Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) impose aux entités financières - et par ricochet à leurs prestataires TIC - un registre exhaustif des contrats, des clauses contractuelles précises et des preuves d'audit datées. SYAGA DORA-Express vous aide à répondre à ces exigences sans improviser, que vous soyez entité financière ou prestataire.
DORA est un règlement, pas une directive : il s'applique directement dans tous les États membres, sans loi de transposition nationale à attendre.
Règlement (UE) 2022/2554 du 14 décembre 2022, publié au JOUE le 27 décembre 2022, entré en vigueur le 16 janvier 2023 et applicable depuis le 17 janvier 2025. Aucune transposition nationale requise : il est directement opposable.
Chaque entité financière doit tenir à jour et transmettre annuellement aux autorités un registre complet de ses contrats TIC : prestataire, nature du service, criticité de la fonction, pays d'hébergement des données.
Droits d'audit et d'inspection, garanties de disponibilité et d'intégrité des données, plans de sortie testés, notification d'incident sans délai. Ces clauses remontent de votre client financier vers vous si vous êtes son prestataire TIC.
Avant de signer ou de renouveler un contrat, une banque, un assureur ou un investisseur envoie un questionnaire cyber (gouvernance, MFA, EDR, chiffrement, sensibilisation). Y répondre sans preuve documentée fait perdre le contrat.
Le 18-19 novembre 2025, les autorités européennes de supervision (EBA, ESMA, EIOPA) ont publié la première liste officielle des prestataires TIC critiques au titre de l'article 32 de DORA. Parmi les noms confirmés par les communiqués officiels : AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (et 14 autres prestataires non nominativement confirmés dans nos sources).
Conséquence concrète : si vos services critiques reposent sur l'un de ces prestataires, votre entité financière cliente doit désormais le documenter dans son registre TIC - et peut vous interroger sur votre propre chaîne de sous-traitance.
Source : communiqués officiels EIOPA et ESMA du 18-19 novembre 2025 (eiopa.europa.eu, esma.europa.eu).
Un accompagnement structuré en 5 étapes pour documenter votre conformité - sans promettre ce que ni un outil, ni un cabinet, ne peut certifier à votre place.
Êtes-vous une entité financière directement soumise (une des 21 catégories de l'article 2), ou un prestataire TIC visé indirectement via les clauses contractuelles de vos clients financiers (article 30) ? Le périmètre exact conditionne tout le reste.
Nous répondons à votre questionnaire de due diligence banque, investisseur ou assureur (gouvernance, MFA, EDR, chiffrement, sensibilisation...) en nous appuyant sur un audit technique de votre tenant Microsoft 365 comme preuve datée et vérifiable.
Nous vous aidons à structurer votre registre des contrats TIC (art. 28 §3) et à vérifier ou intégrer les clauses contractuelles minimales et renforcées de l'article 30 dans vos contrats prestataires.
Notre PRA/PCA Suite propose un profil sectoriel Finance (DORA, PSD2, ACPR) qui couvre les exigences de tests de résilience opérationnelle du chapitre IV de DORA, aligné sur ISO 22301.
Remise à votre direction, votre RSSI ou votre DAF d'un dossier consolidé, avec les points précis à faire trancher par votre conseil juridique avant toute communication aux autorités.
Des livrables concrets, sourcés, sans promesse de certification que personne ne peut garantir
10 questions type due diligence banque / M&A, documentées et sourcées (ILPA DDQ, CSA CAIQ, questionnaires assureurs cyber).
Synthèse sourcée du règlement (UE) 2022/2554.
Structure du registre exhaustif exigé par les autorités.
À intégrer ou vérifier dans vos contrats prestataires TIC.
Plan de continuité et reprise d'activité, profil sectoriel dédié.
Formats PDF et DOCX, consolidant l'ensemble des livrables.
