Definition
DORA (règlement UE 2022/2554) impose aux entités financières de l'UE un cadre de gestion des risques liés aux TIC, un dispositif de notification des incidents majeurs, des tests de résilience opérationnelle numérique et une gouvernance des prestataires tiers de TIC. Le règlement est applicable depuis le 17 janvier 2025.
Points clés
> - DORA s'applique à plus de 22 000 entités financières dans l'UE (banques, assureurs, établissements de paiement, prestataires de services sur crypto-actifs). > - Les entités financières s'exposent à des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial en cas de non-conformité ; les prestataires tiers de TIC critiques encourent jusqu'à 5 millions EUR. > - L'audit interne doit examiner le cadre de gestion des risques TIC au moins une fois par an, avec une fréquence proportionnée au profil de risque de l'entité. > - La Commission européenne doit remettre un rapport d'ici janvier 2026 sur l'opportunité de soumettre les commissaires aux comptes à des exigences renforcées de résilience opérationnelle numérique.
---
Fonctionnement
Quand la plateforme de core banking d'une banque tombe pendant 12 heures et que la direction vous assure que c'était « juste un incident informatique », la question pour l'équipe de mission est de savoir si cet incident a été déclaré et quelles en sont les conséquences réglementaires. Depuis le 17 janvier 2025, DORA donne la réponse : toute entité financière de l'UE doit gérer et rendre compte de sa résilience opérationnelle numérique sous un règlement unique.
DORA remplace le patchwork de règles nationales sur les risques TIC qui encadrait auparavant les entités financières dans différents États membres. L'article 6 exige de chaque entité concernée l'établissement d'un cadre de gestion des risques TIC couvrant l'identification, la protection, la détection et la réponse. Ce cadre doit être documenté et réexaminé au moins une fois par an (article 6.5), ou plus souvent si le profil de risque de l'entité évolue.
Pour le CAC, DORA produit un effet à deux niveaux. Les clients dans le secteur financier doivent se conformer aux exigences du règlement. Un auditeur évaluant la continuité d'exploitation d'une banque ou d'un assureur doit mesurer si une non-conformité DORA significative crée un risque réglementaire (action d'exécution, perturbation opérationnelle liée à des vulnérabilités TIC non traitées). L'article 6.6 exige que le cadre de gestion des risques TIC fasse l'objet d'un audit interne mené par des auditeurs disposant de compétences TIC suffisantes. Les dossiers que nous voyons montrent un schéma récurrent : l'équipe de mission s'appuie sur les travaux de l'audit interne relatifs à DORA en vertu de l'ISA 610, sans vérifier si l'audit interne possède la compétence TIC que l'article 6.6 exige. En France, les cabinets soumis à la supervision de la H2A doivent s'attendre à ce que le régulateur interroge la prise en compte de la conformité DORA dans l'évaluation des risques des mandats du secteur financier.
L'article 28 introduit une obligation de diligence sur les prestataires tiers de TIC. Les entités financières doivent tenir un registre de tous les contrats conclus avec des prestataires TIC, en distinguant ceux qui supportent des fonctions critiques ou importantes. Les autorités nationales compétentes (la H2A en France, la BaFin en Allemagne) ont collecté ces registres et les ont transmis aux AES avant le 30 avril 2025.
---
Exemple pratique : Groupe Lefevre S.A.
Client : holding belge avec des filiales bancaires et d'assurance, exercice 2025, chiffre d'affaires consolidé 185 M EUR, reporting IFRS. Un cabinet mid-tier de 50 collaborateurs à Bruxelles réalise le contrôle légal des comptes.
identifier les obligations DORA dans l'évaluation des risques
Lors de la planification, l'associé responsable de la mission confirme que deux filiales (un établissement de crédit et une entreprise d'assurance) entrent dans le périmètre de DORA au sens de l'article 2(1). La holding elle-même est hors périmètre, mais les comptes consolidés reflètent l'exposition réglementaire des filiales. Les quatre piliers de DORA (gestion des risques TIC, notification des incidents, tests de résilience, gestion des risques liés aux prestataires tiers) sont mis en regard du statut de conformité déclaré par les filiales.
