Tous les articles

DORA (Digital Operational Resilience Act) - Comment rester conforme ?

February 20, 2025
Le règlement DORA impose de nouvelles exigences aux entités financières de l'UE pour renforcer leur résilience opérationnelle numérique.

Le règlement DORA (Digital Operational Resilience Act) entrera en application le 17 janvier 2025, imposant de nouvelles exigences aux entités financières de l'UE pour renforcer leur résilience opérationnelle numérique. 

Calendrier clé

  • Entrée en vigueur : 16 janvier 2023
  • Date d'application : 17 janvier 2025

Qui est concerné ?

Ce règlement s'applique à une large gamme d'acteurs du secteur financier, sans exhaustivité, voici les principales catégories :

  • Établissements de crédit : Banques commerciales nationales, Banques coopératives et mutualistes, Banques en ligne, Établissements de crédit spécialisés
  • Entreprises d'investissement : Sociétés de courtage, Sociétés de trading, Entreprises de marché, Plateformes de négociation
  • Compagnies d'assurance : Assurances vie, Assurances dommages, Réassureurs, Mutuelles d'assurance
  • Infrastructures de marché : Bourses de valeurs, Chambres de compensation, Dépositaires centraux, Systèmes de règlement-livraison
  • Gestionnaires de fonds : Sociétés de gestion de portefeuille, Gestionnaires de fonds alternatifs, Gestionnaires d'OPCVM, Gestionnaires de capital-investissement
  • Fournisseurs de services crypto : Plateformes d'échange crypto-monnaies, Services de conservation d'actifs numériques, Émetteurs de stablecoins, Fournisseurs de portefeuilles numériques
  • Prestataires critiques TIC : Fournisseurs de cloud computing, Services d'hébergement de données, Prestataires de services de sécurité, Solutions de paiement

Pourquoi DORA ?

DORA (Digital Operational Resilience Act) a été adopté par la Commission Européenne dans le cadre de sa stratégie de finance numérique.

Cette réglementation répond à la dépendance croissante du secteur financier aux systèmes numériques et aux services tiers, en établissant un cadre unifié pour la gestion des risques informatiques.

DORA en clair 

Cette réglementation harmonise les approches en matière de gestion des risques informatiques et impose des exigences communes en termes de cybersécurité, de gestion des incidents, de tests de résilience et de gestion des prestataires de services TIC tiers.

1. Sécurité informatique

L'organisation doit maintenir un inventaire exhaustif de ses ressources informatiques et identifier les systèmes critiques. 

Un programme de contrôles périodiques doit être établi, accompagné d'indicateurs de performance précis et d'un planning de maintenance préventive.

2. Gestion des incidents

La procédure de notification impose une alerte sous 2 heures pour tout incident majeur, suivie d'un rapport préliminaire sous 24 heures et d'un dossier complet sous 30 jours. 

Les incidents critiques (interruption >30 minutes, compromission de données, cyberattaques) nécessitent un signalement immédiat aux autorités compétentes.

3. Programme de tests

L'établissement doit conduire des évaluations régulières de la sécurité des applications critiques et valider les plans de continuité d'activité. 

Des simulations de crise et des tests de reprise doivent être effectués périodiquement, avec validation par des auditeurs indépendants.

4. Gestion des prestataires

Une évaluation rigoureuse des prestataires est requise, incluant l'analyse de leur solidité financière et de leurs dispositifs de sécurité. 

Un suivi continu de leurs performances doit être assuré, complété par des audits annuels et un plan de réversibilité documenté.

5. Dispositifs de protection

L'infrastructure doit intégrer une authentification renforcée et une gestion stricte des accès. 

Les données sensibles doivent être chiffrées, l'architecture réseau sécurisée, et un système de sauvegarde robuste mis en place. Une surveillance continue des systèmes est obligatoire.

Sanctions possibles

  • Jusqu'à 2% du chiffre d'affaires annuel
  • Injonctions de mise en conformité
  • Suspension d'activité possible
  • Publication des sanctions

L’identité et l'authentification forte avec DORA

Concernant l'authentification, le règlement DORA impose des exigences spécifiques aux entités financières pour renforcer la sécurité de leurs systèmes. Voici les principales spécificités :

  1. Mise en place de mécanismes d'authentification forte : Les entreprises doivent implémenter des protocoles et procédures relatifs aux mécanismes d'authentification forte.
  1. Politique de contrôle des droits d'accès : Une politique détaillée doit être élaborée, documentée et mise en œuvre pour gérer les accès aux actifs TIC.

 Cette politique doit inclure :

  • L'attribution des droits d'accès selon les principes du besoin d'en connaître, du besoin d'en disposer et du moindre privilège, y compris pour l'accès à distance et l'accès d'urgence.
  • Une séparation des tâches pour empêcher un accès injustifié à des données critiques.
  • Des dispositions sur la responsabilité des utilisateurs, limitant l'utilisation de comptes génériques ou partagés.
  • Des procédures de gestion de comptes pour accorder, modifier ou révoquer les droits d'accès.
  1. Identification des utilisateurs : Les entreprises doivent veiller à ce que les utilisateurs soient à tout moment identifiables pour les actions effectuées dans les systèmes TIC.
  1. Restrictions d'accès : Des contrôles et des outils doivent être mis en place pour empêcher tout accès non autorisé aux actifs TIC.
  1. Contrôle de l'accès physique : Des mesures doivent être prises pour contrôler l'accès physique aux actifs TIC.