Extrait des 10 questions que nous documentons pour vous, avec la source de chaque question
| Thème | Question | Source |
|---|---|---|
| Gouvernance | Votre politique de sécurité s'appuie-t-elle sur un référentiel reconnu (NIST, ISO 27001) ? | ILPA DDQ 2.0 |
| Audit tiers | Réalisez-vous un audit annuel indépendant et des tests d'intrusion ? | CSA CAIQ v4 |
| Plan incident | Existe-t-il un plan formel de réponse à incident, documenté et maintenu ? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Pour quels services imposez-vous l'authentification multifacteur ? | Travelers - MFA Supplement |
| Comptes à privilèges | Les accès suivent-ils le principe du moindre privilège, revus périodiquement ? | CSA CAIQ v4 IAM |
| Messagerie | Quelle licence M365 utilisez-vous ? Defender / threat hunting avancé actif ? | vCSO.ai Cyber DD Checklist |
| Chiffrement | Les disques des terminaux sont-ils intégralement chiffrés ? | Google VSAQ |
| Formation | Un programme de sensibilisation sécurité est-il établi pour tous les collaborateurs ? | CSA CAIQ v4 HRS |
Chaque livrable indique explicitement ce qu'il couvre - et ce qu'il ne couvre pas
Registre TIC (art. 28), clauses contractuelles (art. 30), délais de notification (art. 19), référence aux prestataires TIC critiques désignés (art. 32).
DORA est une lex specialis vis-à-vis de NIS2 pour le secteur financier : les entités concernées appliquent DORA plutôt que les mesures NIS2 équivalentes.
Le profil PRA/PCA Finance s'aligne sur ISO 22301, référentiel de management de la continuité d'activité utilisé en complément de DORA.
La notification d'incident DORA (ACPR/AMF) est distincte de la notification RGPD (CNIL) en cas de violation de données personnelles : les deux peuvent être requises simultanément.
Chaque dossier DORA est différent selon votre statut - devis personnalisé dans tous les cas
Vous fournissez des services à une ou plusieurs entités financières
Vous êtes soumis directement à DORA (une des 21 catégories, art. 2)
Mise à jour régulière du dossier (obligations, contrats, registre)
Contactez-nous pour recevoir un devis personnalisé selon votre statut (entité financière ou prestataire TIC).
DORA expliqué simplement, sans jargon juridique. Chaque point ci-dessous renvoie vers le texte officiel qui le confirme.
DORA s'applique aux acteurs financiers européens : banques, assurances, sociétés d'investissement, plateformes de marché, gestionnaires de fonds, prestataires de paiement... ainsi qu'à leurs prestataires informatiques. Les très petites structures bénéficient de règles allégées.
Le règlement couvre 6 grands sujets : la gestion du risque informatique, la surveillance de vos prestataires extérieurs, des tests réguliers de résistance, la remontée des incidents graves, le partage d'informations sur les menaces, et la surveillance des plus gros prestataires informatiques.
Texte adopté le 14 décembre 2022, publié au Journal officiel de l'UE le 27 décembre 2022 (JO L 333). Entrée en vigueur le 16 janvier 2023. Les obligations sont réellement dues depuis le 17 janvier 2025.
Les plus gros prestataires informatiques (cloud, hébergement...) jugés « critiques » pour le secteur financier sont désormais contrôlés directement au niveau européen, avec un superviseur chef de file qui peut leur imposer des mesures.
Avant DORA, chaque pays de l'UE avait ses propres règles pour déclarer un incident informatique grave. Désormais, une procédure européenne unique s'applique : les incidents majeurs sont notifiés directement aux autorités compétentes.
Le texte prévoit que les autorités publient les sanctions administratives qu'elles prononcent. Les montants précis des amendes ne sont pas stabilisés dans les sources consultées à ce jour - à confirmer au fil des précisions officielles.
Vous entendez parler de DORA sans savoir si cela s'applique chez vous ? Voici, expliqué simplement, le périmètre officiel du règlement, compris en 2 minutes, avec les textes qui le prouvent.
Le règlement européen 2022/2554 (Article 2) vise 21 catégories différentes d'entreprises financières, dont 12 sont supervisées par l'ESMA. Ce n'est pas une affaire réservée aux grandes banques : depuis le 17 janvier 2025, la quasi-totalité du secteur financier européen est concernée, à des degrés d'exigence différents selon la taille de la structure. source officielle (ESMA) ↗
Établissements de crédit (banques), établissements de paiement, établissements de monnaie électronique, prestataires de services d'information sur les comptes.
Entreprises d'investissement, plateformes de négociation, dépositaires centraux de titres, contreparties centrales, référentiels centraux, agences de notation, gestionnaires de fonds alternatifs, sociétés de gestion.
