Vous êtes un établissement financier et avez besoin de vous mettre en conformité
par rapport à DORA ?

Confiez-nous la gestion de votre mise en conformité à DORA

Une prise en main rapide par nos équipes grâce à notre expérience DORA
Possibilité de vous accompagner à toutes les étapes (audit, plan d'actions de mise en conformité, pilotage de la feuille de route, sensibilisation CODIR et collaborateurs...)
Nos connaissances des référentiels cyber [NIS2, ISO27001, PASSI, TISAX...] nous permettent de détecter rapidement les points clés
Nos consultants certifiés vous accompagnent au niveau stratégique et opérationnel

NETSYSTEM vous accompagne pas à pas dans l’audit DORA et votre mise en conformité, avec une approche sur-mesure alliant cybersécurité, gestion des risques IT, gouvernance et audit.

Votre devis DORA personnalisé

Les 5 piliers de DORA

Depuis janvier 2025, la réglementation DORA impose aux entités financières de renforcer leur résilience opérationnelle numérique à travers 5 piliers.

Gouvernance et gestion des risques TIC

Les dirigeants doivent démontrer une implication forte dans la gestion des risques liés aux TIC.
Mise en place obligatoire d’un cadre de gestion des risques : politiques, procédures, cartographie, indicateurs, processus de contrôle.
Intégration dans la stratégie globale de l’entreprise.

Gestion des incidents

Mise en place d’un processus formalisé de détection, classification, gestion et communication des incidents.
Obligation de notification des incidents majeurs aux autorités compétentes dans des délais courts (type NIS2).
Tenue d’un registre des incidents.

Tests de résilience opérationnelle

Obligation d’effectuer régulièrement des tests de vulnérabilité, d’intrusion et de continuité.
Pour certaines entités, des tests avancés de type « TLPT » (Threat-Led Penetration Testing) sont exigés.
Objectif : s’assurer que les systèmes et les plans de continuité fonctionnent réellement.

Maitrise des prestataires TIC

DORA impose une cartographie des prestataires TIC et une gouvernance rigoureuse des contrats critiques.
L’entreprise reste responsable de ses prestataires.
Obligation de prévoir dans les contrats des clauses de sécurité, de réversibilité, d’audit, etc.

Partage d’informations

Encouragement (non obligatoire) à partager des informations sur les menaces entre entités du secteur pour renforcer la posture collective.
Cadre encadré pour éviter les abus ou le risque juridique.

Pourquoi se mettre en conformité avec DORA ?

Qu’est-ce que DORA ?

DORA (Digital Operational Resilience Act ou règlement sur la résilience opérationnelle numérique) est un cadre réglementaire détaillé et complet sur la résilience opérationnelle numérique pour les entités financières.

Son objectif : garantir la continuité des activités critiques en cas d’incident numérique majeur, grâce à une meilleure gestion des risques IT, une gouvernance robuste, et des exigences claires vis-à-vis des prestataires tiers.

Qui est concerné par DORA ?

La réglementation DORA s’adresse à l’ensemble des entités financières réglementées : banques, assureurs, fintech, sociétés de gestion, entreprises d’investissement, prestataires de services d’information (PSI), etc.

Quels sont les enjeux principaux de DORA ?

L’objectif principal est de professionnaliser la sécurité informatique des entités financières afin de limiter les risques et garantir la continuité de service.

Enjeux principaux :

Gestion des risques liés aux TIC

Stratégie de résilience opérationnelle numérique
Politique de gestion des risques TIC
Politique de sécurité des systèmes d’information (yc sécurité physique, sécurité logique, gestion des accès, sécurité des données et des réseaux …)
Politique de gestion des actifs de TIC et inventaire des actifs
Politiques et procédures de gestion des opérations TIC
Politique et plans de continuité et de reprise d’activité TIC
Programmes de sensibilisation et de formation à la sécurité et à la résilience opérationnelle