Pour plus d'informations ou d'assistance dans votre mise en conformité DORA, n'hésitez pas à nous contacter.

Les entreprises financières doivent se préparer dès maintenant à DORA, le nouveau règlement européen de résilience numérique, car sa mise en conformité d'ici janvier 2025 nécessite des changements significatifs dans leurs systèmes et processus. 

ShareID répond à ces exigences réglementaires grâce à son authentification forte MFA 3.0 et sa technologie ZTZKP (Zero Trust Zero Knowledge Proof). 

Notre solution sécurise les échanges de données d'identité sensibles sans stockage et avec un chiffrement avancé, permettant un contrôle précis des accès tout en garantissant la conformité aux normes DORA. 

N'hésitez pas à nous contacter pour en savoir plus sur l'accompagnement de votre mise en conformité.

DORA (Digital Operational Resilience Act) - Comment rester conforme ?

RéglementationExigence cléRéponse ShareIDRésultat pour vous
DSP2 – Directive (UE) 2015/2366 + RTS SCA (UE 2018/389) Source DSP2 : Directive (UE) 2015/2366Authentification forte du client (SCA) obligatoire (art. 97) avec lien dynamique (art. 5 RTS) et indépendance des facteurs (art. 9 RTS).- Full IDV : authentification du document d’identité + biométrie (détection du vivant) - MFA 3.0: Ré-authentification forte basée sur l’identité Full IDV + MFA 3.0Conformité immédiate SCA ; fluidité pour l’utilisateur, sécurité renforcée.
DSP3 / Payment Services Regulation (projet) Source RTS SCA : Règlement délégué (UE) 2018/389 Entrée en vigueur prévue en 2025/ 2026.Articles 85–89 : consolidation de la SCA, règles d’accessibilité, clarification des exemptions.- Full IDV : authentification du document d’identité + biométrie (détection du vivant) - MFA 3.0: Ré-authentification forte basée sur l’identité Solution déjà alignée sur les parcours biométriques & exemptions. MFA 3.0Anticipez les évolutions futures sans refonte lourde.
DORA – Règlement (UE) 2022/2554 Source DORA : Règlement (UE) 2022/2554Authentification forte pour protéger les systèmes et les données critiques (art. 9(4)(d)), encadrement strict des prestataires de Technologie de l’information et de la communication (art. 28–30).- MFA 3.0: Ré-authentification forte basée sur l’identité. Intégrable via SDK/API (iOS, Android, Web), traçabilité complète. MFA 3.0Sécurisation des systèmes d’informations critiques, conformité démontrable aux superviseurs.
eIDAS (UE 910/2014) + implémentation 2015/1502 Source eIDAS (2014) : Règlement (UE) 910/2014Niveaux simple / substantiel / élevé ; multi-facteurs encouragés pour les niveaux substantiel et élevé.Authentification des documents + biométrie (détection du vivant). Full IDVValeur probante proche d’un contrôle présentiel.
eIDAS 2 – Règlement (UE) 2024/1183 Source eIDAS 2 : Règlement (UE) 2024/1183Les EUDI Wallets devront fonctionner à un niveau d’assurance élevé, avec partage sélectif d’attributs.- MFA 3.0: Ré-authentification forte basée sur l’identité Intégrable via SDK/API (iOS, Android, Web), traçabilité complète. MFA 3.0Intégration fluide des futurs portefeuilles européens.
MiCA – Règlement (UE) 2023/1114 Source MiCA : Règlement (UE) 2023/1114Les prestataires de services sur crypto-actifs doivent appliquer les obligations KYC/AML (Directive 2015/849) ; art. 76 impose CDD (renforcement de la vigilance client) renforcé pour certaines plateformes.Authentification des documents + biométrie (détection du vivant) = anti-deepfake et anti-spoofing. Doc IDV ou Full IDVRéduction drastique des fraudes, conformité crypto-AML.
ETSI TS 119 461 (V2.1.1, 2025) Source ETSI TS 119 461 : Norme européenneVérification d’identité à distance : 5 étapes (initiation → collecte → validation → liaison → résultat). Liveness et anti-spoofing obligatoires pour les parcours à distance.- Enrôlement complet : authentification des documents + Biométrie (détection du vivant) - Algorithmes entraînés sur une base de données de vrais et de faux documents de la Gendarmerie Nationale. Full IDVEnrôlement KYC robuste, valeur probante reconnue.
FIDA – Financial Data Access (projet) Source FIDA (proposition) : Commission européenneConsentement explicite, traçable et révocable via des tableaux de bord.- MFA 3.0: Authentification forte basée sur l’identité au moment du consentement + réauthentification fluide avec un simple sourire. MFA 3.0Accès aux données conforme et centré utilisateur.
RGPD – Règlement (UE) 2016/679 Source RGPD : Règlement (UE) 2016/679Durée de maintien de données chez ShareID paramétrable. Aucun stockage biométrique : hachages homomorphiques brevetés , ISO 27001.Image de marque, risque réglementairejuridique réduit, confiance accrue des régulateurs et clients.



← Tous les articles
Notre newsletter - La Conscience Numérique

Chaque mois, recevez conseils et astuces pour vous protéger contre la fraude en ligne.

Paris
San Francisco
Casablanca
Copyright © 2025 ShareID, Inc. All Rights Reserved.