DORA et cartographie SI : obligations pour le secteur financier en 2026
Le règlement DORA impose de nouvelles obligations de résilience numérique au secteur financier. Découvrez comment la cartographie SI vous aide à être conforme.
Frédéric Le Bris
CEO & Co-fondateur
Le reglement europeen DORA (Digital Operational Resilience Act) est entre en application le 17 janvier 2025. Depuis cette date, les entites financieres de l'Union europeenne -- banques, assurances, societes de gestion, prestataires de services de paiement, mais aussi de nombreuses fintech et PME du secteur financier -- doivent se conformer a un ensemble d'exigences strictes en matiere de resilience operationnelle numerique.
Parmi ces exigences, la [cartographie du systeme d'information](/fr/blog/cartographie-systeme-information-definition-guide) occupe une place centrale. Impossible de gerer les risques ICT (Information and Communication Technology), d'identifier les dependances critiques ou de tester sa resilience sans une connaissance fine de son patrimoine applicatif et de ses flux de donnees.
Cet article decrypte les obligations DORA, explique concretement comment la cartographie SI repond a ces exigences, et propose une demarche pragmatique pour les PME et ETI du secteur financier.
DORA : ce qu'il faut retenir
L'objectif du reglement
DORA (Reglement (UE) 2022/2554) vise a harmoniser et renforcer la resilience operationnelle numerique du secteur financier europeen. L'objectif est clair : s'assurer que les entites financieres peuvent resister, reagir et se retablir face a toute perturbation grave liee aux technologies de l'information et de la communication (TIC).
Contrairement a la directive NIS2 qui doit etre transposee en droit national, DORA est un reglement europeen : il s'applique directement dans tous les Etats membres, sans transposition. Les regles sont les memes a Paris, Francfort ou Amsterdam.
Qui est concerne ?
Le perimetre de DORA est large. Sont concernes :
Les entites financieres :
- Etablissements de credit (banques)
- Entreprises d'investissement
- Societes de gestion d'actifs (SGP, OPCVM, FIA)
- Compagnies d'assurance et de reassurance
- Intermediaires d'assurance
- Etablissements de paiement et de monnaie electronique
- Prestataires de services sur crypto-actifs
- Depositaires centraux de titres
- Contreparties centrales
- Plateformes de negociation
- Referentiels centraux
- Agences de notation de credit
- Administrateurs d'indices de reference
- Prestataires de services de financement participatif
- Institutions de retraite professionnelle
Les prestataires tiers critiques de services TIC :
DORA introduit une supervision directe des prestataires de services TIC designes comme "critiques" par les autorites europeennes (ESA). Si vous etes fournisseur cloud, hebergeur ou editeur de logiciel pour des entites financieres, vous pouvez etre concerne.
Le point important pour les PME : DORA ne prevoit pas de seuil de taille. Une fintech de 20 personnes qui fournit des services de paiement est soumise aux memes obligations fondamentales qu'une grande banque, meme si le principe de proportionnalite permet d'adapter les exigences a la taille et a la complexite de l'organisation.
Les cinq piliers de DORA
DORA s'articule autour de cinq piliers :
| Pilier | Description | Lien avec la cartographie SI |
|---|---|---|
| Gestion des risques TIC | Cadre de gestion des risques, gouvernance, identification des actifs | Direct : necessiste un inventaire complet du SI |
| Gestion des incidents TIC | Detection, classification, notification des incidents | Fort : la cartographie aide a identifier l'impact |
| Tests de resilience operationnelle | Tests reguliers, y compris des tests de penetration avances (TLPT) | Fort : les tests doivent couvrir les systemes critiques identifies |
| Gestion des risques tiers TIC | Registre des prestataires, evaluation des risques, clauses contractuelles | Direct : cartographier les dependances aux tiers |
| Partage d'informations | Echange d'informations sur les cybermenaces | Indirect |
Ce que DORA exige concretement en matiere de cartographie
Article 8 : Identification des actifs TIC
L'article 8 du reglement DORA est explicite. Les entites financieres doivent :
- Identifier, classifier et documenter l'ensemble des fonctions metier, des roles et des responsabilites supportes par les actifs TIC
- Identifier toutes les sources de risques TIC, en particulier l'exposition aux risques et les dependances a des prestataires tiers
- Realiser un inventaire de tous les actifs d'information et des actifs TIC, y compris ceux situes hors site, les actifs reseau et les equipements materiels
- Cartographier les liens et interdependances entre les actifs TIC, les processus et les fonctions metier critiques
Concretement, cela signifie que vous devez disposer d'une cartographie a jour qui repond a ces questions :
- Quelles sont mes applications et mes systemes ?
