Le Digital Operational Resilience Act, connu sous l'acronyme DORA, est le règlement européen (EU) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Son nom complet en anglais — Digital Operational Resilience Act — est devenu la référence universelle même en France, tant dans les publications officielles des régulateurs que dans les communications internes des établissements financiers.
Définition : Qu'est-ce que le Digital Operational Resilience Act ?
Le Digital Operational Resilience Act est un règlement européen qui établit des exigences uniformes pour la résilience opérationnelle numérique du secteur financier de l'Union européenne. Il vise à garantir que les entités financières peuvent résister, répondre et se rétablir de tous types de perturbations et de menaces liées aux technologies de l'information et de la communication (TIC). En français, on peut le traduire par 'Loi sur la résilience opérationnelle numérique', mais la dénomination anglaise DORA est universellement utilisée.
Les Cinq Piliers du Digital Operational Resilience Act
DORA repose sur cinq piliers fondamentaux. Le premier est la gestion des risques TIC : chaque entité financière doit disposer d'un cadre robuste de gouvernance et de gestion des risques technologiques. Le deuxième est la gestion des incidents : notification obligatoire aux autorités des incidents majeurs dans des délais stricts. Le troisième est le test de résilience : exercices réguliers pour éprouver la résistance des systèmes, incluant des tests de pénétration avancés (TLPT). Le quatrième est la gestion du risque tiers : supervision renforcée des prestataires technologiques critiques. Le cinquième est le partage d'informations : mécanismes pour partager les renseignements sur les cybermenaces entre acteurs du secteur.
À Qui S'adresse le Digital Operational Resilience Act ?
Le Digital Operational Resilience Act s'adresse à plus de 22 000 entités financières dans l'Union européenne. Il couvre les banques, les établissements de paiement, les établissements de monnaie électronique, les entreprises d'investissement, les gestionnaires de fonds, les compagnies d'assurance et de réassurance, les contreparties centrales, les dépositaires centraux, les référentiels centraux, les plateformes de négociation, et les prestataires de services de crypto-actifs agréés.
Pourquoi le Mot 'Résilience Opérationnelle Numérique' ?
Le terme 'résilience opérationnelle numérique' est central dans la philosophie du règlement. 'Opérationnelle' signifie que l'objectif n'est pas seulement la sécurité technique mais la capacité à maintenir les opérations critiques en cas d'incident. 'Numérique' reflète la reconnaissance que la quasi-totalité des processus financiers repose désormais sur des systèmes informatiques. Le Digital Operational Resilience Act part du principe que les incidents TIC sont inévitables et que la vraie question est la capacité à y faire face.
Différence avec la Cybersécurité Classique
Le Digital Operational Resilience Act va au-delà de la cybersécurité traditionnelle. Là où la cybersécurité se concentre sur la prévention des attaques, DORA impose une approche de résilience complète : prévention + détection + réponse + rétablissement + apprentissage. L'article 6 impose explicitement un cycle d'amélioration continue. DORA reconnaît aussi que les risques ne viennent pas uniquement de cyberattaques mais aussi de pannes techniques, d'erreurs humaines et de défaillances de prestataires.
Calendrier de Mise en Œuvre
Le Digital Operational Resilience Act a été adopté le 14 décembre 2022. Un délai d'application de 24 mois a été accordé, portant la date d'entrée en vigueur effective au 17 janvier 2025. Les normes techniques réglementaires (RTS) et d'exécution (ITS) ont été publiées en plusieurs vagues entre 2023 et 2024 par l'EBA, l'EIOPA et l'ESMA. Les premiers rapports de surveillance par les autorités nationales compétentes sont attendus pour 2026.
Conclusion
Le Digital Operational Resilience Act représente une rupture paradigmatique dans la réglementation financière européenne : pour la première fois, la résilience numérique est traitée comme un enjeu systémique, avec des exigences uniformes, contraignantes et supervisées au niveau européen. Comprendre DORA dans sa complétude — et pas seulement ses obligations formelles — est indispensable pour toute entité financière opérant dans l'Union européenne.
Questions fréquentes
Quelle est la traduction française du Digital Operational Resilience Act ?
La traduction officielle en français est 'règlement sur la résilience opérationnelle numérique du secteur financier'. En pratique, l'acronyme anglais DORA et la dénomination anglaise Digital Operational Resilience Act sont universellement utilisés, y compris par les régulateurs français comme l'ACPR et l'AMF.
Le Digital Operational Resilience Act est-il obligatoire en France ?
Oui. En tant que règlement européen (EU) 2022/2554, le Digital Operational Resilience Act est d'application directe en France depuis le 17 janvier 2025, sans nécessiter de transposition en droit national.