Les cybermenaces évoluent rapidement, portées par la technologie, comme tout le reste dans notre monde de plus en plus numérique. La donnée étant la ressource la plus précieuse, il n’est pas étonnant que les gouvernements établissent des règles toujours plus strictes en matière de sécurité des TIC (Technologies de l’Information et de la Communication) et de protection des données. Le Digital Operational Resilience Act, ou DORA, est le récent ensemble de réglementations de l’UE relatif à la gestion des risques TIC par les entités financières.
Dans cet article consacré à la checklist de conformité DORA, nous vous expliquons précisément en quoi consistent ces exigences de sécurité, qui doit s’y conformer et comment vous pouvez garantir cette conformité, que vous dirigiez une entreprise liée à la finance ou que vous soyez partenaire d’une telle entreprise.
Le guide ci-dessous, rédigé par nos experts en tests avec l’assistance du département juridique, explique les parties les plus denses de la réglementation. Nous avons voulu nous assurer que des personnes sans connaissance experte du jargon juridique puissent comprendre facilement ce que la loi attend d’elles. Si vous recherchez des réponses plus détaillées et personnalisées, nous proposons des services de conseil en conformité DORA pour vous aider à naviguer dans ces exigences.
Qu’est-ce que la conformité DORA et qui est concerné ?
DORA est un ensemble de réglementations couvrant la gestion des risques TIC (y compris les interactions avec les fournisseurs tiers), les tests de résilience opérationnelle et le signalement des incidents TIC pour les entités financières opérant dans l’UE. À noter immédiatement que les différentes exigences DORA s’appliquent non seulement aux institutions financières établies dans l’UE (banques, assureurs, prestataires de services blockchain et de paiement numérique), mais aussi à celles qui font affaire avec ces entités financières.
Un autre point important : DORA est entré en vigueur le 16 janvier 2023. Toutefois, la période de conformité obligatoire a débuté le 17 janvier 2025. Ce délai a pour but de laisser aux entreprises financières soumises à cette réglementation le temps de se préparer. Cependant, selon le Directeur de la confidentialité de Cisco, Harvey Jang, loin d’être prêts, la plupart des acteurs peinent encore à respecter ces réglementations d’une grande complexité. La bonne nouvelle, c’est que s’associer à une équipe expérimentée peut guider votre entreprise à travers les changements nécessaires pour devenir conforme.
Pour une compréhension plus large des réglementations actuelles de l’UE pour les entités financières, consultez notre présentation de DORA, MiCA et DAC8. Cela vous aidera à comprendre où votre entreprise doit se positionner en matière de sécurité des données lors du traitement de transactions financières dans l’UE.
Checklist de conformité DORA expliquée étape par étape
Tout d’abord, expliquons précisément ce que signifie la « conformité DORA », afin que vous puissiez évaluer si votre entreprise est conforme à tous les niveaux. Ce terme signifie que vous êtes en mesure de démontrer objectivement à une autorité compétente et à des auditeurs que votre système d’exploitation de bout en bout pour la résilience numérique couvre :
- La gestion des risques TIC (PCA/DR, gouvernance, contrôles, surveillance, politiques)
- Le signalement des incidents TIC (classification, modèles de signalement, délais réglementaires)
- Les tests de résilience opérationnelle numérique (tests de base pour tous, tests avancés le cas échéant)
- La gestion des risques liés aux tiers TIC (cycle de vie de l’externalisation, clauses contractuelles, risques de concentration)
- Les dispositifs de partage d’informations (volontaires et encadrés)
Nous avons fourni une explication plus détaillée de chaque point dans notre article sur les exigences de la réglementation DORA, n’hésitez pas à le consulter. Vous trouverez ci-dessous une liste de questions de base pour vous aider à effectuer une évaluation préliminaire de votre conformité DORA. Y répondre vous permettra de déterminer si vous avez besoin d’une assistance professionnelle pour un audit approfondi ou des tests automatisés.
