Aller au contenu
Guide de conformité

DORA expliquée : impact sur l'achat de logiciels dans le secteur financier

DORA entrera en vigueur le 17 janvier 2025 et transforme fondamentalement la manière dont les organisations financières achètent et contractent des logiciels. Voici tout ce que vous devez savoir sur les cinq piliers, les exigences contractuelles et l'impact sur la gestion des fournisseurs.

  • 1 février 2025
  • 5 min
  • DORA – Digital Operational Resilience Act

DORA, le Digital Operational Resilience Act, entrera en vigueur le 17 janvier 2025 dans tous les États membres de l'UE. Pour les organisations financières et leurs fournisseurs informatiques, un changement fondamental s’opère : la résilience numérique n’est plus une question IT interne, mais une obligation réglementée avec supervision et sanctions.

Qu’est-ce que DORA ?

DORA est un règlement européen, non une directive, donc directement applicable, qui régule la résilience opérationnelle numérique du secteur financier. Ce règlement fait partie du Digital Finance Package et concerne 20 catégories d’entités financières, des banques et compagnies d’assurance aux fintechs et prestataires de services crypto.

Les cinq piliers de DORA

DORA structure ses exigences autour de cinq axes principaux :

  • Gestion des risques informatiques : Un cadre complet pour identifier, classifier et maîtriser les risques IT

  • Rapport d’incidents : Les incidents IT majeurs doivent être signalés aux autorités dans des délais stricts

  • Tests de résilience numérique : Tests périodiques d’intrusion et scénarios de résilience pour les systèmes critiques

  • Gestion des risques liés aux tiers : Obligations contractuelles, registres fournisseurs et analyse du risque de concentration

  • Échange d’informations : Partage proactif des informations sur les menaces au sein du secteur

Quelle est l’impact de DORA sur l’achat de logiciels ?

Le quatrième pilier, la gestion des risques liés aux tiers, a un impact direct sur la manière dont les organisations financières achètent et contractent des logiciels :

  • Exigences contractuelles minimales : Chaque contrat IT doit inclure des clauses sur le SLA, la notification d’incidents, les droits d’audit, le plan de sortie, la localisation des données et la continuité

  • Registre des fournisseurs IT : Un registre actualisé et complet de tous les fournisseurs IT est obligatoire et doit être accessible aux autorités de contrôle

  • Risque de concentration : Une dépendance excessive à un seul fournisseur (ex. un cloud provider) doit être évaluée et reportée

  • Sous-traitants : Les sous-traitants de vos fournisseurs sont également couverts par le périmètre DORA

SoftVaro aide les organisations financières à cartographier leur paysage logiciel et à rendre leurs contrats conformes à DORA.

Questions fréquentes

Les questions les plus posées sur ce sujet.

À qui s’applique DORA ?

DORA s’applique aux banques, compagnies d’assurance, organismes de placement collectif, établissements de paiement, prestataires de services crypto, fonds de pension et à tous les fournisseurs IT fournissant des services critiques à ces entités.

DORA s’applique-t-elle aussi à mon fournisseur de logiciels ?

Oui. Si vous fournissez des logiciels ou des services IT à une institution financière soumise à DORA, vous êtes tenu, en tant que fournisseur IT, de respecter les exigences contractuelles DORA imposées par cette institution. Les fournisseurs IT critiques peuvent également être soumis à une supervision directe de l’UE.

Quelles sont les sanctions en cas de non-respect de DORA ?

Les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires annuel mondial total. Pour les fournisseurs IT critiques soumis à une surveillance directe de l’UE, des sanctions supplémentaires peuvent s’appliquer.

Prêt à économiser sur les logiciels ?

SoftVaro négocie pour vous les meilleures offres auprès de plus de 4 000 fournisseurs. Indépendant, transparent, sous 24 heures.

Découvrez votre économie

Plus dans la base de connaissances

Article

Qu’est-ce que la gestion du tail spend dans les logiciels ?

Lire la suiteArticle

Qu’est-ce que le shadow IT et pourquoi est-ce un risque ?

Lire la suiteArticle

Qu'est-ce que la consolidation des fournisseurs et comment s'y prendre ?

Lire la suiteGuide de conformité

NIS2 : tout ce que vous devez savoir sur la loi cybersécurité et l’achat de logiciels

Lire la suiteArticle

Audits logicielles : comment fonctionnent-elles et comment se protéger ?

Lire la suiteArticle

Modèles de licence logicielle expliqués : abonnement, perpétuel et basé sur l’utilisation

Lire la suite

Changer de langue

Plus de pages

Préférences de cookies

Choisissez par catégorie ce que nous pouvons placer. Les cookies strictement nécessaires ne peuvent pas être désactivés.

  • Analytique tiers (Google)

    Google Analytics 4 pour l'amélioration produit : pages vues, temps passé, clics. En complément de notre Umami respectueux de la vie privée (toujours actif, aucun consentement requis). Transfert de données vers Google aux États-Unis — sous les Clauses Contractuelles Types.

  • Marketing

    Leadinfo identifie les entreprises visitant le site via l'adresse IP, pour le suivi commercial B2B. Aucune donnée personnelle de visiteurs individuels.

  • Strictement nécessaires

    Pour le fonctionnement de base du site : préférence linguistique, gestion de session. Aucun tiers.

    Toujours actif

Pas de mesure Umami

Umami relève de l'exception analytique et ne nécessite pas de consentement, mais vous pouvez choisir de ne pas être mesuré.