Entreprises d'assurance et de réassurance, intermédiaires d'assurance (hors micro-entreprises), institutions de retraite professionnelle de plus de 15 membres.
Prestataires de services sur crypto-actifs, plateformes de financement participatif, référentiels de titrisation : la finance numérique entre elle aussi dans le périmètre.
Les prestataires TIC (cloud, hébergement, logiciels critiques) qui font tourner ces entreprises entrent aussi dans le radar. Les plus « critiques » pour tout le secteur sont surveillés directement au niveau européen.
DORA applique un principe de proportionnalité : plus une structure est petite, moins ses obligations sont lourdes. Certaines structures sont même explicitement hors champ.
Une micro-entreprise se définit officiellement comme une structure de moins de 10 salariés dont le chiffre d'affaires ou le bilan annuel ne dépasse pas 2 millions d'euros. Ces très petites structures financières échappent aux obligations de gouvernance les plus lourdes du règlement.
source officielle (EUR-Lex, définition UE) ↗ · source EUR-Lex (règlement DORA) ↗
Les petites entreprises d'investissement « non interconnectées » et les petites institutions de retraite professionnelle bénéficient d'un cadre de gestion du risque informatique simplifié, détaillé par un règlement délégué de la Commission européenne.
Une institution de retraite professionnelle dont le ou les régimes gérés comptent au total 15 membres ou moins n'entre pas dans le périmètre du règlement.
Sont aussi hors champ : les offices de virement postal visés par la directive sur les établissements de crédit, certains gestionnaires de fonds ou assureurs bénéficiant d'exemptions sectorielles, ainsi que les intermédiaires d'assurance qui sont eux-mêmes micro-entreprises ou PME.
En clair : si votre entreprise est une entité financière européenne, ou si vous êtes un de ses prestataires informatiques, la question n'est plus « suis-je concerné » mais « à quel niveau d'exigence ». Le texte précise que chaque structure doit adapter ses moyens informatiques à sa taille, son profil de risque et la complexité de ses activités. source EUR-Lex (considérant 36) ↗
DORA n'est pas « une » date, ce sont plusieurs étapes qui s'enchaînent depuis fin 2022. Voici, dans l'ordre, ce qui s'est déjà passé et ce qui reste en cours - avec, pour chaque étape, le texte officiel qui le prouve.
Le Parlement européen et le Conseil adoptent le règlement (UE) 2022/2554. source EUR-Lex ↗
Le texte est publié au Journal officiel de l'Union européenne (JO L 333). source EUR-Lex ↗
Le règlement existe juridiquement, mais son application effective aux entreprises est encore différée de deux ans - le temps de préparer les normes techniques et les registres. source ESMA ↗
Les trois autorités européennes de supervision financière (banque, assurance, marchés) organisent deux auditions publiques pour finaliser les règles pratiques d'application. source ESMA ↗
Première série de règles précises sur la gestion du risque informatique (comment cartographier, protéger, détecter, réagir), adoptée par la Commission le 13 mars 2024. source EUR-Lex (2024/1774) ↗
Deuxième série de règles d'application (notamment sur la sous-traitance informatique et la surveillance des prestataires). source ESMA ↗
La Commission publie le modèle technique (formulaires) que chaque entreprise concernée doit utiliser pour tenir à jour l'inventaire de ses prestataires informatiques. Entrée en vigueur le 22 décembre 2024. source EUR-Lex (2024/2956) ↗
À partir de cette date, toutes les entités financières concernées (et leurs prestataires informatiques stratégiques) doivent être en conformité réelle, pas seulement « sur le papier ». source ESMA ↗ · source EIOPA ↗
Les autorités nationales de supervision devaient remonter aux autorités européennes les premiers registres d'information reçus des entreprises assujetties. source ESMA ↗
Les autorités européennes bâtissent, étape par étape, la liste des prestataires informatiques (cloud, hébergement...) jugés si importants pour tout le secteur financier qu'ils seront surveillés directement au niveau européen. Le processus (collecte d'informations, décisions, rapport d'étape) s'est étalé de novembre 2024 à mai 2025 ; la date exacte de première désignation officielle n'est pas stabilisée dans les sources consultées à ce jour - à confirmer au fil des publications. source ESMA ↗
Les autorités européennes continuent de publier des rapports d'étape (retours d'expérience sur les incidents majeurs, ajustements des règles de sous-traitance). DORA est un chantier vivant, pas un texte figé. source ESMA ↗
Calendrier établi à partir de sources officielles (EUR-Lex, ESMA, EIOPA) consultées le 17 juillet 2026. Certaines dates (désignation définitive des prestataires critiques, montants de sanctions) restent en cours de stabilisation par les autorités - nous les mettrons à jour dès qu'elles seront publiées.
