Depuis son entrée en application en janvier 2025, le règlement DORA (“Digital Operational Resilience Act”) s’impose comme une pièce maîtresse des initiatives européennes en matière de finance numérique. 

Le règlement DORA en Europe établit un cadre réglementaire ambitieux pour renforcer la résilience opérationnelle numérique et la cybersécurité des acteurs financiers : banques, compagnies d’assurance, sociétés d’investissement, mais aussi structures plus récentes comme les prestataires de services de crypto-actifs ou les plateformes de financement participatif.

Dans cet article, nous analysons les enjeux du règlement DORA et expliquons, avec le concours des équipes Conformité et Sécurité du Powens Group, comment nous avons intégré ces nouvelles exigences dans notre plateforme.

Qu’est-ce que le DORA ?

Le DORA est un règlement européen conçu pour renforcer la résilience opérationnelle des institutions financières et de leurs prestataires technologiques. Il vise à garantir que les entreprises, y compris celles comme Powens, soient capables de résister, réagir et se remettre efficacement de toute perturbation informatique — qu’il s’agisse d’une cyberattaque, d’une défaillance technique, d’un incident interne ou externe.

Les 5 piliers principaux du DORA

Le règlement européen DORA s’articule autour de cinq piliers clés pour bâtir une résilience opérationnelle solide :

• Gestion des risques liés aux technologies de l’information et de la communication (TIC)
• Gestion, classification et signalement des incidents TIC
• Tests de résilience opérationnelle numérique
• Gestion des risques liés aux prestataires tiers
• Partage d’informations entre entités financières (concernant les cybermenaces)

Ensemble, ces piliers forment une structure cohérente qui permet de mieux anticiper les risques, d’harmoniser les réponses face aux menaces numériques et d’élever le niveau de sécurité à l’échelle du secteur financier européen.

Pourquoi le règlement DORA est-il important pour les établissements de services financiers ?

Dans un secteur de plus en plus dépendant des technologies numériques et de ses prestataires, les établissements financiers et fintech sont naturellement plus exposés aux cyberattaques, aux pannes de systèmes et à d’autres formes de perturbations technologiques. Le règlement DORA en Europe répond à ces défis en garantissant la continuité opérationnelle face à ces risques. Il permet aux institutions financières de renforcer leur capacité de réaction et d’intégrer des mécanismes robustes de gestion des risques informatiques. Claire Jeandel, Head of Compliance chez Powens, précise :

“Les établissements financiers doivent s’assurer de leur capacité à résister, à réagir et à se remettre des perturbations liées aux TIC. Le règlement DORA encourage ces institutions à intégrer la résilience numérique dans une stratégie globale à l’échelle de l’entreprise, avec des implications particulières en matière de gouvernance.”

Par ailleurs, le DORA facilite la conformité pour les acteurs opérant dans plusieurs pays européens. En proposant un cadre réglementaire unique et harmonisé pour toutes les entités financières de l’UE, quelle que soit leur taille (avec une application proportionnée), il met fin aux disparités et aux zones grises qui existaient entre les régulations nationales.

Quels sont les impacts potentiels du DORA pour les établissements de paiement?

Les effets du DORA sur les entités réglementées sont nombreux et significatifs.

La résilience numérique doit désormais faire partie intégrante de la stratégie d’entreprise, en influant directement sur la gouvernance et la gestion des risques. Le règlement DORA impose une approche proactive face aux risques technologiques, en instaurant des règles et standards visant à garantir la continuité d’activité en cas d’incident.