Note de documentation : consigner l'analyse du périmètre DORA au titre de l'article 2(1), en identifiant les entités du groupe concernées. Rapprocher le statut de conformité DORA déclaré par la direction des filiales.
évaluer le cadre de gestion des risques TIC
La filiale bancaire de Lefevre déclare 4,2 M EUR de dépenses TIC annuelles et des contrats avec 38 prestataires tiers de TIC, dont 7 supportent des fonctions critiques (plateforme de core banking, traitement des paiements, infrastructure cloud, surveillance cybersécurité). Le registre article 28 de la direction est obtenu et testé pour vérifier si la classification critique/non-critique des prestataires est cohérente avec l'analyse d'impact propre de la filiale.
Note de documentation : consigner le nombre de prestataires tiers TIC, les classifications de fonctions critiques revues, la complétude et l'actualité du registre article 28, et tout prestataire supportant des fonctions critiques dont le contrat ne contient pas les clauses exigées par l'article 30.
évaluer l'impact sur les états financiers
Les coûts de conformité DORA (1,1 M EUR sur l'exercice 2025 pour les deux filiales combinées, couvrant les analyses d'écarts et les mises à niveau des systèmes) font l'objet d'une évaluation de leur classification en charges d'exploitation plutôt qu'en immobilisations. Séparément, l'équipe examine si le risque d'amendes réglementaires lié à d'éventuelles lacunes DORA déclenche une provision ou un passif éventuel au titre d'IAS 37.
Note de documentation : consigner l'évaluation de la classification des dépenses. Documenter si toute non-conformité identifiée crée une obligation actuelle au sens d'IAS 37.14 ou un passif éventuel au sens d'IAS 37.86.
L'approche est défendable parce que l'équipe de mission a tracé les exigences réglementaires de DORA dans l'évaluation des risques, testé la complétude du registre, puis évalué les conséquences sur les états financiers tant des coûts de conformité que de l'exposition aux sanctions.
---
Ce que les auditeurs oublient en pratique
Nous constatons régulièrement que les équipes de mission traitent DORA comme un sujet de gouvernance informatique hors périmètre de l'audit des comptes. C'est un réflexe de reconduction de l'exercice précédent, datant d'avant 2025, et il ne tient plus. La non-conformité DORA crée des conséquences financières mesurables : amendes réglementaires pouvant atteindre 2 % du chiffre d'affaires mondial et coûts de remédiation obligatoires qui affectent la recouvrabilité des actifs et le calendrier de reconnaissance des produits. L'ISA 315.12 exige de l'auditeur qu'il comprenne l'environnement réglementaire de l'entité. Ignorer DORA lors de l'évaluation des risques laisse un trou que tout réviseur de qualité de mission relèvera.
Les entités financières doivent tenir un registre article 28 de leurs contrats avec les prestataires tiers TIC. Accepter l'assertion de la direction selon laquelle ce registre est complet sans le rapprocher des paiements fournisseurs réels et de l'inventaire des actifs informatiques, c'est passer à côté d'une procédure corroborative élémentaire. Le dossier est trop léger si la seule mention est « apparaît raisonnable, pas d'investigation supplémentaire ». L'incomplétude de ce registre porte ses propres conséquences réglementaires, et un rapprochement avec le grand livre fournisseurs suffit à la tester.
Ce qui rend DORA réellement difficile pour les cabinets mid-tier, c'est que le règlement exige une expertise TIC que la plupart des équipes de mission ne possèdent tout simplement pas en interne. Vous pouvez lire le règlement, mais évaluer si le programme de tests d'intrusion pilotés par la menace (article 26) de votre client satisfait le cadre TIBER-EU demande un savoir-faire de spécialiste. Je l'avoue, trop d'équipes maquillent cette lacune au lieu de reconnaître le déficit de compétence et de mobiliser le bon expert.
Chez nos clients, le registre article 28 est aussi la meilleure source d'information pour comprendre les dépendances opérationnelles d'un client du secteur financier. Si vous ne faites qu'une seule chose avec DORA sur un mandat dans le secteur financier, rapprochez ce registre des paiements fournisseurs réels. Vous en apprendrez davantage sur le profil de risque réel du client qu'à la lecture des présentations du comité des risques de la direction.
