Conformité DORA : guide pour les CASP
En février 2025, une seule faille a suffi pour hacker ByBit de plus de 1,4 milliard $ – record désormais gravé en tête du leaderboard de rekt.news : la cybersécurité n’est donc pas une option, mais la condition sine qua non de la confiance des régulateurs … et des investisseurs.
Le Règlement DORA apporte la réponse normative à cette menace : depuis le 17 janvier 2025, il impose à tous les acteurs financiers, PSCA compris, un cadre harmonisé de résilience opérationnelle numérique couvrant la gouvernance des risques ICT, la gestion des incidents, les tests de pénétration avancés et la maîtrise des prestataires tiers.
L’expérience montre toutefois qu’une conformité superficielle échoue presque toujours ; DORA exige une anticipation structurée, inscrite dès aujourd’hui dans le même calendrier stratégique que MiCA, puis un pilotage continu fondé sur des indicateurs de risque et des revues périodiques
Un champ d’application étendu
Le règlement concerne la quasi-totalité des entités financières réglementées dans l’Union européenne, parmi lesquelles :
- les prestataires de services sur crypto-actifs ;
- les établissements de crédit ;
- les entreprises d’investissement ;
- les sociétés de gestion ;
- les compagnies d’assurance ;
- les plateformes de négociation ;
- les institutions de retraite professionnelle ;
- les agences de notation, etc.
Sont également concernés les prestataires tiers de services cyber dès lors qu’ils interviennent dans les fonctions critiques des entités financières. Cela signifie que le règlement ne s’applique pas uniquement aux CASP eux-mêmes, mais également à tous leurs partenaires technologiques.
Par exemple, un fournisseur de solutions de création de portefeuilles (custodian provider), un hébergeur cloud stockant des données transactionnelles, ou encore un prestataire de sécurité informatique chargé de la surveillance des flux réseau seront soumis à certaines obligations du règlement. Ces acteurs devront notamment se conformer aux exigences contractuelles, techniques et organisationnelles imposées par les entités régulées, sous peine de ne pas pouvoir entrer en relation avec des CASP.
Certaines exemptions sont néanmoins prévues pour les entités suivantes :
- les gestionnaires de fonds d’investissement alternatifs ;
- les entreprises d’assurance et de réassurance ;
- les institutions qui gèrent des régimes de retraite avec moins de quinze affiliés ;
- les intermédiaires d’assurance, de réassurance et d’assurance à titre accessoire qui sont des microentreprises ou des petites ou moyennes entreprises.
Des obligations fondamentales
Les entités doivent adopter un cadre de gouvernance des risques cyber reposant sur plusieurs piliers :
- Nomination d’un responsable DORA
- Implication de l’organe de direction, chargé d’approuver la stratégie de résilience et de superviser sa mise en œuvre (Exemple : mise en place d’un comité de pilotage ICT avec le RSSI, le DPO, le CTO et/ou le responsable juridique pour évaluer les indicateurs de risque (nombre de vulnérabilités critiques en cours, taux de conformité aux SLA clients, etc.) ;
- Identification des actifs critiques et des dépendances cyber ;
- Élaboration d’une stratégie de continuité d’activité incluant des plans de reprise informatique ;
- Surveillance et gestion des incidents, avec obligation de notifier les incidents majeurs aux autorités (Exemple : mettre en place un tableau de bord de suivi : KPI incluant le « Time to Detect » (TTD) et « Time to Recover » (TTR) mis à disposition du Comité ICT.) ;
- Réalisation de tests de résilience réguliers, incluant des tests avancés tous les trois ans pour les entités critiques ;
- Encadrement des relations avec les prestataires cyber, avec des obligations contractuelles strictes.
Extrait d’un tableau de suivi des clauses essentielles |
|||
| Clause essentielle | Description | Mesures | Fréquence |
| Exigences de sécurité | Le prestataire s’engage à mettre en place des contrôles cryptographiques (chiffrement des données au repos et en transit). | Chiffrement AES-256 pour les données sensibles ; tests d’intrusion annuels. | Annuel |
| Notification / gestion des incidents | Obligation de notifier toute faille de sécurité ou incident cyber dans un délai maximum de 24 h. | SLA de notification : < 24 h + plan d’action sous 48 h; suivi via tableau de bord. | Trimestriel |
| Droit d’audit et de contrôle | L’AMF/ACPR se réserve le droit d’auditer les infrastructures et processus du prestataire sur site ou à distance. | Accès complet aux logs; obligation de fournir les rapports ISO 27001. | Semestriel |
| Continuité d’activité | Le prestataire doit disposer d’un Plan de Continuité d’Activité (PCA) et de Reprise (PR) testés annuellement. | Tests de bascule, exercice de PRA chaque année, rapport au CFO dans les 30 j. | Annuel |
Les entités doivent également tenir à jour un registre des incidents, un registre des prestataires cyber et mettre en œuvre des indicateurs d’alerte.
Un risque cyber accru pour les CASP
Au-delà des exigences cyber générales, les CASP doivent prendre en compte des risques sectoriels spécifiques à leurs activités et au secteur crypto :
- Conservation de crypto-actifs : la gestion de wallet custodial ou non custodial expose à des risques accrus en cas de compromission des clés privées.
- Risque de hack ou de vol particulièrement élevé : les CASP sont des cibles de choix pour les attaques sophistiquées (phishing, ransomwares, attaques sur smart contracts), avec des impacts souvent importants et irréversibles.
- Environnement technique complexe : l’écosystème repose sur une chaîne d’acteurs interdépendants – fournisseurs de liquidité, prestataires de garde technologique, infrastructures blockchain, oracles, etc. Ces dépendances créent des vulnérabilités accrues à gérer dans le cadre DORA.
Application d’un principe de proportionnalité
DORA prévoit un régime spécifique pour les micro-entreprises, c’est-à-dire celles qui, selon la définition européenne, emploient moins de 10 personnes et génèrent un chiffre d’affaires ou un total de bilan inférieur à 2 millions d’euros.
Bien que soumises aux principes du règlement, ces entités bénéficient de mesures proportionnées et d’exigences allégées, notamment dans les domaines suivants :
- la documentation des politiques cyber ;
- les obligations de tests avancés de pénétration ;
- les exigences de reporting détaillé ;
L’objectif est d’éviter une surcharge réglementaire pour ces structures tout en garantissant un niveau adéquat de protection et de résilience.
Surveillance et sanctions
Les autorités nationales disposent de pouvoirs renforcés : elles peuvent effectuer des inspections sur site, exiger des documents, ordonner des mesures correctives, voire infliger des amendes. Chaque État membre peut également introduire des sanctions pénales. La documentation des politiques et la traçabilité des actions sont donc essentielles. L’AMF attend des acteurs qu’ils se saisissent du sujet au stade la demande et qu’ils puisse répondre à une véritable démarche de conformité.
Comment se conformer à DORA : feuille de routeVoici une feuille de route concrète pour les CASP souhaitant se mettre en conformité avec DORA :
Désigner un référent interne (par exemple, un responsable cybersécurité ou risque opérationnel) chargé de coordonner les actions de mise en conformité et d’assurer le lien avec la direction générale.
Mener un audit interne pour :
Si ce régime vient à s’appliquer, cela permet d’établir exactement les exigences de DORA applicables à l’entité régulée.
Élaborer une politique formalisée intégrant :
Revoir les contrats existants pour y insérer :
Organiser des sessions de formation à la cybersécurité et à la gestion des incidents, en particulier pour :
|