Conformément aux cinq piliers du DORA, les impacts concrets pour les établissements de paiement et les EME (Établissements de Monnaie Électronique) incluent notamment :

• Gouvernance et supervision : les comités exécutifs (“ExCom”) doivent accorder une attention régulière aux enjeux liés aux TIC — gestion des risques, gouvernance, incidents critiques.
• Structures formelles : mise en place de comités dédiés, réunissant équipes opérationnelles et instances de direction, pour assurer une surveillance continue des sujets liés aux TIC.
• Renforcement des politiques et processus : mise à jour et consolidation des dispositifs existants de gestion des risques technologiques.
• Tests de résilience : intensification du programme annuel de tests, avec des exercices obligatoires pour évaluer la résilience opérationnelle numérique.
• Gestion des incidents : renforcement des protocoles couvrant la détection, la résolution, la communication aux autorités nationales et le retour d’expérience post-incident.
• Gestion des risques liés aux tiers :
  • Révision des contrats actuels avec les fournisseurs TIC pour y intégrer les exigences DORA.
  • Évaluation systématique des risques liés à l’externalisation de services TIC critiques.
  • Obligation de déclarer chaque année aux autorités nationales les services TIC externalisés.
  • Organisation d’un comité de pilotage avec chaque fournisseur soutenant des fonctions critiques.
• Partage d’informations sur les menaces : participation active à des groupes de travail sectoriels pour partager des informations sur les cybermenaces avec d’autres acteurs financiers.

Comment mettons-nous en œuvre la réglementation DORA chez Powens ?

Chez Powens, la mise en œuvre du règlement DORA en Europe a dépassé le simple cadre réglementaire. Elle a été saisie comme une opportunité stratégique pour renforcer nos opérations et protéger l’ensemble de notre écosystème. Comme le souligne Jonathan Signorino, Chief Information Security Officer (CISO) chez Powens :

“Nous avons commencé par cartographier chaque exigence et chaque contrôle du règlement DORA, en les alignant sur notre cadre interne. Chaque contrôle a été attribué à un responsable clairement identifié, avec un processus défini et des preuves spécifiques pour garantir une conformité continue. Cette approche nous offre une visibilité totale et une responsabilité partagée entre toutes les équipes, assurant que la résilience opérationnelle est intégrée à tous les niveaux de notre organisation.”

Un accent particulier a également été mis sur la sensibilisation et la formation. Le DORA ne se limite pas à la cybersécurité : il façonne l’état d’esprit de toute l’entreprise. Powens l’a intégré dans son fonctionnement quotidien à travers des ateliers, de la documentation pédagogique, et un accompagnement de chaque équipe pour qu’elle comprenne son rôle dans la résilience globale.

En considérant le DORA comme un cadre évolutif plutôt qu’une simple liste de contrôle, nous favorisons une dynamique d’amélioration continue, alignée avec les réalités du terrain. Cela transforme la conformité en un véritable levier de confiance, de maturité organisationnelle et d’efficacité opérationnelle.

Comment la DORA garantit-elle la confiance de nos clients et partenaires ?

“Le règlement DORA représente un engagement commun en faveur de la résilience et de la fiabilité dans l’ensemble de l’écosystème financier. Pour nous, c’est la pierre angulaire de la manière dont nous gagnons et maintenons la confiance.” — Jonathan Signorino, CISO chez Powens

En mettant en œuvre le règlement DORA, Powens ne se contente pas de répondre aux exigences réglementaires : nous renforçons de manière proactive notre capacité à faire face aux risques opérationnels, cyber et liés aux tiers. Nos clients et partenaires peuvent avoir la certitude que nos systèmes sont continuellement testés, que nos processus sont transparents, et que notre gouvernance est robuste et vérifiable.

Cette transparence et cette rigueur se traduisent directement par une confiance accrue : ils savent que leurs données, leurs opérations et leurs expériences client restent protégées, même en situation de stress ou d’incident.

En définitive, le règlement DORA nous aide à affirmer ce que signifie réellement la confiance : cohérence, préparation et responsabilité. Il nous permet de bâtir non seulement la conformité, mais aussi la résilience — et des partenariats durables fondés sur la fiabilité et des valeurs partagées.

Vous cherchez un partenaire conforme à la directive DORA pour vous accompagner dans votre développement professionnel ? Contactez nos experts pour entamer la conversation.

Gwendoline Savoy