Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) impose aux entités financières - et par ricochet à leurs prestataires TIC - un registre exhaustif des contrats, des clauses contractuelles précises et des preuves d'audit datées. SYAGA DORA-Express vous aide à répondre à ces exigences sans improviser, que vous soyez entité financière ou prestataire.
DORA est un règlement, pas une directive : il s'applique directement dans tous les États membres, sans loi de transposition nationale à attendre.
Règlement (UE) 2022/2554 du 14 décembre 2022, publié au JOUE le 27 décembre 2022, entré en vigueur le 16 janvier 2023 et applicable depuis le 17 janvier 2025. Aucune transposition nationale requise : il est directement opposable.
Chaque entité financière doit tenir à jour et transmettre annuellement aux autorités un registre complet de ses contrats TIC : prestataire, nature du service, criticité de la fonction, pays d'hébergement des données.
Droits d'audit et d'inspection, garanties de disponibilité et d'intégrité des données, plans de sortie testés, notification d'incident sans délai. Ces clauses remontent de votre client financier vers vous si vous êtes son prestataire TIC.
Avant de signer ou de renouveler un contrat, une banque, un assureur ou un investisseur envoie un questionnaire cyber (gouvernance, MFA, EDR, chiffrement, sensibilisation). Y répondre sans preuve documentée fait perdre le contrat.
Le 18-19 novembre 2025, les autorités européennes de supervision (EBA, ESMA, EIOPA) ont publié la première liste officielle des prestataires TIC critiques au titre de l'article 32 de DORA. Parmi les noms confirmés par les communiqués officiels : AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (et 14 autres prestataires non nominativement confirmés dans nos sources).
Conséquence concrète : si vos services critiques reposent sur l'un de ces prestataires, votre entité financière cliente doit désormais le documenter dans son registre TIC - et peut vous interroger sur votre propre chaîne de sous-traitance.
Source : communiqués officiels EIOPA et ESMA du 18-19 novembre 2025 (eiopa.europa.eu, esma.europa.eu).
Un accompagnement structuré en 5 étapes pour documenter votre conformité - sans promettre ce que ni un outil, ni un cabinet, ne peut certifier à votre place.
Êtes-vous une entité financière directement soumise (une des 21 catégories de l'article 2), ou un prestataire TIC visé indirectement via les clauses contractuelles de vos clients financiers (article 30) ? Le périmètre exact conditionne tout le reste.
Nous répondons à votre questionnaire de due diligence banque, investisseur ou assureur (gouvernance, MFA, EDR, chiffrement, sensibilisation...) en nous appuyant sur un audit technique de votre tenant Microsoft 365 comme preuve datée et vérifiable.
Nous vous aidons à structurer votre registre des contrats TIC (art. 28 §3) et à vérifier ou intégrer les clauses contractuelles minimales et renforcées de l'article 30 dans vos contrats prestataires.
Notre PRA/PCA Suite propose un profil sectoriel Finance (DORA, PSD2, ACPR) qui couvre les exigences de tests de résilience opérationnelle du chapitre IV de DORA, aligné sur ISO 22301.
Remise à votre direction, votre RSSI ou votre DAF d'un dossier consolidé, avec les points précis à faire trancher par votre conseil juridique avant toute communication aux autorités.
Des livrables concrets, sourcés, sans promesse de certification que personne ne peut garantir
10 questions type due diligence banque / M&A, documentées et sourcées (ILPA DDQ, CSA CAIQ, questionnaires assureurs cyber).
Synthèse sourcée du règlement (UE) 2022/2554.
Structure du registre exhaustif exigé par les autorités.
À intégrer ou vérifier dans vos contrats prestataires TIC.
Plan de continuité et reprise d'activité, profil sectoriel dédié.
Formats PDF et DOCX, consolidant l'ensemble des livrables.
Extrait des 10 questions que nous documentons pour vous, avec la source de chaque question
| Thème | Question | Source |
|---|---|---|
| Gouvernance | Votre politique de sécurité s'appuie-t-elle sur un référentiel reconnu (NIST, ISO 27001) ? | ILPA DDQ 2.0 |
| Audit tiers | Réalisez-vous un audit annuel indépendant et des tests d'intrusion ? | CSA CAIQ v4 |
| Plan incident | Existe-t-il un plan formel de réponse à incident, documenté et maintenu ? | CSA CAIQ v4 / ILPA DDQ 2.0 |
| MFA | Pour quels services imposez-vous l'authentification multifacteur ? | Travelers - MFA Supplement |
| Comptes à privilèges | Les accès suivent-ils le principe du moindre privilège, revus périodiquement ? | CSA CAIQ v4 IAM |
| Messagerie | Quelle licence M365 utilisez-vous ? Defender / threat hunting avancé actif ? | vCSO.ai Cyber DD Checklist |
| Chiffrement | Les disques des terminaux sont-ils intégralement chiffrés ? | Google VSAQ |
| Formation | Un programme de sensibilisation sécurité est-il établi pour tous les collaborateurs ? | CSA CAIQ v4 HRS |
Chaque livrable indique explicitement ce qu'il couvre - et ce qu'il ne couvre pas
Registre TIC (art. 28), clauses contractuelles (art. 30), délais de notification (art. 19), référence aux prestataires TIC critiques désignés (art. 32).
DORA est une lex specialis vis-à-vis de NIS2 pour le secteur financier : les entités concernées appliquent DORA plutôt que les mesures NIS2 équivalentes.
Le profil PRA/PCA Finance s'aligne sur ISO 22301, référentiel de management de la continuité d'activité utilisé en complément de DORA.
La notification d'incident DORA (ACPR/AMF) est distincte de la notification RGPD (CNIL) en cas de violation de données personnelles : les deux peuvent être requises simultanément.
Chaque dossier DORA est différent selon votre statut - devis personnalisé dans tous les cas
Vous fournissez des services à une ou plusieurs entités financières
Vous êtes soumis directement à DORA (une des 21 catégories, art. 2)
Mise à jour régulière du dossier (obligations, contrats, registre)
Contactez-nous pour recevoir un devis personnalisé selon votre statut (entité financière ou prestataire TIC).
DORA expliqué simplement, sans jargon juridique. Chaque point ci-dessous renvoie vers le texte officiel qui le confirme.
DORA s'applique aux acteurs financiers européens : banques, assurances, sociétés d'investissement, plateformes de marché, gestionnaires de fonds, prestataires de paiement... ainsi qu'à leurs prestataires informatiques. Les très petites structures bénéficient de règles allégées.
Le règlement couvre 6 grands sujets : la gestion du risque informatique, la surveillance de vos prestataires extérieurs, des tests réguliers de résistance, la remontée des incidents graves, le partage d'informations sur les menaces, et la surveillance des plus gros prestataires informatiques.
Texte adopté le 14 décembre 2022, publié au Journal officiel de l'UE le 27 décembre 2022 (JO L 333). Entrée en vigueur le 16 janvier 2023. Les obligations sont réellement dues depuis le 17 janvier 2025.
Les plus gros prestataires informatiques (cloud, hébergement...) jugés « critiques » pour le secteur financier sont désormais contrôlés directement au niveau européen, avec un superviseur chef de file qui peut leur imposer des mesures.
Avant DORA, chaque pays de l'UE avait ses propres règles pour déclarer un incident informatique grave. Désormais, une procédure européenne unique s'applique : les incidents majeurs sont notifiés directement aux autorités compétentes.
Le texte prévoit que les autorités publient les sanctions administratives qu'elles prononcent. Les montants précis des amendes ne sont pas stabilisés dans les sources consultées à ce jour - à confirmer au fil des précisions officielles.