- Quelles fonctions metier dependent de quelles applications ?
- Quelles applications dependent de quels prestataires tiers ?
- Quels sont mes flux de donnees critiques ?
- Quelles sont mes dependances techniques (serveurs, reseaux, cloud) ?
Article 28 : Registre des prestataires tiers TIC
DORA impose la tenue d'un registre d'informations sur l'ensemble des accords contractuels portant sur l'utilisation de services TIC fournis par des prestataires tiers. Ce registre doit inclure :
- L'identification des prestataires
- Les services fournis
- Les fonctions metier supportees
- Les lieux de traitement des donnees
- Les clauses de sous-traitance
Ce registre est directement lie a la cartographie SI : il s'agit de documenter qui fournit quoi, pour supporter quelle fonction metier.
Article 11 : Plans de continuite et de reprise
Les entites financieres doivent disposer de [plans de continuite d'activite et de reprise](/fr/blog/pca-pra-cartographie-si-resilience-eti) pour les systemes TIC. Ces plans doivent couvrir les fonctions critiques ou importantes et tenir compte de l'analyse d'impact metier (BIA).
Sans cartographie SI, il est impossible de :
- Identifier les systemes qui supportent les fonctions critiques
- Evaluer l'impact de la perte d'un systeme
- Definir les priorites de reprise (RTO/RPO)
- Tester la reprise de maniere realiste
Comment la cartographie SI repond aux exigences DORA
Niveau 1 : L'inventaire applicatif
Le premier niveau est l'inventaire complet de vos applications et systemes. Pour chaque element, documentez au minimum :
- Nom et description
- Editeur / technologie
- Type d'hebergement (interne, cloud, hybride)
- Prestataire tiers (si applicable)
- Criticite metier (critique, importante, standard)
- Statut de cycle de vie (en production, en retrait, en projet)
Cet inventaire repond directement a l'exigence d'identification des actifs TIC de l'article 8.
Niveau 2 : Les relations et dependances
Le deuxieme niveau cartographie les liens entre les elements :
- Application <-> Fonction metier : quelle application supporte quelle fonction ?
- Application <-> Prestataire : quelle application est fournie ou hebergee par quel tiers ?
- Application <-> Application : quels flux de donnees entre applications ?
- Application <-> Infrastructure : sur quelle infrastructure repose chaque application ?
Ce niveau repond a l'exigence de cartographie des interdependances et alimente le registre des prestataires tiers (article 28).
Niveau 3 : L'analyse de criticite et d'impact
Le troisieme niveau exploite la cartographie pour produire des analyses :
- Analyse d'impact metier (BIA) : si l'application X tombe, quelles fonctions metier sont impactees ?
- Analyse de concentration : suis-je trop dependant d'un seul prestataire cloud ?
- Identification des SPOF : quelles applications n'ont pas de solution de secours ?
- Matrice de criticite : quels systemes necessitent les PCA/PRA les plus robustes ?
Demarche pragmatique pour les PME du secteur financier
Etape 1 : Nommer un responsable (semaine 1)
DORA exige une [gouvernance](/fr/blog/gouvernance-it-pme-croissance) claire des risques TIC. Identifiez un responsable (souvent le DSI ou le RSSI dans une PME) qui pilotera la demarche de cartographie et de conformite.
