DORA : guide conformité pour banques et fintech

Le règlement DORA (Digital Operational Resilience Act) entre en application le 17 janvier 2025. Pour les banques, assurances, fintech et intermédiaires financiers de l’UE, c’est une révolution : la résilience numérique devient une obligation réglementaire à part entière.

Voici ce que DORA exige concrètement de votre infrastructure IT et comment y répondre.

DORA en bref

DORA harmonise les exigences de résilience numérique pour l’ensemble du secteur financier européen. Il s’applique à plus de 22 000 entités :

Établissements de crédit
Établissements de paiement
Assurances et réassurances
Fintech et néobanques
Fonds d’investissement
Fournisseurs de services ICT tiers au secteur financier

Les 5 piliers de DORA

Gestion des risques ICT — cadre de gouvernance intégré
Gestion des incidents ICT — signalement dans des délais stricts
Tests de résilience opérationnelle — tests de pénétration réguliers, TLPT pour les systémiques
Risques liés aux tiers — due diligence renforcée sur les fournisseurs
Partage d’informations — échanges sur les menaces cyber

Pourquoi DORA change la donne pour votre cloud

Vous êtes responsable de vos fournisseurs cloud

DORA article 28 : vous devez évaluer les risques liés à chaque fournisseur de services ICT critique. Cela signifie :

Auditer la sécurité de votre hébergeur cloud
Vérifier la localisation des données et les transferts hors UE
S’assurer que votre fournisseur peut garantirla continuité
Documenter les clauses de sortie et de réversibilité

Le Cloud Act américain bloque DORA

Si vos données financières sont chez AWS, Azure ou GCP, le CLOUD Act permet au gouvernement américain d’accéder à vos données — sans votre consentement. Cela entre en contradiction directe avec DORA article 5 sur la localisation et la protection des données.

Tests de résilience obligatoires

Toutes les entités financières doivent réaliser des tests de résilience (article 24). Les entités systémiques sont soumises aux TLPT (Threat-Led Penetration Testing) supervisés par l’autorité compétente.

Cloud souverain : la réponse DORA

Données en Europe, sous juridiction européenne

Un cloud privé souverain héberge vos données sur des datacenters européens (France, pays de l’UE). Aucune exposition au CLOUD Act. Conformité DORA article 5.

Maîtrise complète de l’infrastructure

Avec un cloud privé OpenNebula :

Vous contrôlez les accès et les privilèges
Vous conservez les clés de chiffrement
Vous auditez chaque composant
Vous documentez la chaîne d’approvisionnement logicielle (100 % open source)

Tests de résilibilité intégrés

Un cloud privé avec architecture multi-site et disaster recovery permet :

Basculement automatique entre sites
Tests de reprise documentés et reproductibles
PRA et PCA conformes aux exigences DORA

Réversibilité garantie

Contrairement au cloud public où la sortie est complexe et coûteuse, un cloud privé open source garantit :

Standard de facto (OpenNebula, Kubernetes, Terraform)
Export de vos données à tout moment
Pas de vendor lock-in

L’approche Cloud Inspire pour DORA

Audit DORA (5 000 €)

Gap analysis complète couvrant les 5 piliers + plan d’action priorisé.

Cloud & AI Factory — BUILD

Cloud privé OpenNebula sur datacenters certifiés en France et en Côte d’Ivoire
Architecture multi-site avec disaster recovery
100 % open source : auditabilité complète de la chaîne d’approvisionnement

ZAK — SECURE

SIEM souverain Wazuh avec 500+ règles de détection
Conformité DORA, NIS2, RGPD par défaut
Rapports de conformité automatisés pour les autorités de supervision

RUN — MCO

Monitoring 24/7 avec alertes structurées pour le signalement d’incidents
Patching continu et vérifié
Runbooks documentés pour chaque procédure de résilience

Checklist DORA pour DSI bancaire

Démarrer votre mise en conformité DORA

→ Demander un audit DORA

→ Découvrir la solution ZAK Cybersécurité

→ Simuler mes économies cloud

DORA : comment les banques et fintech se mettent en conformité