : les délais DORA
DORA impose des délais de notification d’incident plus stricts que NIS2 :
| Étape | Délai DORA | Délai NIS2 |
|---|---|---|
| Notification initiale | 4 heures | 24 heures |
| Rapport intermédiaire | 72 heures | 72 heures |
| Rapport final | 1 mois | 1 mois |
Pourquoi 4 heures ? Parce que dans le secteur financier, un incident de 4 heures peut paralysé des millions de transactions. Si vous dépendez d’un SIEM externalisé avec un SLA de réponse de 24h, vous ne pouvez pas respecter le délai DORA.
Mise en œuvre : un SIEM souverain interne (Wazuh) avec alertes en temps réel et runbook de notification automatisé permet de notifier l’ACPR en moins de 30 minutes.
Risques liés aux fournisseurs ICT : votre audit en 5 points
DORA article 28 exige que vous évaluiez tout fournisseur ICT critique selon 5 critères :
1. Sécurité de l’infrastructure
Certifications (ISO 27001, SOC 2, SecNumCloud), chiffrement, segmentation réseau, gestion des accès.
2. Localisation et souveraineté des données
Où sont stockées vos données ? Sont-elles soumises au CLOUD Act ? Pouvez-vous les rapatrier à tout moment ?
3. Continuité d’activité
SLA de disponibilité (≥ 99,9 %), PRA testé, architecture multi-site, procédures de basculement.
4. Réversibilité et sortie
Pouvez-vous migrer sans frais de sortie ? Le format de données est-il standard (ouvert) ? Le délai de réversibilité est-il documenté ?
5. Auditabilité et transparence
Droit d’audit sur site, rapports de sécurité réguliers, logs d’accès conservés ≥ 12 mois, transparence sur la chaîne d’approvisionnement logicielle.
Le test de réversibilité : si votre fournisseur cloud vous bloque à la sortie (frais de transfert prohibitifs, formats propriétaires, lock-in contractuel), vous ne respectez pas DORA article 30.3 sur la stratégie de sortie.
Cloud souverain : la réponse DORA
Données en Europe, sous juridiction européenne
Un cloud privé souverain héberge vos données sur des datacenters européens (France, pays de l’UE). Aucune exposition au CLOUD Act. Conformité DORA article 5.
Maîtrise complète de l’infrastructure
Avec un cloud privé OpenNebula :
- Vous contrôlez les accès et les privilèges (IAM granulaire)
- Vous conservez les clés de chiffrement (HYOK — Hold Your Own Key)
- Vous auditez chaque composant (100 % open source)
- Vous documentez la chaîne d’approvisionnement logicielle
Tests de résilience intégrés
Un cloud privé avec architecture multi-site et disaster recovery permet :
- Basculement automatique entre sites (RTO < 4 heures)
- Tests de reprise documentés et reproductibles
- PRA et PCA conformes aux exigences DORA
- TLPT facilités par la maîtrise totale de l’infrastructure
Réversibilité garantie
Contrairement au cloud public où la sortie est complexe et coûteuse, un cloud privé open source garantit :
- Standard de facto (OpenNebula, Kubernetes, Terraform)
- Export de vos données à tout moment, sans frais de sortie
- Pas de vendor lock-in
- Documentation de la stratégie de sortie dès le contrat initial
DORA × NIS2 × RGPD : convergence réglementaire
Si vous opérez dans le secteur financier, vous êtes probablement soumis à la fois à DORA, NIS2 et RGPD. La bonne nouvelle : les trois cadres sont convergents.
| Obligation | DORA | NIS2 | RGPD |
|---|---|---|---|
| Notification d’incidents | 4h / 72h / 1 mois | 24h / 72h / 1 mois | 72h |
| Gestion des risques ICT | Art. 5-16 | Art. 21 | Art. 32 |
| Chiffrement | Art. 9 | Art. 21.2.c | Art. 32.1.a |
| Fournisseurs ICT | Art. 28-44 | Art. 21.2.d | Art. 28 |
| Tests de résilience | TLPT obligatoire | Recommandé | Non |
| Sanctions | 1 % CA journalié | 10 M€ / 2 % CA | 20 M€ / 4 % CA |
Stratégie : soyez conforme DORA. Vous serez automatiquement conforme NIS2 pour les exigences ICT. Le RGPD se superpose naturellement pour la protection des données personnelles.
L’approche Cloud Inspire pour DORA
Audit DORA (5 000 €)
Gap analysis complète couvrant les 5 piliers + plan d’action priorisé. Remis sous 5 jours ouvrés.
Cloud & AI Factory — BUILD
- Cloud privé OpenNebula sur datacenters certifiés en France et en Côte d’Ivoire
- Architecture multi-site avec disaster recovery (RTO 4h, RPO 15 min)
- 100 % open source : auditabilité complète de la chaîne d’approvisionnement
- Chiffrement HYOK : vous seul contrôlez vos clés
ZAK — SECURE
- SIEM souverain Wazuh avec 500+ règles de détection
- Triage automatique de 70 % des alertes pour respecter le délai de 4h
- Conformité DORA, NIS2, RGPD et BCEAO par défaut
- Rapports de conformité automatisés pour les autorités de supervision
RUN — MCO
- Monitoring 24/7 avec alertes structurées pour le signalement d’incidents
- Patching continu et vérifié (runbook as code)
- Runbooks documentés pour chaque procédure de résilience
- Conservation des logs ≥ 12 mois (Wazuh + Loki + stockage objet)
Checklist DORA pour DSI bancaire
Gouvernance et risques ICT
- Cadre de gestion des risques ICT approuvé par le conseil d’administration
- Cartographie des fonctions ICT critiques et des systèmes d’information associés
- Classification des actifs ICT selon leur criticité
- Politique de gestion des risques ICT documentée et mise à jour annuellement
Incidents ICT
- Procédure de gestion des incidents ICT (délais : 4h / 72h / 1 mois)
- Classification des incidents selon leur sévérité
- Registre des incidents avec analyse des causes profondes
- Processus de notification à l’autorité de supervision (ACPR/EBA)
Tests de résilience
- Programme de tests de résilience documenté
- Tests de pénétration annuels au minimum
- TLPT pour les entités systémiques (si applicable)
- Rapports de tests transmis aux autorités
Fournisseurs ICT tiers
- Registre des fournisseurs ICT avec évaluation des risques
- Clauses contractuelles DORA avec chaque fournisseur ICT critique
- Stratégie de sortie documentée pour chaque fournisseur
- Audit de sécurité des fournisseurs au minimum annuel
Continuité d’activité
- Plan de continuité d’activité ICT testé
- Plan de reprise d’activité (PRA) avec RTO/RPO mesurés
- Architecture multi-site avec basculement automatisé
- Exercices de crise et simulations annuelles
Démarrer votre mise en conformité DORA
Un architecte Cloud Inspire réalise un diagnostic de votre conformité DORA en 5 jours. Identifiez les gaps, calculez le coût de la non-conformité, et obtenez un plan d’action priorisé.