DORA expliqué : impact sur l’achat de logiciels dans le secteur financier
DORA entre en vigueur le 17 janvier 2025 et transforme en profondeur la manière dont les organisations financières achètent et contractent leurs logiciels. Voici tout ce que vous devez savoir sur les cinq piliers, les exigences contractuelles et l’impact sur la gestion des fournisseurs.
- 1 février 2025
- 5 min
- DORA – Règlement sur la résilience opérationnelle numérique
DORA, le Digital Operational Resilience Act, sera applicable dans tous les États membres de l’UE à partir du 17 janvier 2025. Pour les organisations financières et leurs fournisseurs IT, c’est un changement fondamental : la résilience numérique ne relève plus d’une simple problématique interne IT, mais devient une obligation réglementée avec supervision et sanctions.
Qu’est-ce que DORA ?
DORA est un règlement européen, pas une directive, donc une législation directement applicable qui régule la résilience opérationnelle numérique du secteur financier. Ce règlement fait partie du Digital Finance Package et concerne 20 catégories d’entités financières, des banques et assureurs aux fintechs et prestataires de services crypto.
Les cinq piliers de DORA
DORA structure ses exigences autour de cinq axes principaux :
Gestion des risques IT : un cadre complet pour identifier, classer et maîtriser les risques IT
Notification des incidents : les incidents IT majeurs doivent être rapportés aux autorités dans des délais stricts
Tests de résilience numérique : des tests de pénétration et scénarios de résilience périodiques pour les systèmes critiques
Gestion des risques liés aux tiers : obligations contractuelles, registre des fournisseurs et analyse des risques de concentration
Échange d’informations : partage proactif des informations sur les menaces au sein du secteur
Que signifie DORA pour l’achat de logiciels ?
Le quatrième pilier, la gestion des risques tiers, a un impact direct sur la manière dont les organisations financières achètent et contractent leurs logiciels :
Exigences contractuelles minimales : chaque contrat IT doit contenir des clauses sur les SLA, la notification des incidents, les droits d’audit, le plan de sortie, la localisation des données et la continuité
Registre des fournisseurs IT : un registre complet et à jour de tous les fournisseurs IT est obligatoire et doit être accessible aux autorités de supervision
Risque de concentration : une dépendance excessive à un fournisseur unique (exemple : un fournisseur cloud) doit être évaluée et rapportée
Sous-traitants : les sous-traitants de vos fournisseurs entrent également dans le périmètre DORA
SoftVaro aide les organisations financières à cartographier leur paysage logiciel et à rendre leurs contrats conformes à DORA.
Questions fréquentes
Les questions les plus posées à propos de ce sujet.
À qui s’adresse DORA ?
DORA s’applique aux banques, assureurs, fonds d’investissement, établissements de paiement, prestataires de services cryptographiques, fonds de pension ainsi qu’à tous les fournisseurs IT fournissant des services critiques à ces institutions.
DORA s’applique-t-elle aussi à mon fournisseur de logiciels ?
Oui. Si vous fournissez des logiciels ou des services IT à une institution financière soumise à DORA, vous êtes, en tant que fournisseur IT, tenu de respecter les exigences contractuelles DORA que l’institution financière vous impose. Les fournisseurs IT critiques peuvent également être placés sous supervision directe de l’UE.
Quelles sont les sanctions en cas de non-respect de DORA ?
Les amendes peuvent atteindre jusqu’à 2 % du chiffre d'affaires annuel mondial total. Des sanctions supplémentaires s’appliquent aux fournisseurs IT critiques directement supervisés par l’UE.
Prêt à économiser sur les logiciels ?
SoftVaro négocie pour vous les meilleures offres auprès de plus de 4 000 fournisseurs. Indépendant, transparent, en moins de 24 heures.