DORA (Digital Operational Resilience Act)
DORA, le Digital Operational Resilience Act (Règlement UE 2022/2554), encadre depuis le 17 janvier 2025 la résilience opérationnelle numérique des banques, assureurs, entreprises d'investissement, prestataires crypto et prestataires TIC tiers critiques au sein de l'Union européenne.
DORA impose cinq piliers : cadre de gestion du risque informatique, notification harmonisée des incidents informatiques majeurs, tests de résilience incluant les tests d'intrusion guidés par la menace (TLPT), gestion du risque lié aux tiers TIC et partage volontaire d'informations sur les menaces. L'ESMA, l'EIOPA et l'EBA exercent une supervision directe sur les prestataires critiques, dont plusieurs grands fournisseurs de cloud et de modèles d'intelligence artificielle.
Pour les systèmes d'IA en finance, chaque fournisseur intervenant en paiement, gestion d'actifs, souscription ou détection de fraude relève des contrats TIC tiers DORA. Les clauses de l'article 30 sont obligatoires (audit, sortie, sous-traitance, localisation des données). L'ACPR attend une mise en conformité contractuelle complète d'ici mi-2026. Les registres d'externalisation existants doivent intégrer les champs DORA : accès à la fonction TIC, dépendance, substituabilité.