Etape 2 : Realiser l'inventaire applicatif (semaines 2-3)
Commencez par lister vos applications. Pour une PME financiere de 50 a 500 personnes, vous avez typiquement entre 30 et 150 applications. Partez de ce que vous connaissez :
- Les applications metier (front-office, back-office, reporting reglementaire)
- Les applications transverses (messagerie, RH, comptabilite)
- Les services cloud (SaaS, IaaS, PaaS)
- Les outils de securite (antivirus, pare-feu, SIEM)
Un outil comme UrbaHive permet de realiser cet inventaire en quelques heures grace a son interface intuitive et son plan gratuit (25 applications). Pour un perimetre plus large, les plans payants restent accessibles.
Etape 3 : Cartographier les dependances (semaines 3-5)
Une fois l'inventaire realise, identifiez les relations :
- Quelles applications dependent de quel prestataire tiers ?
- Quels flux de donnees circulent entre les applications ?
- Quelles fonctions metier sont supportees par quelles applications ?
C'est la partie la plus riche en valeur. Elle revele souvent des dependances insoupconnees et des concentrations de risques.
Etape 4 : Evaluer la criticite (semaine 5-6)
Pour chaque application et chaque prestataire, evaluez :
- La criticite metier : quel impact si cette application est indisponible ?
- Le RTO (Recovery Time Objective) : en combien de temps devez-vous restaurer le service ?
- Le RPO (Recovery Point Objective) : quelle perte de donnees est acceptable ?
- La substituabilite : pouvez-vous basculer sur une solution alternative ?
Etape 5 : Constituer le registre des prestataires tiers (semaine 6-7)
A partir de la cartographie, construisez le registre exige par l'article 28. Pour chaque prestataire TIC :
| Information | Detail |
|---|---|
| Identite du prestataire | Raison sociale, pays, numero d'enregistrement |
| Services fournis | Description des services TIC |
| Fonctions supportees | Fonctions metier critiques ou importantes |
| Lieu de traitement | Pays ou les donnees sont traitees et stockees |
| Sous-traitance | Le prestataire sous-traite-t-il ? A qui ? |
| Date de debut | Date du contrat |
| Date de renouvellement | Echeance, modalites de sortie |
| Evaluation des risques | Niveau de risque, mesures d'attenuation |
Etape 6 : Maintenir la cartographie a jour (continu)
La cartographie DORA n'est pas un exercice ponctuel. Elle doit etre maintenue a jour en continu. C'est la ou un outil collaboratif fait la difference : quand plusieurs personnes peuvent contribuer et mettre a jour la cartographie, elle reste vivante. Quand c'est un fichier Excel gere par une seule personne, elle est obsolete au bout de quelques semaines.
Les sanctions en cas de non-conformite
Les autorites de supervision nationales (en France, l'ACPR et l'AMF) sont habilitees a :
- Emettre des injonctions de mise en conformite
- Imposer des sanctions administratives dont le montant peut etre significatif
- Publier des declarations publiques identifiant l'entite en infraction
- Suspendre ou retirer des autorisations d'exercice dans les cas les plus graves
Pour les prestataires tiers TIC designes comme critiques, les autorites europeennes (ESA) peuvent imposer des astreintes journalieres pouvant atteindre 1 % du chiffre d'affaires quotidien moyen mondial.
Le risque n'est pas seulement financier : c'est aussi un risque reputationnel majeur dans un secteur ou la confiance est fondamentale.
DORA et NIS2 : quelle articulation ?
DORA et NIS2 sont deux reglementations complementaires mais distinctes :
| Aspect | DORA | NIS2 |
|---|---|---|
| Type | Reglement (application directe) | Directive (transposition nationale) |
| Secteur | Financier uniquement | Multi-sectoriel |
| Specificite | Tres specifique au secteur financier | Cadre general de cybersecurite |
| Priorite | DORA prevaut (lex specialis) | S'applique en complement |
Pour les entites financieres, DORA est le texte de reference. Les exigences NIS2 s'appliquent en complement sur les aspects non couverts par DORA, mais c'est DORA qui fixe le cadre specifique.