1. DORA s’applique-t-il à notre entreprise ?
La première étape consiste à vérifier si votre entreprise ou organisation doit effectivement garantir la conformité DORA. La liste générale des entités financières auxquelles DORA s’applique comprend :
- Les banques
- Les prestataires de services de paiement
- Les prestataires de monnaie électronique
- Les entités de gestion d’investissements
- Les assureurs
- Les prestataires de services sur crypto-actifs
- Les intermédiaires pour les opérations financières
Comme mentionné précédemment, DORA est extrêmement complexe. Pour être certain à 100 % qu’elle s’applique à votre entreprise et dans quelle mesure, vous devrez soit analyser l’article 2 du règlement, soit consulter un expert juridique. Cela vous aidera également à comprendre le principe de proportionnalité dans l’application de DORA à votre entreprise. En d’autres termes, la taille, la spécialisation et les domaines d’activité de votre entreprise détermineront l’étendue des contrôles que vous devrez mettre en place. Par exemple, pensez-y comme à l’adaptation des bonnes pratiques DevOps à la complexité du système, plutôt qu’à une simple reproduction des processus à plus grande échelle.
À ce stade de la vérification de la conformité DORA, les régulateurs s’attendront à voir :
- Une décision documentée expliquant pourquoi vous entrez dans le champ d’application du règlement
- Une brève explication de la manière dont vous avez évalué la taille et la complexité de l’entreprise
- La preuve que la proportionnalité est appliquée de manière cohérente
2. Qui est responsable et comment assurez-vous la surveillance ?
Une part essentielle du respect des exigences de conformité DORA est de tenir la direction générale directement responsable de la gestion de la résilience technologique, comme elle le serait pour tout autre risque majeur de l’entreprise. Les auditeurs s’attendront à voir une documentation claire précisant :
- Qui est responsable de la gestion de la conformité DORA
- Qui supervise les risques TIC
- Qui valide les contrôles de manière indépendante
- Le cadre de gestion des risques TIC approuvé, définissant les appétits pour le risque, les temps d’arrêt acceptables et les seuils de rétablissement
- Une propriété clairement définie des systèmes qui soutiennent les fonctions critiques
- Les processus de tests de performance DevOps garantissant que les déploiements fréquents ne contournent pas la surveillance des risques
3. Quelles technologies utilisons-nous et quels processus en dépendent ?
Pour démontrer votre résilience opérationnelle, vous devez avoir une compréhension claire de vos opérations. Cela signifie que vous devez disposer d’un inventaire détaillé comprenant :
- Les applications : systèmes de base, solutions SaaS, logiciels internes
- Les entrepôts de données : bases de données, systèmes de fichiers
- L’infrastructure : serveurs, réseaux, ressources cloud
- Les comptes à privilèges : accès administrateur
- Les dépendances : qu’est-ce qui est affecté en cas de défaillance ?
- Les services TIC : tous ceux qui soutiennent les fonctions critiques
Les régulateurs inspecteront l’inventaire complet, ainsi que les schémas d’architecture et de dépendances, et les cartographies des flux de données. Globalement, vous devez démontrer des liens clairs entre tous les systèmes et les fonctions de l’entreprise.
4. Quels risques pourraient survenir et comment les prévenir ?
Votre checklist de conformité DORA personnelle doit inclure une analyse détaillée des risques technologiques et des plans pour traiter chaque point. La conformité DORA exige que vous évaluiez les risques TIC selon quatre dimensions :
- Confidentialité
- Disponibilité
- Intégrité
- Authenticité
Les régulateurs s’attendront à ce que vous fournissiez des contrôles spécifiques pour chaque scénario de risque. Il est donc essentiel de disposer d’un processus de collecte et de stockage de données concrètes, telles que les métriques de performance DevOps et les journaux de surveillance des accès. Vous devez fournir aux auditeurs des preuves mesurables pour démontrer votre conformité DORA.
Les métriques courantes comprennent :
- La disponibilité des systèmes
- Le délai moyen de rétablissement (MTTR)
- Les taux d’échec des déploiements
- Les taux de succès des sauvegardes
- La fréquence des incidents
La mise en place de tests de sécurité réguliers vous permettra de collecter les données pertinentes et d’identifier les tendances que les auditeurs pourront inspecter.
