DORA : le cadre Européen de Résilience Opérationnelle

Le secteur financier (banques, assureurs, mutuelles, réassureurs, intermédiaires en assurance, sociétés de gestion, infrastructures de marché et désormais prestataires TIC considérés comme critiques) est devenu un écosystème numérique dense, interconnecté, et largement dépendant de prestataires externes. Une panne de cloud, une attaque sur un fournisseur logiciel, une faille dans un service critique : en quelques minutes, un incident local peut désormais avoir des conséquences systémiques.

C’est dans ce contexte que l’Union européenne a créé DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, un point essentiel car les exigences sont désormais en vigueur. Une réglementation qui ne cherche pas seulement à renforcer la cybersécurité, mais à garantir que les organisations restent opérationnelles, même lorsque leurs technologies vacillent.

DORA exige davantage de maîtrise, de visibilité et de cohérence dans la manière dont les organisations pilotent leurs opérations numériques au sens large : systèmes d’information, processus critiques, dépendances externes, gestion du risque et capacité de réponse aux incidents.
Ce que DORA change en profondeur, c’est la nécessité de considérer l’ensemble de l’organisation numérique comme un système vivant, interdépendant et stratégique, dont la maîtrise conditionne directement la résilience de l’entreprise.

Dans cette nouvelle logique, la cartographie et l’architecture d’entreprise prennent une place centrale. Elles permettent de rendre visibles les dépendances, d’expliquer les risques et de structurer la gouvernance numérique.

DORA : Le Nouveau Contrat de Résilience Numérique

Pourquoi DORA ? Une réponse à un risque devenu systémique

Avec la généralisation du cloud, l’explosion des services SaaS et l’interconnexion croissante des acteurs financiers, le système bancaire européen dépend aujourd’hui d’un nombre croissant de prestataires critiques. Cette hyper-dépendance crée une vulnérabilité structurelle : une panne chez un fournisseur majeur peut, en quelques minutes, affecter des dizaines d’institutions.

C’est exactement ce que souligne l’AMF : les prestataires TIC deviennent désormais des maillons centraux de la stabilité financière. DORA est donc conçu comme un filet de sécurité : un cadre homogène à l’échelle européenne pour éviter les effets domino et renforcer la résilience opérationnelle des acteurs financiers.

Adopté fin 2022 (règlement UE 2022/2554) et applicable depuis janvier 2025, DORA s’inscrit dans un mouvement plus large de régulation du risque numérique en Europe. Aux côtés de NIS2, du RGPD ou d’ISO 27001, il constitue la première réponse spécifiquement dédiée à la résilience opérationnelle du secteur financier, avec un niveau d’exigence homogène et contraignant pour l’ensemble des acteurs concernés.

Un changement de paradigme : de la cybersécurité à la résilience

DORA ne se contente pas d’imposer davantage de contrôles : il change la manière d’appréhender le risque.

On passe d’une logique centrée sur la protection (empêcher l’incident) à une logique centrée sur la résilience (continuer à fonctionner malgré l’incident).

Cette vision implique :

• une preuve vivante de la maîtrise du SI,
• des cartographies à jour,
• un registre des informations TIC complet et gouverné,
• des plans de tests réguliers (dont TLPT),
• une gouvernance continue plutôt qu’un audit ponctuel.

En d’autres termes : la résilience devient une compétence opérationnelle, et non plus un simple objectif de conformité.

Un périmètre large… et une convergence réglementaire

DORA s’applique à l’ensemble des acteurs financiers : banques, assurances, sociétés de gestion, infrastructures de marché, prestataires de services crypto, etc.

Mais sa portée va plus loin : les prestataires TIC jugés critiques tombent eux aussi sous son influence, car leur maîtrise conditionne directement la résilience de leurs clients.

DORA ne vit pas en silo. Il s’articule avec :

• NIS2, qui couvre un périmètre sectoriel beaucoup plus large (énergie, santé, transport, eau, numérique…), centré principalement sur la cybersécurité ;
• RGPD, qui traite de la donnée personnelle ;
• ISO 27001, qui encadre la gestion du risque ;
• et d’autres directives européennes sur la sécurité numérique.

Cette distinction est majeure : NIS2 protège ; DORA garantit que l’on continue de fonctionner.

Les cinq piliers DORA : une architecture de résilience

DORA va bien au-delà d’un simple cadre d’exigences : il établit une véritable architecture de résilience, pensée pour structurer durablement la maîtrise des risques numériques et opérationnels.

L’AMF le rappelle très clairement : « les entités doivent démontrer la capacité à résister, réagir et se remettre des incidents liés aux TIC ». (source: AMF)

Cette logique repose sur cinq piliers, tous interdépendants.

1. Gestion du risque TIC : un cadre structuré

DORA impose un cadre formalisé de gestion du risque TIC.

Selon l’AEIP, « la gestion du risque doit couvrir l’ensemble du cycle de vie des actifs numériques et leurs dépendances ». (source: AEIP)

Cela inclut :

• l’identification et l’évaluation des risques,
• la définition des responsabilités,
• des mécanismes de prévention et de remédiation.

