Espace Client
Unitel.fr
Règlement DORA : ce que ça change pour votre infrastructure cloud en 2025
Use case
news
témoignage
Avis d’expert

Règlement DORA : ce que ça change pour votre infrastructure cloud en 2025

Cloud
6 min
12/2025
Retour
Retour
Retour
Retour
Retour
Partager l’article

Depuis le 17 janvier 2025, le règlement européen DORA impose un nouveau cadre de résilience numérique aux acteurs financiers. Banques, assureurs, fintechs : vous êtes concernés. Et vos hébergeurs aussi.

DORA, c'est quoi exactement ?

Le Digital Operational Resilience Act (règlement UE 2022/2554) harmonise les règles de cybersécurité et de gestion des risques informatiques pour l'ensemble du secteur financier européen. Avant DORA, la gestion des risques liés aux TIC était fragmentée : les exigences variaient d'un État membre à l'autre et selon les secteurs (banque, assurance, marchés), créant des niveaux de protection inégaux.

L'objectif est clair : garantir que les entités financières puissent encaisser une cyberattaque, une panne système ou la défaillance d'un fournisseur cloud sans interrompre leurs services critiques.

Qui est concerné ?

Le règlement englobe un large éventail d'acteurs : établissements de crédit, sociétés d'investissement, compagnies d'assurance et de réassurance, établissements de paiement, mais aussi les fintechs, les prestataires de services sur crypto-actifs et les plateformes de financement participatif.

Au total, plus de 22 000 entités financières en Europe sont directement concernées.

Et c'est là que ça devient intéressant pour vous : DORA élargit la responsabilité des entreprises à leurs prestataires externes de services numériques. Un incident survenant chez un fournisseur cloud peut désormais entraîner la responsabilité directe de l'établissement financier client.

Les 5 piliers de DORA

Le règlement s'articule autour de cinq axes majeurs :

1. Gestion des risques TICLes entités financières doivent mettre en place un cadre structuré de gouvernance des risques informatiques, avec des politiques documentées et une supervision par la direction.

2. Notification des incidentsLes organisations doivent identifier rapidement les incidents liés aux TIC, en mesurer les impacts, les classer selon des critères précis, puis les notifier aux autorités dans un délai déterminé.

3. Tests de résilienceLes entités importantes doivent mettre en place des tests de pénétration fondés sur la menace au moins tous les trois ans, conformément au framework TIBER-EU.

4. Gestion des risques liés aux prestataires TICC'est le volet qui nous concerne directement en tant qu'hébergeur. Les contrats doivent désormais inclure des clauses obligatoires relatives aux services fournis, à leur localisation, aux niveaux de service et à la sécurité des données.

5. Partage d'informationsLes entités financières peuvent échanger entre elles des informations sur les cybermenaces, à condition que ces échanges visent à renforcer leur résilience numérique et protègent la confidentialité des données.

Ce que DORA exige de vos prestataires cloud

Le règlement désigne comme « prestataire de services TIC » toute entité externe qui fournit aux entreprises financières un service lié aux technologies de l'information et de la communication, y compris l'hébergement cloud.

Les clauses contractuelles obligatoires incluent :

  • Localisation des données : vous devez savoir où sont hébergées vos données et celles de vos clients
  • Niveaux de service (SLA) : des engagements documentés sur la disponibilité et la performance
  • Droit d'audit : votre hébergeur doit autoriser les audits menés par l'entité financière ou ses représentants
  • Assistance en cas d'incident : obligation de support en cas de problème lié aux TIC
  • Stratégie de sortie : les entités financières doivent disposer de plans de réversibilité pour les services TIC critiques

Prestataires TIC "critiques" : une surveillance renforcée

Les prestataires tiers critiques de services TIC (cloud, hébergeurs, éditeurs logiciels) font l'objet d'une supervision directe par les autorités européennes (EBA, EIOPA, ESMA).

Pour les prestataires non européens désignés comme critiques, la règle est stricte : ils doivent établir une filiale dans l'Union européenne pour continuer à servir les entités financières.

Pourquoi vos certifications comptent plus que jamais

Face aux exigences DORA, le choix d'un hébergeur certifié n'est plus un nice-to-have. C'est une obligation de fait.

DORA s'appuie sur des principes déjà présents dans l'ISO 27001, notamment en matière de sécurité de l'information et de gestion des risques.

Chez Unitel, nos certifications répondent directement aux exigences du règlement :

  • ISO 27001 : système de management de la sécurité de l'information aligné sur les exigences DORA de gouvernance des risques TIC
  • PCI DSS : standards de protection des données de paiement, directement pertinents pour les établissements financiers traitant des transactions

Ces certifications attestent d'une maturité opérationnelle en matière de sécurité, de gestion des incidents et de continuité d'activité — exactement ce que DORA attend de vos prestataires.

L'avantage souverain face à DORA

DORA impose de documenter précisément la localisation des données et la chaîne de sous-traitance.

Avec un hébergeur souverain français :

  • Localisation garantie : vos données restent en France, dans des datacenters dont vous connaissez l'adresse
  • Chaîne de sous-traitance maîtrisée : pas de transferts vers des juridictions extra-européennes
  • Conformité RGPD native : pas de conflit entre réglementations européennes et lois extraterritoriales type Cloud Act
  • Interlocuteurs en France : audits, incidents, questions contractuelles — tout se gère localement

Les sanctions en cas de non-conformité

Les entités qui enfreignent les dispositions du règlement sont passibles d'une amende pouvant atteindre 2 % de leur chiffre d'affaires annuel mondial total, ou jusqu'à 1 000 000 d'euros pour une personne physique.

Au-delà des amendes, c'est la réputation et la continuité d'activité qui sont en jeu. Plus de 60 % des incidents majeurs dans la finance en Europe sont liés à des prestataires TIC.

Comment Unitel vous accompagne vers la conformité DORA

En tant qu'hébergeur certifié PCI DSS et ISO 27001, nous proposons :

  • Documentation contractuelle DORA-ready : clauses conformes à l'article 30 du règlement
  • Transparence totale sur la localisation et le traitement des données
  • SLA documentés avec engagements de disponibilité et procédures d'escalade
  • Support aux audits : nous facilitons vos obligations de contrôle de vos prestataires TIC
  • Plans de réversibilité : stratégies de sortie documentées pour vos fonctions critiques

Photo : Photo de Guillaume Périgois sur Unsplash

Conseil / Audit

En savoir plus
Nous contacter
En savoir plus
Nous contacter

Pour approfondir

5min
12/2025

HDS v2 - tout comprendre de la règlementation et ses enjeux

Comprendre la norme HDSv2 en 5 min
Lire l’article
5min
12/2025

Règlement DORA : ce que ça change pour votre infrastructure cloud en 2025

Les impacts règlementaires liés à DORA
Lire l’article
5min
12/2025

Pourquoi un smartbuilding n'est pas qu’un déploiement de capteurs

La valeur du smartbuilding repose sur l'exploitation intelligente de la donnée
Lire l’article
5min
11/2025

Le territoire Fos/Berre déploie son premier réseau 5G privé souverain

Fos/Berre modernise son industrie avec un réseau 5G privé.
Lire l’article