< Back
Dora-protection-conforme

Tags:

Ercom Protect Secure mobility and collaboration
09 septembre 2025

DORA : quelles sont les briques de protection à déployer pour être conforme ?

Découvrez à travers cet article, quelles sont les briques de protection à déployer pour être conforme 

 

Les organisations financières ont 300 fois plus de chances d’être prises pour cible par des cyberattaques que celles d’autres secteurs d’activité, d’après un rapport du  Boston Consulting Group . En 2023, 77 % d’entre elles  déclaraient avoir subi au moins une cyberattaque. L’année suivante, 18,2 % de  toutes les attaques numériques recensées en Europe ont visé les secteurs finance et assurance.  


Dans ce contexte marqué par un niveau de menace sans précédent, les entreprises du secteur financier doivent impérativement accroître leur niveau de cybersécurité. C’est pourquoi l’Union européenne a élaboré la réglementation DORA (Digital Operational Resilience Act), dont l’application est devenue obligatoire depuis le mois de janvier 2025.

Quels sont les principes et les obligations de ce cadre réglementaire ? 


Les grands principes de la réglementation DORA

La réglementation DORA a pour objectif de renforcer la résilience opérationnelle numérique des organisations financières en Europe. Elle s’applique à la fois aux banques, sociétés d’investissement, organismes de paiement, assureurs, entreprises de monnaie électronique, mais aussi aux fournisseurs de services TIC (Technologies de l'information et de la communication) considérés comme critiques dans le domaine des services financiers : un grand nombre de fintech est ainsi concerné. Parmi elles, les banques représentent 46% des attaques qui visent les organisations financières .

Pour protéger ces structures, DORA repose sur 5 grands piliers : 

  • La gestion des risques liés aux TIC : les entités financières sont tenues de mettre en place une stratégie globale de gestion des risques numériques. Cette stratégie doit comprendre la mise en place d’une gouvernance et d’un cadre de contrôle interne pour gérer efficacement les risques. Un autre aspect essentiel réside dans le déploiement de mécanismes de protection et de prévention des cybermenaces.
  • La gestion, classification et notification des incidents : DORA prévoit la mise en place de processus et d’outils de détection, de gestion et de réponse aux incidents. Une classification standardisée des incidents doit être définie, et chaque incident majeur doit faire l’objet d’une notification aux autorités.
  • Les tests de résilience opérationnelle numérique : ceux-ci ont vocation à évaluer dans des conditions proches du réel la capacité de l’entreprise à se relever rapidement en cas de cyberattaque. Il s’agit d’éprouver la fiabilité du plan de reprise d’activité, de mener des tests de pénétration ou encore d’identifier les vulnérabilités susceptibles de compromettre la continuité des opérations.
  • La gestion des risques liés aux prestataires tiers de services TIC : afin d’éviter les attaques par rebond, DORA impose aux organisations financières de ne collaborer qu’avec des partenaires pouvant garantir un haut niveau de sécurité. Cette exigence doit être contractualisée, et vérifiée par le biais d’audits de cybersécurité.

  • Les dispositifs de partage d’information : cet aspect de la réglementation a pour but de faciliter et d’encourager la collaboration entre les autorités et les différents acteurs du secteur financier en matière de partage d’informations sur les menaces, les modes opératoires, les vulnérabilités, les données des fraudeurs, ou encore les bonnes pratiques pour se protéger des attaques.

     

La protection des données au cœur de la conformité DORA

La réglementation DORA met particulièrement l’accent sur la protection des données. Selon le texte de loi, la disponibilité, l’authenticité, l’intégrité et la confidentialité des informations doivent être garanties en toutes circonstances par les entités financières.

Dès lors, la conformité à DORA passe par l’adoption de plusieurs briques de protection comme : 
 

  • Le chiffrement de bout-en-bout, afin que les données (qu’elles soient en transit ou au repos) ne puissent être consultées que par les personnes autorisées.
  • Une authentification forte, à l’instar de la double authentification, pour vérifier la légitimité de chaque tentative d’accès aux données et vérifier l’identité de la personne en étant à l’origine.
  • Le principe du moindre privilège, qui permet de garantir que seuls les individus ayant réellement besoin de consulter la donnée puissent y accéder. La confidentialité des données les plus sensibles est ainsi renforcée.
  • La protection des communications par un VPN, qui crée un tunnel chiffré pour garantir l’intégrité et la confidentialité des données.
  • La sécurisation des terminaux mobiles, qui constituent trop souvent un point d’entrée pour les cybercriminels, afin de préserver la confidentialité des appels, des SMS et des données internet.

En tant que DSI ou RSSI, la mise en place de ces dispositifs est une étape essentielle pour remplir l’obligation de protection des données telle qu’elle est décrite par la réglementation DORA. L’adoption de solutions certifiées par l’ANSSI pour chacune de ces briques facilitera votre travail de mise en conformité.

En savoir plus sur ce sujet

Is your organisation ready for a security incident? bg

Votre organisation est-elle prête pour un incident de sécurité ?
ANSSI-AI bg

À quoi correspondent les différentes qualifications/certifications de l’ANSSI ?
souveraineté-données-entreprises-solutions bg

Assurer la souveraineté des données : Stratégies et solutions pour les entreprises