Prendre rendez-vous
Offres
ZenCore ZenWatch ZenTrust ZenContinuity
Secteurs
Secteur juridique Secteur comptable Secteur financier PME & entreprises
Outils
PSSI personnalisée Diagnostic de conformité
Contexte
Réglementation
RGPD NIS2 DORA CNB & RIN OEC
Ressources
Cybersécurité en chiffres Liens utiles Glossaire
À propos
Qui sommes-nous ?
Prendre rendez-vous
Règlement UE 2022/2554 · En vigueur depuis le 17 janvier 2025

DORA : Vous êtes dans le secteur financier.
Votre SI doit maintenant le prouver.

DORA impose aux entités financières — CGP, family offices, établissements de paiement, assurances — un cadre complet de résilience numérique. Gouvernance des risques TIC, gestion des incidents, tests de résilience, encadrement des prestataires : chaque composante est désormais réglementée et contrôlée par l'ACPR et l'AMF.

Vérifier ma conformité →
Ce que dit le texte

Les trois piliers de DORA

DORA structure la résilience numérique des entités financières autour de trois obligations fondamentales. L'ACPR et l'AMF sont chargées du contrôle en France depuis le 17 janvier 2025.

🏗️

Gouvernance & gestion des risques TIC

Art. 5 Art. 6
  • Cadre de gestion des risques TIC approuvé par la direction et révisé annuellement
  • Identification et classification de tous les actifs TIC critiques et des dépendances
  • Stratégie de résilience numérique documentée, avec objectifs mesurables
  • Politiques de sécurité formalisées : contrôle d'accès, chiffrement, MFA
  • Responsabilité personnelle des dirigeants sur la supervision du dispositif TIC
🚨

Gestion & notification des incidents TIC

Art. 17 Art. 19
  • Processus documenté de détection, classification et confinement des incidents
  • Notification initiale sous 4h à l'ACPR ou à l'AMF pour tout incident majeur
  • Rapport intermédiaire sous 72h — évaluation de l'impact et mesures prises
  • Rapport final sous 1 mois — analyse des causes, correctifs, enseignements
  • Registre de tous les incidents TIC, conservé pour les contrôles des autorités
🔗

Risque lié aux prestataires TIC tiers

Art. 28
  • Due diligence obligatoire sur tout nouveau prestataire TIC avant engagement
  • Registre contractuel exhaustif avec classification de criticité pour chaque prestataire
  • Clauses contractuelles imposées : droit d'audit, niveaux de service, plan de continuité
  • Plan de sortie (exit plan) documenté pour chaque prestataire critique
  • Limitation du risque de concentration : dépendance excessive à un seul fournisseur TIC

Texte officiel : Règlement DORA — EUR-Lex (UE 2022/2554)

Ce que SysZen couvre

La couche technique DORA, déployée et documentée

L'essentiel des exigences DORA repose sur des mesures techniques que SysZen met en place, surveille et documente. Vous disposez ainsi des preuves concrètes attendues par l'ACPR et l'AMF — et par vos clients soumis à DORA qui vous évaluent comme prestataire.

ZenCore

Sécurité SI & cadre des risques TIC

Art. 5-6
  • Déploiement et gestion du MFA sur l'ensemble de vos ressources M365
  • Contrôle d'accès selon le principe du moindre privilège — documenté et auditable
  • Chiffrement des données au repos et en transit sur votre SI
  • Gestion des correctifs et surveillance continue de la configuration
  • Documentation des mesures de sécurité en place — base pour votre cadre DORA Art. 6
  • Plan de réponse à incident pour respecter la fenêtre des 4h de notification
ZenContinuity

Continuité & tests de résilience

Art. 6 Art. 24
  • Plan de continuité d'activité (PCA) documenté et maintenu, conforme aux exigences DORA Art.6
  • Sauvegardes chiffrées, automatisées et testées régulièrement — avec preuve de test
  • RTO et RPO définis, contractuels et vérifiés lors de simulations
  • Tests de résilience annuels documentés — preuves utilisables lors des contrôles ACPR/AMF
ZenWatch

Détection & alerte dans la fenêtre des 4h

Art. 17 Art. 19
  • Surveillance continue de vos adresses email et domaine pour détecter les compromissions
  • Alerte immédiate dès la détection — vous avez la fenêtre des 4h devant vous
  • Historique horodaté des alertes — constitue le registre d'incidents requis par DORA Art.17
  • Rapport d'incident structuré pour accompagner vos démarches de notification ACPR/AMF
Hors périmètre SysZen

Ce qui reste à votre charge

SysZen couvre la couche technique. Ces éléments organisationnels, contractuels et réglementaires relèvent de votre responsabilité directe — ou de celle de votre conseil juridique, de votre RSSI ou de votre compliance officer.

Obligations non couvertes par SysZen

  • L'analyse formelle et documentée des risques TIC (cadre Art. 6)
  • Le registre de tous vos contrats TIC avec classification de criticité (Art. 28)
  • La rédaction des clauses contractuelles DORA avec vos prestataires TIC
  • Les plans de sortie (exit plans) vis-à-vis de vos prestataires critiques
  • Les déclarations d'incidents majeurs auprès de l'ACPR ou de l'AMF
  • Les tests TLPT (Art. 26) — requis pour les entités financières significatives
  • La désignation d'un responsable de la sécurité TIC en interne
  • Les formations DORA réglementaires pour la direction et les équipes

💡 Notre PSSI personnalisée vous donne une longueur d'avance : elle intègre les politiques de sécurité TIC exigées par DORA et constitue une base documentaire directement utilisable pour votre cadre de gestion des risques. Télécharger la PSSI personnalisée →

Sans conformité

Ce que vous risquez concrètement

DORA confie la supervision aux autorités nationales — ACPR pour la banque et l'assurance, AMF pour les services d'investissement. Les contrôles ont débuté dès janvier 2025.

💶
Jusqu'à 2 % du CA

mondial annuel — entités financières

Les entités financières soumises à DORA (banques, assurances, entreprises d'investissement, établissements de paiement, gestionnaires de fonds…) s'exposent à des sanctions proportionnées à leur chiffre d'affaires mondial, décidées par l'ACPR ou l'AMF.

👤
Jusqu'à 1 M€

de responsabilité personnelle des dirigeants

DORA engage explicitement la responsabilité personnelle des dirigeants pour les manquements liés à la gouvernance TIC. En cas d'incident majeur résultant d'un défaut de supervision, le dirigeant peut être sanctionné à titre individuel.

⏱️
1 % / jour

pendant 6 mois max — prestataires TIC critiques

Les prestataires TIC désignés comme critiques par les autorités européennes sont soumis à une supervision directe. En cas de non-conformité persistante, des astreintes journalières de 1 % du CA mondial peuvent être prononcées pendant six mois maximum.

Êtes-vous DORA-ready ?

SysZen vérifie votre conformité et met en place les mesures techniques manquantes.
30 minutes, gratuit, sans engagement.

Vérifier ma conformité → Consulter notre PSSI personnalisée — conforme aux exigences DORA