Data Universe
Newsletter
Accueil/Encyclopédie/DORA — Résilience opérationnelle numérique (finance)
🏗️Gouvernance & QualitéAvancéRéglementation

DORA — Résilience opérationnelle numérique (finance)

Règlement européen en vigueur depuis janvier 2025 qui impose au secteur financier (banques, assurances, prestataires de services d'investissement) des exigences strictes de résilience numérique et de gestion des risques ICT tiers.

💡Explication simple

DORA s'applique à plus de 22 000 entités financières européennes et à leurs prestataires ICT critiques (AWS, Azure, Google Cloud sont directement concernés). Les 5 piliers : gestion des risques ICT (politiques et procédures formelles), gestion des incidents (classification, signalement à l'autorité compétente), tests de résilience (TLPT — tests de pénétration avancés obligatoires tous les 3 ans pour les entités significatives), gestion des risques tiers (cartographie et surveillance des prestataires cloud), et partage d'informations entre entités. Pour les data engineers : toute dépendance à un prestataire cloud doit être documentée, testée et avec un plan de continuité.

🏗️Exemple concret

Une banque régionale utilise AWS pour son data warehouse Snowflake. Sous DORA : elle doit cartographier cette dépendance (criticité, data souveraineté), négocier des clauses contractuelles spécifiques avec AWS (droit d'audit, SLA de reprise), réaliser des tests de basculement annuels (simulation de panne AWS → basculement sur Azure), et signaler à la BCE tout incident ICT majeur sous 4h pour la notification initiale.

🎯Quand l'utiliser ?

Architecture cloud pour une entité financière soumise à DORA
Audit des contrats avec les prestataires ICT critiques
Mise en place d'un plan de continuité d'activité (PCA) pour les systèmes data

✅ Avantages

+Renforcement de la résilience du secteur financier face aux cybermenaces
+Responsabilisation des prestataires cloud (AWS, Azure, GCP) sur la finance
+Standard commun qui remplace les exigences disparates par pays

⚠️ Limites

Complexité des TLPT (tests de pénétration avancés) : coût et expertise rare
Cartographie exhaustive des dépendances ICT très chronophage
Les prestataires cloud résistent aux clauses d'audit contractuelles

🛠️ Outils principaux

ServiceNow (GRC)
Archer (risque ICT)
Qualys (vulnerability)
IBM Resilient
Snowflake (avec clauses DORA négociées)
RéglementationFinanceCybersécuritéCloudDORAICTBanque

Concepts liés

⚖️

AI Act européen — Réglementation de l'IA

Conformité

📊

BCBS 239 — Agrégation des données de risque bancaire

Réglementation

🏛️

Biais algorithmique et fairness

Éthique IA

📋

Data Contract

Gouvernance

← Retour à l'encyclopédie