5. Nos contrôles sont-ils efficaces en conditions réelles ?
Il est bien sûr essentiel de disposer de politiques couvrant le pipeline de déploiement et la livraison continue, ainsi que les bonnes pratiques DevOps. Cependant, les auditeurs de conformité DORA exigeront non seulement la documentation de votre entreprise, mais aussi la preuve tangible que les contrôles des risques TIC que vous utilisez sont actifs et efficaces. Ils s’attendront à voir :
- Un état complet des contrôles d’accès
- Les pratiques de journalisation et de surveillance des incidents (les journaux doivent être inclus)
- La gestion des changements de systèmes (y compris les pipelines d’approbation et les journaux du taux d’échec des changements)
- La stabilité des systèmes, les configurations de sécurité et leur mode de surveillance
- Les pratiques de sauvegarde avec un détail complet de la manière dont les sauvegardes sont effectuées et testées
- Les plans de livraison continue et de reprise après sinistre (y compris les métriques de performance DevOps)
- Les exercices pratiques réalisés par le personnel pour démontrer qu’il sait quoi faire en cas de perturbation des performances informatiques
6. Comment détectons-nous, classifions-nous et signalons-nous les incidents en temps voulu ?
Selon la checklist de conformité DORA, il est désormais essentiel non seulement de gérer les incidents TIC en interne, mais aussi de signaler les cas majeurs aux régulateurs compétents. Vous devrez montrer aux auditeurs que vous disposez de :
- Des définitions claires de la gravité des incidents pour identifier les incidents « majeurs » nécessitant un signalement rapide
- Des systèmes d’alerte automatisés et d’escalade intégrés dans vos processus d’évaluation de la fiabilité logicielle
- Des runbooks couvrant la réponse aux incidents et le signalement réglementaire
- Un pipeline clairement défini précisant qui décide si l’incident doit être signalé, qui le signale et qui fournit les approbations nécessaires
7. Pouvons-nous résister aux perturbations réelles ?
Les vérifications de conformité sont bonnes et nécessaires, mais les métriques DORA exigent des tests réguliers de vos performances informatiques et de votre sécurité dans leur ensemble. Les tests de base que toute entreprise soumise à la conformité DORA doit effectuer régulièrement comprennent :
- Les analyses de vulnérabilités
- Les revues de configuration
- Les tests de sécurité SDLC
- Les exercices de simulation de réponse aux incidents
- Les tests de restauration des sauvegardes
Certaines des entités soumises à la réglementation DORA doivent également se soumettre régulièrement à des tests d’intrusion pilotés par la menace. Pour prouver aux régulateurs que vous gérez une entreprise performante qui place la sécurité au niveau DORA, vous devez leur fournir des plans de tests annuels, les résultats des tests et les activités de remédiation suivies. N’oubliez pas que vous devez concevoir ces plans de tests en tenant compte de votre fréquence de déploiement, conformément aux bonnes pratiques DevOps.
8. Nos fournisseurs posent-ils des risques supplémentaires ?
Selon les métriques DORA, les fournisseurs TIC font partie de votre surface de risque. Il est donc essentiel de gérer le risque qu’ils représentent et de l’intégrer dans votre stratégie globale de sécurité numérique. Voici comment procéder :
- Effectuer une diligence raisonnable et une évaluation des risques avant de signer le contrat.
- S’assurer que le fournisseur est informé et accepte de se conformer aux exigences nécessaires en matière de sécurité et de résilience.
- Organiser des évaluations régulières des performances et des incidents, mesurer les risques et adapter vos interactions en conséquence.
- Veiller à pouvoir rapidement changer de fournisseur ou mettre fin à votre relation commerciale sans compromettre votre sécurité.
- Maintenir un registre structuré des contrats d’externalisation TIC en utilisant les modèles imposés par l’UE.
