Treezor à l’ère DORA : vers une conformité renforcée

La digitalisation rapide du secteur financier européen ouvre de nouvelles perspectives, mais elle amplifie aussi les risques : cyberattaques toujours plus sophistiquées, dépendance accrue aux technologies de l’information, concentration des prestataires critiques à l’échelle mondiale. Pour relever ces défis et garantir la souveraineté numérique de l’Union Européenne, un cadre commun s’imposait.

C’est dans ce contexte qu’est né le Digital Operational Resilience Act (DORA – UE 2022/2554), le règlement européen sur la résilience numérique. Entré en vigueur le 16 janvier 2023, il s’applique pleinement depuis le 17 janvier 2025 à toutes les entités financières et à leurs prestataires informatiques. Treezor, établissement de monnaie électronique agréé par l’ACPR et filiale de Société Générale est un acteur clé au sein de cet écosystème avec un double enjeu de confiance : assurer sa propre conformité et permettre à ses clients – Fintechs et plateformes financières, y compris ceux qui accompagnent des entreprises ou secteurs soumis à NIS2 – d’atteindre, eux aussi, leurs objectifs de sécurité et de continuité.

Du PUPA à DORA : garantir la continuité, la disponibilité et la sécurité des services digitaux de nos clients et la stabilité des systèmes financiers

La résilience digitale, telle qu’introduite par DORA, représente une évolution fondamentale qui élargit l’approche traditionnelle du PUPA (Plan d’Urgence et de Poursuite d’Activité). Alors que le PUPA est historiquement centré sur la capacité de l’entreprise à reprendre ses propres activités après un sinistre (une vision « interne »), DORA impose de raisonner en termes de résilience de bout en bout du service rendu au client final et, par extension, de contribution à la stabilité du système financier.

C’est un changement de perspective majeur : on ne se demande plus seulement « Comment redémarrer nos systèmes ? », mais plutôt « Comment garantir que nos services critiques pour les clients et le marché continuent de fonctionner de manière acceptable, même en cas de perturbation majeure, en incluant tous nos partenaires et prestataires ? »

Voici comment DORA orchestre cet élargissement :

1. Du Processus Interne au « Processus Vital » pour le Client

L’approche PUPA traditionnelle se concentre sur les processus internes de l’entreprise. DORA, et la méthodologie du groupe Société Générale qui en découle, introduit la notion de « Processus Vitaux » (Vital Processes).

Un processus est considéré comme vital non pas en fonction de son importance pour l’organisation interne, mais en fonction de son importance critique pour les clients et le fonctionnement du marché. La résilience n’est plus un enjeu purement technique ou organisationnel interne, elle devient une composante essentielle de la promesse de service faite au client.

2. De l’Entreprise à l’Écosystème Numérique Complet

Le PUPA se focalise sur le périmètre de l’entreprise. DORA, au contraire, part du principe qu’une entité financière n’est qu’un maillon d’une chaîne numérique complexe. La résilience d’un service dépend donc de la résilience de chaque maillon de cette chaîne.

C’est pourquoi DORA met un accent si fort sur la gestion des risques liés aux prestataires de services TIC (les fournisseurs, mais aussi les clients Agents/Distributeurs qui sont des « Prestataires Essentiels Externalisés »). Les établissements financiers sont désormais responsables de s’assurer que l’ensemble de leur écosystème numérique est résilient. Les exigences contractuelles strictes et la nécessité de réaliser des tests de bout en bout incluant ces tiers en sont la parfaite illustration.

3. De la Reprise d’Activité à la Tolérance aux Incidents

Le vocabulaire change et ce n’est pas anodin.

• Le PUPA vise la « reprise » ou la « poursuite » d’activité après un arrêt. L’objectif est de redémarrer.
• DORA parle de « résilience », c’est-à-dire la capacité du service à absorber un choc, à continuer de fonctionner en mode dégradé mais acceptable pour les Clients et la Place, et à revenir à la normale. Cette notion de « tolérance aux incidents » (impact tolerance) est au cœur du règlement et doit être définie pour chaque service critique.