Ce pilier demande une vision systémique, pas un inventaire technique dispersé dans des fichiers Excel.

2. Gestion des incidents : détecter, classer, notifier

L’AMF précise que les entités doivent « détecter rapidement les incidents majeurs, les classer selon une taxonomie harmonisée et notifier les autorités compétentes ».

L’esprit est simple : réagir vite, documenter bien, et apprendre de chaque incident.

3. Tests de résilience : passer de la théorie à la preuve

DORA exige des tests réguliers, dont, pour certains acteurs, des TLPT (Threat-Led Penetration Testing).

EUR-Lex souligne que ces tests doivent être « menés par des équipes qualifiées et viser à reproduire des attaques réalistes ». (source : règlement UE 2022/2554)

L’objectif : prouver sa résilience, et non plus la déclarer.

4. Gestion des prestataires tiers : rester responsable

DORA rappelle une règle simple : externaliser n’exonère pas de la responsabilité. Les établissements doivent connaître leurs fournisseurs, surveiller leur niveau de risque, analyser les concentrations et disposer de plans de sortie crédibles — un enjeu crucial dans un paysage dominé par quelques acteurs cloud.

Mais la véritable évolution apportée par DORA tient à la notion de propagation du risque.
Un prestataire critique peut lui-même dépendre d’autres services ou sous-traitants : une défaillance n’importe où dans cette chaîne peut affecter l’établissement financier.

C’est pourquoi DORA impose une double exigence :

• maîtriser ses prestataires,
• s’assurer que ces prestataires maîtrisent leurs propres dépendances.

Les fournisseurs TIC considérés comme critiques deviennent d’ailleurs directement soumis à DORA, avec leurs propres obligations de résilience et de transparence.

La résilience ne se joue plus au niveau d’une seule entité : elle doit être évaluée à l’échelle de tout l’écosystème numérique.

5. Partage d’information : la résilience collective

DORA encourage les institutions à échanger des informations sur les menaces et incidents pour renforcer la résilience sectorielle.

L’AEIP parle même de « coopération opérationnelle nécessaire face à l’évolution rapide des risques ».

En somme, DORA « complète les exigences existantes en introduisant une résilience opérationnelle numérique couvrant le fonctionnement complet des entités financières ».

Ce n’est pas un PCA/PRA plus strict : c’est une vision end-to-end du SI, incluant fonctions critiques liées aux TIC, dépendances applicatives, tiers critiques et scénarios cyber.

DORA ne demande pas seulement de continuer à fonctionner : il demande de comprendre comment on fonctionne.

L’Architecture d’Entreprise : un moteur de la preuve DORA

S’il y a une conviction que DORA rend incontournable, c’est celle-ci : on ne peut pas démontrer sa résilience sans comprendre intimement son système d’information.

Et cette compréhension passe par une Architecture d’Entreprise vivante, capable de donner une vision claire des mécanismes internes qui permettent à l’activité de tenir debout.

L’AE comme socle de la vision systémique

DORA demande une traçabilité fine des chaînes qui relient les capacités métiers, les processus, les applications, les données, les infrastructures, les prestataires externes et les risques associés.

L’AMF insiste d’ailleurs sur la nécessité d’une « connaissance précise des fonctions critiques et de leurs dépendances », un point impossible à satisfaire avec des inventaires épars ou des schémas statiques.

L’Architecture d’Entreprise apporte cette structure : un modèle cohérent qui raccorde chaque pièce du SI à son rôle, à ses interactions et à son importance opérationnelle.

La cartographie vivante : rendre visible, explicable et démontrable

Avec DORA, la cartographie traditionnelle n’a plus d’utilité.

L’exigence porte sur une cartographie vivante, centralisée, mise à jour en continu et capable d’être expliquée. Montrer ce qui se passe lorsqu’une application tombe, comment une fonction critique liée aux TIC dépend d’un fournisseur cloud, ou quelle donnée sensible circule dans un flux.

Cette capacité à raconter le fonctionnement réel du système constitue la “preuve vivante” attendue par DORA.

Pourquoi Boldo devient un accélérateur naturel de conformité

La plateforme permet de modéliser rapidement les fonctions, processus et applications, puis de faire émerger automatiquement un registre des informations TIC cohérent.

Dépendances lisibles, vues d’impact, scénarios simulés : les équipes peuvent démontrer facilement leur maîtrise du SI. La conformité devient le résultat naturel d’une architecture structurée.

Conclusion : transformer la conformité en avantage stratégique

DORA n’est pas seulement un texte : c’est une occasion de remettre à plat la manière dont l’entreprise comprend, structure et pilote son système d’information. Bien utilisée, cette démarche devient un levier stratégique pour le Comex comme pour la DSI.

Mais l’impact le plus profond est culturel : DORA impose un langage commun, une clarté nouvelle, une gouvernance partagée.

C’est précisément dans cette perspective que s’inscrit notre article: Transformer DORA & NIS2 en avantage compétitif durable

Avec Boldo, cette transformation devient concrète : une architecture vivante, collaborative et compréhensible qui permet de répondre aux exigences DORA tout en créant de la valeur durable.