---
DORA vs. NIS2 (directive sur la sécurité des réseaux et des systèmes d'information)
| Dimension | DORA | NIS2 |
|---|---|---|
| Instrument juridique | Règlement UE (directement applicable) | Directive UE (transposée en droit national) |
| Périmètre | Entités financières uniquement (banques, assureurs, établissements de paiement, entreprises d'investissement, prestataires de services sur crypto-actifs) | Entités essentielles et importantes dans 18 secteurs (énergie, transport, santé, infrastructure numérique, entre autres) |
| Supervision des prestataires tiers TIC | Cadre dédié avec supervision des AES sur les prestataires critiques | Exigences générales de sécurité de la chaîne d'approvisionnement sans supervision au niveau du prestataire |
| Notification d'incident | À l'autorité nationale compétente dans les 4 heures (notification initiale) pour les incidents TIC majeurs | Au CSIRT national ou à l'autorité compétente dans les 24 heures (alerte précoce) |
| Articulation | DORA est lex specialis pour les entités financières ; là où DORA s'applique, il prévaut sur NIS2 | NIS2 est lex generalis ; les entités financières conformes à DORA sont réputées conformes à NIS2 pour les domaines qui se recoupent |
Pour les clients dans le secteur financier, DORA est le cadre contraignant. NIS2 n'intervient que si un client opère à la fois dans un secteur financier et dans un secteur non financier. L'article 1.2 de DORA établit son statut de lex specialis.
---
Questions fréquentes
DORA s'applique-t-il aux cabinets d'audit eux-mêmes ?
Pas encore. L'article 58 impose à la Commission européenne de publier d'ici le 17 janvier 2026 un rapport sur l'opportunité de soumettre les CAC et les cabinets d'audit à des exigences renforcées de résilience opérationnelle numérique. Si ces exigences sont adoptées, les cabinets devront démontrer leurs propres capacités de gestion des risques TIC et de notification d'incidents. Pour l'instant, DORA s'applique aux cabinets uniquement de manière indirecte, par son effet sur les clients d'audit du secteur financier.
Quel est l'impact de DORA sur l'évaluation de la continuité d'exploitation d'une banque ou d'un assureur ?
Une entité financière présentant une non-conformité DORA significative s'expose à une action d'exécution (amendes pouvant atteindre 2 % du chiffre d'affaires annuel au titre de l'article 50.4) et à un risque de perturbation opérationnelle lié à des vulnérabilités TIC non gérées. L'ISA 570.16 exige de l'auditeur qu'il évalue si des événements ou conditions jettent un doute significatif sur la capacité de l'entité à poursuivre son exploitation. Des déficiences DORA graves (en particulier dans la réponse aux incidents ou les dépendances vis-à-vis de prestataires tiers critiques) constituent des conditions pertinentes dans cette évaluation.
Que vérifier dans le registre des prestataires tiers TIC ?
Rapprochez le registre article 28 des paiements fournisseurs et de l'inventaire des actifs informatiques. Vérifiez que les prestataires supportant des fonctions critiques sont correctement classifiés. Contrôlez que les contrats avec les prestataires critiques contiennent les clauses obligatoires de l'article 30 (droits d'audit, stratégies de sortie, exigences de localisation des données, limites de sous-traitance).
---
Termes connexes
- AFM (Autorité des marchés financiers néerlandaise) : régulateur néerlandais des marchés financiers, l'une des autorités nationales compétentes au sens de DORA. - BaFin : autorité fédérale allemande de surveillance financière, équivalent de la H2A pour le volet marchés financiers. - ISQM 1 : norme de gestion de la qualité dont les exigences de supervision des risques recoupent partiellement les obligations DORA. - Continuité d'exploitation : évaluation ISA 570 directement affectée par les déficiences DORA des entités financières. - Provisions (IAS 37) : traitement comptable applicable aux amendes et coûts de remédiation liés à la non-conformité DORA.
---
Ressources connexes
Blog : « DORA et risques TIC : ce que les auditeurs financiers doivent savoir » pour une analyse des procédures de contrôle à adapter sur les mandats du secteur financier.
---