Les auditeurs vérifieront tous les points ci-dessus, vous devez donc être prêt à fournir tous les documents nécessaires conformes aux réglementations de l’UE.
9. Que faire si nos prestataires sont classifiés comme « critiques » ?
Lorsque vous travaillez avec des prestataires TIC classifiés comme « critiques » au regard de la réglementation et de la surveillance de l’UE, vous devrez vous assurer de :
- Développer une stratégie et des processus pour gérer les risques de dépendance et de concentration.
- Disposer d’une stratégie solide pour gérer les risques propres à votre entreprise.
- Présenter aux auditeurs des plans de contingence et de sortie.
- Fournir une cartographie claire des dépendances, accompagnée d’explications sur les raisons pour lesquelles ces dépendances sont acceptables.
10. Pouvons-nous prouver notre conformité DORA à tout moment ?
L’objectif d’une checklist de conformité DORA est de vous assurer que vous pouvez prouver lors d’un audit que vous remplissez toutes les exigences nécessaires. Tout comme l’intégration et la livraison continues sont au cœur des bonnes pratiques DevOps, DORA est également un processus continu. Cela signifie que vous ne pouvez pas vous contenter d’assurer la conformité DORA une seule fois, de passer un audit et de l’oublier. Les tests et ajustements réguliers doivent faire partie de votre routine. C’est simplement une étape supplémentaire pour garantir la fiabilité de vos logiciels et la sécurité numérique globale.
Votre objectif du point de vue de la conformité est de maintenir un dossier de preuves solide, prêt à être présenté aux auditeurs à tout moment. Il doit inclure :
- La cartographie des contrôles aux exigences
- Des référentiels de preuves centralisés
- Des pistes d’audit (journaux, tickets, approbations)
- Les revues d’audit interne et le suivi des mesures correctives
Lors de l’évaluation de votre entreprise pour la conformité DORA, les régulateurs rechercheront la cohérence entre les politiques, les pratiques et les preuves. Vous le démontrez en effectuant des tests et des revues réguliers, des mises à jour cohérentes, et en documentant les activités de remédiation et leurs résultats.
Que se passe-t-il en cas de non-conformité ?
Parcourir une checklist de conformité DORA est un excellent point de départ. Cependant, si vous êtes sérieux dans votre démarche de conformité à des réglementations aussi complexes, vous aurez besoin d’une assistance professionnelle et d’au moins une consultation juridique. Les sanctions auxquelles vous pourriez faire face en cas de non-conformité seront déterminées par les États membres de l’UE au cas par cas.
Les sanctions peuvent aller d’administratives, telles que des déclarations publiques, à des poursuites pénales au titre de la législation nationale de l’État membre de l’UE. Comme il n’existe pas de système d’amende unique ou de pénalité à l’échelle de l’UE dans le cadre de DORA, chaque infraction et non-conformité est examinée et sanctionnée individuellement. Cependant, une chose est certaine : cela laissera une tache noire sur la réputation de votre entreprise. Dans le secteur financier, où être fiable et irréprochable est primordial, un tel manquement peut ruiner complètement une marque.
Comment QAwerk peut vous aider à assurer et maintenir la conformité DORA
Chez QAwerk, nous proposons une large gamme de services de tests, notamment des tests d’intrusion et même des tests blockchain spécialisés. Au cours de nos dix années d’activité, nous avons réalisé plus de 300 projets et aidé des entreprises du monde entier à identifier et à corriger leurs vulnérabilités.
En ce qui concerne la conformité DORA, nos équipes peuvent vous accompagner dans :
- La vérification des contrôles et l’ingénierie des preuves
- Les tests de résilience
- Les exercices de préparation aux incidents
- Les tests d’assurance des tiers
- Les tests de conformité continue
Nous travaillerons avec vous pour nous assurer que toutes vos défenses et vos mécanismes de signalement sont continuellement mis à jour pour répondre aux standards les plus élevés attendus des institutions financières et de leurs partenaires opérant dans l’UE. Contactez-nous dès aujourd’hui pour commencer votre parcours de conformité !