La bonne nouvelle : une cartographie SI realisee pour DORA couvre largement les exigences de NIS2 en matiere de connaissance du SI. C'est un investissement a double dividende.
Pourquoi les outils classiques ne suffisent pas
Excel : le faux ami
La majorite des PME financieres gerent encore leur inventaire applicatif dans des fichiers Excel. C'est comprehensible -- c'est l'outil que tout le monde connait -- mais c'est insuffisant pour DORA :
- Pas de vues graphiques : impossible de visualiser les interdependances
- Pas de collaboration : un fichier Excel n'est pas multi-utilisateur en temps reel
- Pas de traçabilite : qui a modifie quoi, quand ?
- Obsolescence rapide : sans contribution collaborative, le fichier est perime en quelques semaines
- Pas de relations structurees : les liens entre applications, prestataires et fonctions metier sont difficiles a gerer dans un tableur
Les outils Enterprise : le surdimensionnement
A l'oppose, les solutions comme LeanIX ou Ardoq sont concues pour les grands groupes. Leur prix (50 000 EUR/an et plus), leur complexite de deploiement et l'absence de support en francais les rendent inadaptees aux PME du secteur financier.
L'approche UrbaHive
UrbaHive se positionne entre ces deux extremes :
- Plus structure qu'Excel : vues graphiques, relations, collaboration, traçabilite
- Plus accessible qu'un outil Enterprise : plan gratuit, demarrage immediat, support francais
- Adapte aux PME financieres : le perimetre fonctionnel couvre les besoins DORA sans complexite superflue
Checklist DORA pour votre cartographie SI
Utilisez cette checklist pour evaluer votre niveau de conformite :
- [ ] Inventaire applicatif complet : toutes les applications et systemes TIC sont identifies et documentes
- [ ] Classification de criticite : chaque application est classee (critique, importante, standard)
- [ ] Cartographie des dependances : les liens applications-fonctions metier sont documentes
- [ ] Registre des prestataires tiers : tous les prestataires TIC sont recenses avec les informations exigees
- [ ] Analyse de concentration : les risques de dependance a un prestataire unique sont identifies
- [ ] Analyse d'impact : l'impact de la perte de chaque systeme critique est evalue
- [ ] Plans de continuite : les PCA/PRA couvrent les systemes identifies comme critiques
- [ ] Mise a jour reguliere : la cartographie est maintenue a jour (revue au moins trimestrielle)
- [ ] Gouvernance : un responsable est identifie pour la gestion des risques TIC
Notre verdict
La conformite DORA n'est pas optionnelle, et la cartographie SI en est un pilier fondamental. Pour les PME et ETI du secteur financier, l'enjeu est de trouver le bon niveau d'outillage : suffisamment structure pour repondre aux exigences reglementaires, suffisamment simple pour etre effectivement utilise et maintenu.
Excel est insuffisant. Les outils Enterprise sont surdimensionnes. Un outil comme UrbaHive offre le bon compromis : la rigueur necessaire a DORA, la simplicite necessaire a une PME. Pour approfondir les enjeux de securite, consultez notre guide sur la cartographie SI et cybersecurite, et pour choisir votre outil, decouvrez notre comparatif des outils de cartographie SI.
L'essentiel est de commencer maintenant. DORA est en vigueur depuis janvier 2025. Les autorites de supervision montent progressivement en puissance. Mieux vaut une cartographie imparfaite mais vivante qu'un projet de cartographie parfait qui n'a pas encore demarre.
Demarrez votre cartographie DORA des aujourd'hui. Avec le plan gratuit UrbaHive, inventoriez vos 25 premieres applications et commencez a documenter vos dependances critiques. Sans engagement, sans carte bancaire. Demarrer gratuitement sur UrbaHive