FRAMEWORK · DORA

DORA — Résilience opérationnelle numérique.
Règlement UE 2022/2554.

En vigueur depuis le 17 janvier 2025. S'applique à 22 000+ entités financières européennes et leurs fournisseurs TIC critiques. Itamite couvre les piliers de gestion du risque TIC, gestion des incidents et tests de résilience avec preuves signées pour les autorités de contrôle nationales (ACPR, AMF, EBA).

Voir tarifs Démo DORA

À qui s'applique DORA ?

Entités financières : banques, caisses, EME/EP, assureurs et réassureurs, gestionnaires d'actifs (OPCVM, FIA), entreprises de services d'investissement, infrastructures de marché (CCP, CSD), fournisseurs de crypto-actifs (CASPs), prestataires de services de paiement (PSPs), agences de notation, fonds de pension, gestionnaires alternatifs, fournisseurs PEPP.

Particulièrement important : fournisseurs TIC critiques desservant des entités financières (cloud, data centers, MSPs, logiciel régulé). Si votre entreprise fournit des services IT à la banque/finance, DORA peut s'appliquer directement à vous.

Amendes : jusqu'à 10M€ ou 5% du chiffre d'affaires annuel mondial, le plus élevé. Pour des infractions graves, possible exclusion du registre des fournisseurs TIC autorisés → faillite du fournisseur.

CINQ PILIERS DORA

Ce qu'Itamite couvre

Pilier 1 : Gestion du risque TIC (Art. 5-15)

Itamite apporte un inventaire complet des actifs TIC (Art. 8), identification des fonctions critiques, analyse de risque continue via posture mesurée (Art. 9), protection et prévention (chiffrement, correctifs, AV — Art. 9), détection continue (Art. 10), gestion de la continuité (Art. 11), apprentissage et évolution basés sur les données.

Pilier 2 : Gestion des incidents TIC (Art. 17-23)

Audit immuable hash-chain comme preuve d'incidents. Classification automatique par sévérité. Notification initiale 4h après détection, intermédiaire 72h, finale 1 mois — Itamite fournit une chronologie technique vérifiable. Intégration SIEM pour les rapports aux autorités.

Pilier 3 : Tests de résilience (Art. 24-27)

Tests de base annuels (vulnerability assessment, scenario testing). Pour les entités significatives : TLPT (Threat-Led Penetration Testing) tous les 3 ans. Itamite fournit l'inventaire et les données pour définir le périmètre des tests et vérifier la remédiation ultérieure.

Pilier 4 : Risque tiers TIC (Art. 28-44)

Registre d'information sur tous les accords contractuels avec les fournisseurs TIC. Itamite est un fournisseur TIC : nous livrons une documentation contractuelle standard DORA-ready (clauses Art. 30, stratégie de sortie, droits d'audit, sous-traitance).

Pilier 5 : Partage d'information (Art. 45)

Capacités optionnelles de partage de renseignements sur les menaces avec d'autres entités. Itamite expose API + webhooks pour l'intégration avec les plateformes d'échange (FS-ISAC, EU-FSF).

Itrion comme fournisseur TIC DORA-ready

Pour les clients financiers : contrats spécifiques conformes à l'Art. 30 : description des fonctions critiques, localisation du traitement UE, droit d'audit sur site, niveaux de service quantitatifs (SLA), sortie ordonnée avec migration assistée, sous-traitants pré-approuvés.

QUESTIONS FRÉQUENTES

Questions sur DORA

Qui supervise la conformité DORA ?
En France : ACPR (banque et assurance) et AMF (marchés). Au niveau UE : EBA, ESMA, EIOPA. Pour les fournisseurs TIC critiques : cadre de supervision spécifique EU-wide sous coordination des AES.
Quand suis-je déclaré fournisseur TIC critique ?
Le premier exercice de désignation a été réalisé par les AES en 2024. Liste publique annuelle. Si vous êtes désigné comme critique, supervision européenne directe + obligations renforcées. La plupart des fournisseurs TIC NE SONT PAS critiques au sens formel mais doivent se conformer contractuellement à DORA en raison des exigences de leurs clients.
Itrion Software est-elle un fournisseur TIC critique DORA ?
Non désignée comme critique au niveau UE. Nous nous conformons à DORA contractuellement pour nos clients financiers : documentation Art. 30, capacité d'audit sur site, stratégie de sortie écrite, hébergement UE, sous-traitants déclarés. Liste des clients financiers : sous NDA.
Combien de temps prend la conformité DORA ?
Pour une entité financière avec plateforme IT moderne : 6-12 mois. À partir de zéro : 12-18 mois. Itamite accélère les parties inventaire, gestion du risque TIC et surveillance (3-4 mois économisés). Le reste (BCP, gouvernance, tests TLPT) nécessite un cabinet spécialisé.

Secteur financier soumis à DORA

Démo Enterprise avec cas réel banque/assurance + accès aux contrats DORA-ready.

Voir tarifs Demander une démo