Conformite DORA
Digital Operational Resilience Act — Reglement (UE) 2022/2554
Derniere mise a jour : 28 avril 2026
1. Le reglement DORA en bref
DORA (Digital Operational Resilience Act) est entre en application le 17 janvier 2025. Il harmonise les exigences de cyber-resilience operationnelle pour 22 000+ entites financieres europeennes : etablissements de credit, entreprises d'investissement, assureurs, gestionnaires d'actifs, prestataires de services de crypto-actifs, et leurs prestataires ICT critiques.
Le reglement compte 41 articles structures autour de 5 piliers, et est complete par des Regulatory Technical Standards (RTS) et Implementing Technical Standards (ITS) elabores par l'ABE, l'AEAPP et l'AEMF.
2. Les 5 piliers DORA et la couverture ResilienceCore
Gouvernance & gestion du risque ICT
Cadre de gouvernance, identification, protection, detection, reponse et retablissement.
Gestion, classification & reporting d'incidents
Processus de detection, classification, notification initiale (24h), intermediaire (72h) et finale (1 mois).
Tests de resilience operationnelle digitale
Programme de tests, evaluation des vulnerabilites, threat-led penetration testing (TLPT).
Gestion du risque tiers ICT
Registre fournisseurs, due diligence, clauses contractuelles obligatoires, exit plans, concentration.
Partage d'information sur les cyber-menaces
Echange volontaire d'IOC et de TTPs entre entites financieres dans un cadre de confiance.
3. Mapping articles DORA → modules ResilienceCore
| Article | Sujet | Module |
|---|---|---|
| Art. 5 | Gouvernance ICT | /compliance |
| Art. 6-8 | Cadre de risque ICT | /risks |
| Art. 9-10 | Protection / Detection | /applications |
| Art. 11-12 | Reponse & retablissement | /plans |
| Art. 13 | Apprentissage & evolution | /dora-training |
| Art. 14 | Communication de crise | /crisis |
| Art. 15 | Harmonisation outils | /settings/integrations |
| Art. 17 | Processus incidents | /incidents |
| Art. 18 | Classification | /incidents |
| Art. 19 | Notification regulateur | /dora-declarations |
| Art. 24-26 | Tests & TLPT | /tlpt |
| Art. 28 | Registre tiers ICT | /risks/vendors |
| Art. 29 | Concentration | /risks/vendors |
| Art. 30 | Clauses contractuelles | /risks/vendors |
| Art. 45 | Partage de menaces | /benchmark |
4. Notification d'incident majeur (Art. 19)
ResilienceCore embarque un assistant DORA Art.19 4-etapes (/dora-declarations) qui couvre les trois fenetres reglementaires :
- Notification initiale — sous 24h apres classification de l'incident comme majeur (12 champs minimum).
- Notification intermediaire — sous 72h, mise a jour de la situation, des impacts et du perimetre (23 champs).
- Notification finale — sous 1 mois, root cause, lecons apprises, mesures de prevention (32 champs).
Les soumissions sont signees, archivees, exportees au format XBRL et tracees dans un audit trail SHA-256 conforme aux exigences de tracabilite du regulateur.
5. Engagement contractuel ResilienceCore (Art. 30)
En tant que prestataire ICT (au sens de l'Art. 28), ResilienceCore integre dans ses contrats clients les clauses obligatoires de l'Art. 30 :
- Description complete et exhaustive des services
- Localisation des donnees et traitements (UE) avec preavis en cas de changement
- SLA de disponibilite, de continuite et de securite
- Droits d'audit et d'acces aux installations
- Cooperation avec les autorites competentes (ABE, AEAPP, AEMF, ACPR)
- Strategies de sortie (exit plan) et reversibilite des donnees
- Notification d'incident affectant les services fournis
- Sous-traitance ICT — chaine de fournisseurs critique identifiee
6. Aller plus loin
Si vous etes deja client, retrouvez l'ensemble de votre conformite DORA dans votre tableau de bord ou directement sur /compliance. Pour une demande commerciale, un audit ou une demonstration, contactez-nous via /contact.
Cette page a un caractere informatif. Elle ne se substitue pas au texte officiel du Reglement (UE) 2022/2554 ni aux RTS/ITS publies par les autorites europeennes de surveillance.