Qui est concerné par DORA ?

DORA s'applique à un large périmètre d'entités financières : banques, assureurs, sociétés de gestion, prestataires de services de paiement, plateformes de crowdfunding, et — fait notable — leurs prestataires ICT critiques. Une fintech ou un éditeur SaaS travaillant avec des banques peut donc être indirectement soumis à DORA via ses clients.

Périmètre élargi : DORA concerne plus de 22 000 entités financières dans l'UE et leurs fournisseurs ICT critiques désignés par les autorités de supervision (BCE, EBA, ESMA).

Les obligations de monitoring sous DORA

Obligations DORA relatives à la surveillance ICT
Article DORA Obligation Implication pratique
Art. 10 Surveillance continue des systèmes ICT SOC ou outil de monitoring 24/7 obligatoire
Art. 17 Détection et classification des incidents SIEM + processus de triage formalisé
Art. 19 Reporting incidents majeurs Notification initiale : 4h / Intermédiaire : 24h / Final : 1 mois
Art. 26 Tests de pénétration avancés (TLPT) Pentest annuel pour entités significatives
Art. 28 Gestion des prestataires ICT tiers Registre + évaluation cyber des fournisseurs

Source : Règlement UE 2022/2554 (DORA) — synthèse SOC Monitor.

DORA vs NIS2 : les différences sur le monitoring

Les deux réglementations imposent une surveillance continue, mais avec des nuances importantes :

  • DORA : délai de notification initiale de 4 heures pour les incidents majeurs (vs 24h pour NIS2) — ce qui exige une détection quasi-temps réel.
  • DORA impose des tests TLPT (Threat-Led Penetration Testing) pour les entités significatives — niveau d'exigence plus élevé que NIS2.
  • NIS2 couvre un périmètre sectoriel plus large ; DORA est spécifique aux services financiers mais plus exigeant sur la résilience opérationnelle.

Solutions de monitoring adaptées à DORA

Pour satisfaire les exigences de l'article 10 de DORA, les entités financières doivent mettre en place au minimum :

  • Un SIEM ou une solution de centralisation des logs couvrant l'ensemble du périmètre ICT
  • Une capacité d'alerting en temps réel avec SLA de notification interne inférieur à 2h
  • Un processus de classification des incidents documenté et testé
  • Un registre des incidents ICT accessible aux superviseurs

Des prestataires comme Orange Cyberdefense, IBM Security, Atos Evidian ou des MSP spécialisés comme Resilium proposent des offres SOC/SIEM adaptées au cadre DORA, avec hébergement souverain EU et reporting réglementaire intégré.

Approfondir