Le DORA, pour Digital Operational Resilience Act, est un règlement européen qui entre en vigueur début 2025. Il impose à toutes les entreprises du secteur financier (banques, assurances, fintechs, PSAN, etc.) de garantir une résilience numérique forte face aux cybermenaces et aux incidents opérationnels.

En clair ? Il ne suffit plus de sécuriser : il faut prouver qu’on est prêt à encaisser un choc numérique, sans perturber ses services.

• Banques, assurances, établissements de crédit

• Fintechs, prestataires de services de paiement

• Gestionnaires d’actifs, fonds d’investissement

• PSAN (prestataires de services sur actifs numériques)

• Fournisseurs de services TIC critiques (cloud, prestataires IT)

1. Gouvernance claire de la cybersécurité

2. Gestion des risques liés aux TIC

3. Journalisation et reporting des incidents

4. Tests de résilience (y compris tests d’intrusion avancés)

5. Contrôle des prestataires externes critiques

Chaque organisation devra prouver qu’elle est capable d’anticiper, de détecter, de résister et de se rétablir face à une crise numérique.

• Les tests de résilience avancés (threat-led penetration testing, test en production suivant l’organisation du TIBER-EU)

• Le pilotage des prestataires IT critiques

• L’obligation de reporting rapide aux autorités européennes