Note de Veille Stratégique : No 24-01

Cartographie des Risques DORA pour les Banques

Traduction des articles 16-20 du règlement (UE) 2022/2554 en contrôles techniques et opérationnels pour les services DLT et cloud.

Diagnostic de Résilience
  • Gouvernance TIC (Art. 16).
  • TLPT pour entités critiques.
  • RTO < 2h basé sur le BIA.
Secteurs Impactés
  • Établissements de crédit.
  • Prestataires de services Cloud.
  • Infrastructures de marché DLT.
Retour à la Veille Réglementaire

Fiche Pratique : Résilience Opérationnelle Numérique

Département Réglementaire DCM Core • Janvier 2026

CONFIDENTIEL

1. Gouvernance et Cadre TIC (Art. 16/17 DORA)

L'organe de direction porte la responsabilité directe de la résilience opérationnelle numérique. Il doit approuver et superviser le cadre de gestion des risques TIC, incluant :

  • Auditabilité : Mise en place de contrôles internes et d'audits TIC indépendants réguliers.
  • Formation : Sensibilisation obligatoire des dirigeants aux cyber-menaces spécifiques au Web3 et au Cloud.

2. Tests de Résilience Avancés (TLPT - Art. 26/27)

Pour les entités identifiées comme "critiques", DORA impose des tests de pénétration fondés sur les menaces (Threat-Led Penetration Testing - TLPT) tous les 3 ans.

Portée DLT : Les tests doivent couvrir l'intégralité de la supply-chain numérique, y compris les fournisseurs de nœuds et les services d'oracle externalisés.

3. Continuité & RTO (Art. 19-20)

L'exigence de temps de rétablissement (RTO < 2h) est une cible standard pour les fonctions critiques, mais elle doit être ajustée sur la base d'une **Analyse d'Impact sur l'Activité (BIA)** robuste.

La stratégie de restauration doit inclure des mécanismes de basculement (failover) instantanés pour les infrastructures on-chain validatrices.

DORA Readiness Checklist

ICT Risk Framework approuvé par le Board (Art. 16)
Stratégie de gestion des risques tiers (Cloud/DLT)
Test TLPT planifié avec prestataires accrédités
Registre des contrats tiers mis à jour (Register of Information)

Sources Officielles

Lectures Complémentaires

Citation recommandée :

DCM Core Institute (2026). Cartographie des Risques DORA. Analyst Briefing No 24-01. Disponible sur dcmcore.com/fr/dora-risk-mapping.html

TÉLÉCHARGER LE BRIEFING (PDF)