Gestion et notification des incidents TIC et des cybermenaces

Procédure de classification des incidents TIC et menaces cyber
Procédure de détection, prévention et de réponse aux incidents liés aux TIC
Procédure de déclaration des incidents majeurs liés aux TIC et de notification volontaire des cybermenaces significatives
Procédure de reporting des coûts et pertes annuels agrégés occasionnés par des incidents majeurs liés aux TIC
Plan de communication en cas d’incident TIC

Tests de résilience opérationnelle numérique

Programme de tests de résilience opérationnelle numérique
Procédures opérationnelles de conduite des tests
Procédure de résolution des problèmes mis en évidence au cours des tests et de validation de la mise en œuvre des plans de remédiation

Gestion des risques liés aux prestataires TIC

Mapping des services TIC et des fonctions, identification des prestataires de services TIC
Politique relative à l’utilisation de services TIC soutenant des fonctions critiques ou importantes (fournis par des prestataires de services TIC)
Registre d’informations sur les accords contractuels relatifs à l’utilisation de services TIC fournis par les prestataires de services TIC
Stratégies et plans de sortie

Quels sont les risques ?

La non-conformité peut entraîner des sanctions financières, un retrait d’agrément ou des dégradations réputationnelles majeures.

Mais au delà de ces sanctions, le risque majeur est bien évidemment de mettre en péril l’activité de l’entité en cas d’attaque cyber.

Combien de temps faut-il pour être conforme à DORA ?

Cela dépend de votre niveau de maturité initiale. En moyenne, il faut entre 6 et 12 mois pour une mise en conformité complète.

Quelle différence entre DORA et NIS2 ?

NIS2 s’adresse à des secteurs critiques plus larges. DORA est spécifiquement conçu pour le secteur financier, avec un focus opérationnel et réglementaire plus poussé.

Netsystem a accompagné KERIALIS dans sa mise en conformité à DORA

KERIALIS, institution de protection sociale dédiée aux professions du droit et du chiffre, offre des prestations en complémentaire santé, prévoyance, dépendance, indemnité de fin de carrière et retraite, ainsi qu’un ensemble de services pour accompagner ses assurés au quotidien.

L’organisation désirait améliorer sa résilience opérationnelle en se conformant à la réglementation DORA, spécifique à son secteur d’activité et plus généralement aux sociétés de services financiers.

"Dans le cadre de la mise en conformité aux exigences du règlement DORA chez KERIALIS, nous cherchions un prestataire pouvant nous accompagner. Nous avons choisi Netsystem pour leur rapidité à prendre contact avec nous, la qualité des échanges et la rapidité de leur réponse. NETSYSTEM est une structure agile avec une forte capacité d’adaptation et des RSSI expérimentés, notamment sur les aspects cybersécurité liés à DORA."

Marie LEAO, Fonction clé conformité et Responsable du contrôle permanent chez KERIALIS

Pourquoi choisir Netsystem ?

Expertise réglementaire confirmée (DORA, NIS2, RGPD, ISO 27001)
Expérience du secteur financier et de ses contraintes
Accompagnement opérationnel et stratégique
Consultants certifiés, méthodologies éprouvées
Veille réglementaire continue et adaptation aux évolutions

DORA est une formidable opportunité pour les entités financières de se mettre à niveau en termes de cybersécurité et d'assurer la résilience de leur organisation. Ce texte ne se limite pas à un simple cadre de conformité : il impose une réelle transformation dans la gouvernance IT, la gestion des prestataires critiques, la préparation aux incidents et la continuité d’activité. Chez NETSYSTEM, nous accompagnons nos clients non seulement pour répondre aux exigences du règlement, mais surtout pour en tirer un avantage structurel. L’approche que nous proposons s’appuie sur une vision stratégique, des méthodes éprouvées, et une capacité à rendre les sujets techniques concrets pour les directions métiers et réglementaires. Pour nous, DORA est une opportunité de renforcer la confiance numérique dans tout l’écosystème financier. Et c’est précisément notre rôle : construire des organisations plus robustes, plus transparentes et plus résilientes.

Vincent FERRARA, Head of Digital Trust practice