Réglementation

DORA, en clair : la loi qui protège la finance des pannes et des cyberattaques

4

min

06.07.2026

En bref : DORA oblige les banques, les assureurs et les autres acteurs financiers, ainsi que leurs prestataires technologiques, à continuer de fonctionner même en cas de panne informatique ou de cyberattaque. La loi est déjà en vigueur depuis janvier 2025, et 2026 marque le début des contrôles.

DORA, c'est quoi exactement ?

DORA est une loi européenne : le règlement (UE) 2022/2554. Son nom complet, « Digital Operational Resilience Act », veut simplement dire « loi sur la capacité à résister des systèmes numériques ».

L'idée tient en une phrase : quand une banque ou un assureur dépend de l'informatique pour fonctionner, une panne ou une cyberattaque n'est plus un simple souci technique, c'est un risque pour tout le système financier. DORA impose donc des règles communes pour éviter ces incidents, réagir vite quand ils arrivent, et continuer à servir les clients.

Deux choses à retenir :

  • La loi est applicable depuis le 17 janvier 2025. Elle s'applique directement, sans passer par une loi française.
  • Elle concerne une vingtaine de types d'acteurs financiers (banques, assurances, prestataires de paiement, fintechs, gestionnaires de fonds), et aussi leurs fournisseurs de technologie.

Qui est concerné (et pourquoi ça dépasse les banques)

Le point souvent mal compris : DORA ne s'arrête pas aux institutions financières. Elle s'applique aussi à leurs prestataires informatiques. Un éditeur de logiciel qui vend ses services à une banque devient, aux yeux de la loi, un maillon de sa solidité. Il doit donc pouvoir répondre aux mêmes exigences : sécurité, disponibilité, droit de regard du client.

Autrement dit : si vous fournissez de la technologie au secteur financier, DORA vous concerne aussi, même si vous n'êtes pas une banque.

Ce que DORA demande, en 5 points

1. Gérer les risques informatiques

Cartographier ses outils, identifier les points sensibles, prévoir un plan pour continuer à fonctionner en cas de coup dur. La responsabilité remonte jusqu'à la direction.

2. Signaler les incidents graves

Tout incident informatique majeur doit être déclaré aux autorités, dans des délais et un format identiques partout en Europe.

3. Tester sa solidité

Les acteurs les plus importants doivent faire tester leurs défenses par de vraies simulations d'attaque, au moins une fois tous les trois ans.

4. Surveiller ses prestataires informatiques

C'est le point le plus structurant. Les contrats avec les fournisseurs doivent prévoir des garanties claires : sécurité, droit d'audit, encadrement de la sous-traitance, localisation des données, possibilité de changer de prestataire. Les fournisseurs jugés les plus critiques sont même surveillés directement au niveau européen.

5. Partager l'information sur les cybermenaces

DORA encourage les acteurs financiers à échanger entre eux sur les menaces pour mieux se défendre collectivement.

Où en est-on en 2026 ?

La loi est appliquée depuis environ dix-huit mois. En France, l'ACPR est passée de l'accompagnement aux contrôles renforcés. Les chantiers en cours : tenir à jour le registre de ses prestataires informatiques, désigner les fournisseurs critiques, et lancer les tests de sécurité pour les plus gros acteurs.

Le point clé : bien connaître ses prestataires et fournisseurs

DORA rappelle une évidence : une banque n'est solide que si ses fournisseurs le sont aussi. Cela oblige les institutions à mieux évaluer les entreprises avec lesquelles elles travaillent.

C'est exactement la logique du Know Your Supplier (KYS) et, plus largement, du KYB : vérifier une entreprise, ses dirigeants et sa fiabilité avant et pendant la relation, grâce à un score de confiance entreprise.

Combien coûte la non-conformité

Les sanctions sont lourdes. Une institution financière risque jusqu'à 2 % de son chiffre d'affaires annuel mondial. Un fournisseur critique peut être sanctionné chaque jour où il n'est pas en règle, jusqu'à 1 % de son chiffre d'affaires quotidien moyen, pendant six mois. Au-delà de l'amende, c'est la confiance des clients qui est en jeu.

DORA et la lutte contre la fraude

Rester opérationnel et lutter contre la fraude, c'est le même combat : des parcours clients fiables et disponibles. Un système d'identité et de détection de fraude qui tombe en panne, c'est une porte ouverte aux fraudeurs. Sécuriser ces parcours sert donc à la fois la conformité DORA et la protection contre la fraude.

Votre checklist DORA

Vous êtes sur la bonne voie si vous pouvez répondre oui à chaque point :

  • La liste de vos prestataires informatiques est à jour.
  • Vos contrats fournisseurs prévoient les garanties DORA (audit, sécurité, réversibilité).
  • Vous savez détecter et signaler un incident informatique majeur.
  • Vos tests de sécurité sont planifiés.
  • Vous évaluez la fiabilité de vos fournisseurs et clients entreprises (KYS / KYB).

En conclusion

DORA transforme la solidité informatique en obligation légale, plus en simple bonne pratique. Et elle envoie un message clair à tout l'écosystème : connaître ses fournisseurs, sécuriser ses parcours et garder une trace de ses décisions n'est plus optionnel. Bonne nouvelle : ce sont des réflexes qui protègent aussi contre la fraude.

Sources : Règlement (UE) 2022/2554 (DORA), Journal officiel de l'Union européenne ; ACPR, dossier DORA.

Évaluez vos prestataires, fiabilisez vos parcours

Meelo aide les acteurs financiers à connaître et évaluer leurs prestataires et clients entreprises (KYB, score de confiance, Know Your Supplier), et à sécuriser leurs parcours d'identité et anti-fraude. Une décision en 2 à 5 secondes, documentée et auditable.

Cassandre Nolf
Strategy Marketing Manager