En conclusion, la résilience digitale selon DORA ne remplace pas le PUPA, mais l’englobe et l’étend considérablement. Elle oblige à adopter une vision « client-centrique » et « systémique », où la continuité de votre entreprise n’est plus une fin en soi, mais un moyen de garantir la stabilité et la fiabilité des services que l’établissement financier opère au sein de l’écosystème financier.

La résilience selon DORA

Le règlement DORA vise à consolider la capacité des acteurs financiers et de leurs prestataires à faire face aux risques numériques. L’objectif est de renforcer la prévention, la détection, la réaction et la continuité opérationnelle face aux incidents, notamment cyber. Cela passe par une meilleure maîtrise des prestataires critiques et la fiabilisation des plans de sortie. DORA instaure ainsi un socle commun de normes à l’échelle européenne pour accroître la résilience collective du système financier.

Une évolution majeure est l’extension de la responsabilité de l’entité financière à toute sa chaîne de valeur numérique. DORA impose de tenir un registre détaillé des prestataires de services TIC (Technologies de l’Information et de la Communication), offrant aux régulateurs une vision claire des dépendances pour mieux évaluer les risques systémiques.

L’approche de DORA repose sur cinq piliers interdépendants :

1. Gouvernance et gestion des risques TIC : Chaque institution doit déployer un cadre de gestion des risques complet, sous la responsabilité directe de son organe de direction. Ce cadre, proportionné à la taille et au profil de risque de l’entité, vise à anticiper les menaces, gérer les actifs et les évolutions des services TIC, et identifier les vulnérabilités.

2. Gestion des prestataires tiers TIC : Les contrats avec les fournisseurs doivent être strictement encadrés et leur performance surveillée en continu. Les exigences en matière de niveaux de service, de réversibilité et de substituabilité sont fortement renforcées pour garantir la continuité en cas de défaillance.

3. Gestion et notification des incidents : Des procédures standardisées sont requises pour détecter, analyser et notifier rapidement les incidents majeurs, afin de limiter leur impact et d’améliorer la prévention collective.

4. Partage d’informations : La circulation des données sur les menaces, vulnérabilités et bonnes pratiques est encouragée pour favoriser une réponse collective et proactive à l’échelle du secteur.

5. Tests de résilience opérationnelle : Des exercices réguliers et progressifs sont obligatoires, allant des tests de restauration de sauvegardes aux tests de pénétration normalisés (TLPT) pour les acteurs les plus critiques, afin de vérifier l’efficacité des défenses.

L’Article 30 de DORA est central : il impose des clauses contractuelles strictes et uniformes pour tous les prestataires TIC, qu’ils soient européens ou non. Ces clauses, renforcées pour les services supportant des fonctions critiques, couvrent tous les piliers de DORA. Elles portent notamment sur la description précise des services (SLA), la localisation des données, l’assistance en cas d’incident, les droits d’audit pour l’entité financière, et les conditions de réversibilité et de résiliation.

En interne, DORA transforme les processus et la culture d’entreprise. Il impose une collaboration plus étroite entre les équipes de sécurité (RSSI), de continuité d’activité (PUPA) et les départements informatiques. Les procédures de gestion d’incidents doivent être adaptées aux délais de notification stricts. La résilience devient un levier stratégique, favorisant les investissements et impliquant davantage les collaborateurs et les responsables métiers dans la cybersécurité.

Finalement, DORA bénéficie directement au client. Son objectif principal est de garantir la disponibilité continue des services financiers et la protection des données. Cela se traduit par une communication plus transparente en cas d’incident et par le renforcement des mesures de sécurité visibles, comme l’authentification multifacteur (MFA).

Dans ce contexte, Treezor, en tant qu’établissement régulé et fournisseur de services BaaS, se positionne comme un partenaire stratégique. En se conformant à DORA pour ses propres opérations, Treezor offre à ses clients une infrastructure robuste qui facilite leur propre mise en conformité et transforme cette contrainte réglementaire en un avantage compétitif durable, basé sur la confiance et la résilience.