DORA : resilience operationnelle numerique

Points cles

DORA s'applique a plus de 22 000 entites financieres dans l'UE, des banques et assureurs aux etablissements de paiement et prestataires de services sur crypto-actifs.
Les entites financieres font face a des amendes pouvant atteindre 2 pour cent du chiffre d'affaires annuel mondial pour non-conformite ; les prestataires TIC tiers critiques font face a des amendes pouvant atteindre 5 M EUR.
Les auditeurs internes doivent revoir le cadre de gestion du risque TIC au moins une fois par an, avec une frequence proportionnelle au profil de risque TIC de l'entite.

Fonctionnement

DORA remplace l'ensemble disparate de regles nationales en matiere de risque TIC qui regissait precedemment les entites financieres dans les differents Etats membres. L'article 6 exige que chaque entite dans le champ d'application etablisse un cadre de gestion du risque TIC couvrant l'identification, la protection, la detection, la reponse, le retablissement et l'apprentissage. Ce cadre doit etre documente et revu au moins une fois par an (article 6.5), ou plus frequemment si le profil de risque de l'entite change.
Pour les auditeurs legaux, DORA a un impact a deux niveaux. Premierement, les clients d'audit du secteur financier doivent desormais se conformer aux exigences de DORA. L'auditeur evaluant la position de continuite d'exploitation d'une banque ou d'un assureur doit considerer si une non-conformite significative a DORA cree un risque reglementaire (action d'execution potentielle, perturbation operationnelle due a des vulnerabilites TIC non gerees). Deuxiemement, l'article 6.6 exige que le cadre de gestion du risque TIC soit soumis a un audit interne par des auditeurs disposant de connaissances TIC suffisantes.
L'article 28 introduit une obligation de diligence raisonnable sur les prestataires de services TIC tiers. Les entites financieres doivent tenir un registre de tous les accords contractuels avec les prestataires TIC, classes selon que le prestataire soutient des fonctions critiques ou importantes.

Exemple concret : Groupe Lefevre S.A.

Client : Holding belge avec des filiales bancaire et d'assurance, exercice 2025, chiffre d'affaires consolide de 185 M EUR, rapporteur IFRS. L'audit legal est realise par un cabinet mid-tier de 50 personnes a Bruxelles.
Etape 1 : Identifier les obligations de conformite DORA dans l'evaluation des risques
L'associe responsable confirme que deux filiales (un etablissement de credit et une entreprise d'assurance) entrent dans le champ d'application de DORA selon l'article 2(1). La holding elle-meme est hors champ, mais les comptes consolides refletent l'exposition reglementaire des filiales. L'equipe cartographie les quatre piliers de DORA (gestion du risque TIC, signalement d'incidents, tests de resilience, gestion du risque tiers) par rapport au statut de conformite divulgue des filiales.
Note de documentation : consigner l'evaluation du champ d'application DORA selon l'article 2(1), en identifiant quelles entites du groupe sont dans le champ.
Etape 2 : Evaluer le cadre de gestion du risque TIC
La filiale bancaire declare 4,2 M EUR de depenses TIC annuelles et des contrats avec 38 prestataires de services TIC tiers, dont 7 soutiennent des fonctions critiques (plateforme bancaire centrale, traitement des paiements, infrastructure cloud, surveillance de la cybersecurite). L'equipe obtient le registre article 28 de la direction et teste si la classification des prestataires critiques versus non critiques est alignee avec l'evaluation d'impact commercial propre a la filiale.
Note de documentation : consigner le nombre de prestataires TIC tiers, les classifications de fonctions critiques examinees et si le registre article 28 est complet et a jour.
Etape 3 : Evaluer l'impact sur les etats financiers
L'equipe evalue si les couts de conformite DORA (1,1 M EUR en 2025 pour les deux filiales combinees, couvrant les evaluations d'ecarts et les mises a niveau de systemes) sont correctement classes comme charges d'exploitation plutot que capitalises. L'equipe considere aussi si le risque d'amendes reglementaires pour les lacunes DORA identifiees declenche une provision ou un passif eventuel selon IAS 37.
Note de documentation : consigner l'evaluation de la classification des depenses. Documenter si une non-conformite identifiee cree une obligation actuelle selon IAS 37.14 ou un passif eventuel selon IAS 37.86.
Conclusion : l'approche est defendable parce que l'equipe de mission a trace les exigences reglementaires de DORA dans l'evaluation des risques, teste l'exhaustivite du registre, puis evalue les consequences sur les etats financiers des couts de conformite et de l'exposition aux sanctions.

Ce que les reviseurs et les praticiens mesinterpretent

DORA traite comme un sujet de gouvernance informatique hors champ. Les praticiens auditant des clients du secteur financier traitent frequemment DORA comme une question de gouvernance informatique en dehors du champ de l'audit des etats financiers. La non-conformite a DORA cree des consequences financieres mesurables : amendes reglementaires pouvant atteindre 2 pour cent du chiffre d'affaires mondial et couts de remediation obligatoires qui affectent la recouvrabilite des actifs et le calendrier de comptabilisation des produits. ISA 315.12 exige que l'auditeur obtienne une comprehension de l'environnement reglementaire de l'entite.
Registre article 28 accepte sans test. Les entites financieres doivent tenir un registre article 28 des accords contractuels avec les prestataires TIC tiers. Les auditeurs qui acceptent l'assertion de la direction que le registre est complet sans le tester par rapport aux paiements reels aux fournisseurs et a l'inventaire des actifs informatiques manquent une procedure corroborative directe.

DORA vs. NIS2

| Dimension | DORA | NIS2 |
|---|---|---|
| Instrument juridique | Reglement UE (directement applicable) | Directive UE (transposee en droit national) |
| Champ d'application | Entites financieres uniquement (banques, assureurs, etablissements de paiement, entreprises d'investissement, prestataires de services sur crypto-actifs) | Entites essentielles et importantes dans 18 secteurs (energie, transports, sante, infrastructure numerique, et autres) |
| Surveillance des tiers TIC | Cadre dedie avec surveillance des prestataires critiques par les AES | Exigences generales de securite de la chaine d'approvisionnement sans surveillance au niveau du prestataire |
| Signalement d'incidents | A l'autorite nationale competente dans les 4 heures (notification initiale) pour les incidents TIC majeurs | Au CSIRT national ou a l'autorite competente dans les 24 heures (alerte precoce) |
| Relation | DORA est lex specialis pour les entites financieres ; la ou DORA s'applique, il prevaut sur NIS2 | NIS2 est lex generalis ; les entites financieres respectant DORA sont reputees conformes a NIS2 pour les domaines de chevauchement |
Pour les clients d'audit du secteur financier, DORA est le cadre contraignant. NIS2 ne s'applique que lorsqu'un client opere a la fois dans un secteur financier et non financier.

Termes associes

AFM (Autorite des marches financiers) : l'autorite nationale competente aux Pays-Bas pour la supervision DORA.
BaFin : l'autorite federale de supervision financiere en Allemagne.
ISQM 1 : le cadre de gestion de la qualite des cabinets d'audit.
Continuite d'exploitation : l'evaluation du risque de defaillance a court terme, affectee par les risques DORA.
Provisions (IAS 37) : les passifs incertains potentiellement declenches par des amendes DORA.