7 questions plus techniques, digérées simplement : chacune sourcée sur le texte officiel qui la confirme.
source EUR-Lex (considérants 43, 56, 61) ↗ · source ESMA (règlement délégué (UE) 2025/1190) ↗
source EUR-Lex (considérant 65) ↗ · source ESMA (règlement d'exécution (UE) 2024/2956) ↗
« DORA prévoit des amendes » revient souvent dans les discours commerciaux. Ce que le texte officiel dit réellement, noir sur blanc : deux régimes distincts, avec un seul chiffre européen harmonisé - et pas de barème unique pour tout le monde.
DORA ne fixe aucun montant ni pourcentage de chiffre d'affaires. Le texte renvoie explicitement à chaque Etat membre le soin de fixer ses propres règles de sanction (article 50, §3 : « Member States shall lay down rules establishing appropriate administrative penalties... »). En France, ce sont vos autorités habituelles - ACPR pour la banque/l'assurance, AMF pour les marchés - qui appliquent leur propre barème national, pas un barème DORA unique et européen.
Ce que le règlement impose en revanche : des types de mesures que chaque pays doit au minimum prévoir (liste ci-dessous) - à charge pour le droit national d'en fixer les montants exacts.
Ici, DORA fixe un chiffre précis et harmonisé pour toute l'Europe : une astreinte pouvant aller jusqu'à 1 % du chiffre d'affaires mondial journalier moyen, par jour de retard, pendant 6 mois maximum (article 35, §7-8). Ce n'est pas une sanction immédiate : elle ne peut être déclenchée qu'après au moins 30 jours calendaires de non-conformité constatée par l'autorité.
Cette astreinte ne concerne que les grands prestataires officiellement désignés « critiques » par l'UE - pas les entreprises clientes elles-mêmes qui les utilisent.
C'est l'astreinte que peut imposer le « Lead Overseer » - l'une des trois autorités européennes de supervision financière (EBA, ESMA ou EIOPA, désignée par prestataire) - à un prestataire informatique critique qui refuse de se mettre en conformité après un délai d'au moins 30 jours. L'argent est versé au budget général de l'Union européenne, et chaque astreinte imposée doit en principe être rendue publique par le Lead Overseer.
Source : Règlement (UE) 2022/2554, article 35, paragraphes 6 à 10 - texte officiel EUR-Lex ↗
Cinq types de mesures que chaque Etat membre doit au minimum prévoir dans son droit national - article 50, §4 de DORA.
Obliger l'entreprise à arrêter immédiatement la pratique non conforme et à ne pas la recommencer.
Interdire une pratique ou un comportement jugé contraire au règlement, de façon temporaire ou permanente.
Toute mesure, y compris financière, pour ramener l'entreprise en conformité - montant fixé par le droit national de chaque pays.
Exiger d'un opérateur télécom des relevés existants, en cas de soupçon raisonnable de violation.
Rendre public un avis indiquant l'identité de l'entreprise et la nature du manquement (« name and shame »).
Pour calibrer le niveau exact de la sanction, l'article 51§2 de DORA demande à l'autorité de tenir compte notamment : de la gravité et de la durée du manquement, du degré de responsabilité, de la solidité financière de l'entreprise, des profits tirés ou pertes évitées, des dommages causés à des tiers, du niveau de coopération et des antécédents.
Analyse fondée sur la lecture intégrale des articles 35 et 50 à 53 du règlement (UE) 2022/2554, texte officiel publié au Journal officiel de l'UE (L 333, 27/12/2022), consulté sur EUR-Lex le 17 juillet 2026. Aucun montant chiffré de sanction n'existe dans le texte pour les entités financières (renvoi au droit national de chaque Etat membre) - nous ne l'inventons donc pas. Aucune astreinte au titre de l'article 35 n'est recensée publiquement à ce jour dans nos sources ; DORA n'est pleinement applicable que depuis le 17 janvier 2025.