Programme

Programme de conformité DORA : les 5 piliers à piloter

Un programme de conformité DORA n'est pas un classeur de documents : c'est une trajectoire dirigée qui organise les cinq piliers du règlement (UE) 2022/2554 en lots gouvernables, reliés à une instance et à une preuve.

Mis à jour le 19/06/2026. Source de référence : règlement (UE) 2022/2554 (DORA).

Pourquoi raisonner en programme et pas en check-list

DORA est le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025. Comme tout règlement européen, il s'applique directement, sans transposition nationale. Le traiter comme une simple check-list documentaire conduit à des chantiers isolés, difficiles à expliquer à un superviseur.

Piloter un programme, c'est au contraire fixer un ordre d'exécution, des jalons de décision et des preuves opposables. La responsabilité finale revient à l'organe de direction : la gouvernance n'est pas un sixième pilier, c'est la couche transversale qui orchestre les cinq voies de travail.

Les 5 piliers à piloter

P1

Gestion du risque TIC

Cartographie des fonctions critiques, plans de continuité, mesures de protection et preuves de pilotage.

Cadre validé
P2

Incidents TIC

Processus de détection, classification, escalade et notification des incidents majeurs.

Procédure active
P3

Tests de résilience

Programme de tests, fréquence, résultats, remédiations et préparation des tests d'intrusion fondés sur la menace (TLPT), exigés au moins tous les 3 ans pour les entités désignées par l'ACPR/AMF, sur le référentiel TIBER-EU.

Campagne planifiée
P4

Prestataires TIC

Registre d'information, criticité, clauses contractuelles et gouvernance des dépendances. Distinction à tenir entre prestataire tiers TIC ordinaire et prestataire tiers critique (CTPP) désigné et supervisé directement par les autorités européennes de surveillance (ESAs / Lead Overseer).

RoI priorisé
P5

Partage d'information

Organisation du partage volontaire de renseignements sur les cybermenaces quand il est pertinent.

Canal arbitré

Chacun de ces piliers devient un lot de travail avec un responsable, un livrable et une preuve attendue. La lecture transversale empêche les angles morts entre risque TIC, incidents, tests, prestataires et partage d'informations.

Comment séquencer le programme

  1. Cadrer la gouvernance : périmètre DORA, instances de décision, rôles et fonctions critiques.
  2. Évaluer l'écart entre l'existant et le règlement, pilier par pilier.
  3. Prioriser les chantiers selon le risque, l'urgence superviseur et les dépendances internes.
  4. Rendre le dispositif prouvable : livrables, décisions et mises à jour réunis pour être expliqués à l'ACPR, à l'AMF ou à un client financier.

La feuille de route DORA traduit cette séquence en jalons datés, tandis que la gouvernance du risque TIC ancre la responsabilité au niveau de la direction.

Questions fréquentes

Combien de piliers compte DORA ?

DORA repose sur cinq piliers : gestion du risque TIC, gestion et notification des incidents TIC, tests de résilience opérationnelle, gestion du risque lié aux prestataires tiers TIC, et partage volontaire d'informations sur les cybermenaces. La gouvernance est la couche transversale qui les pilote.

Par quel pilier commencer ?

Le programme commence par un cadrage de gouvernance, puis par un état des lieux pilier par pilier. Le registre d'information des prestataires TIC est souvent un chantier prioritaire.

Besoin de transformer cette étape en plan de marche daté ? Le site qualifie votre demande puis vous met en relation avec un intervenant spécialisé.

Cadrer mon programme DORA

Réponse sous 48 h ouvrées · sans démarchage commercial.