DORA – Retour d'expérience d'un contrôle par une Autorité.

Mardi 14 octobre 2025, par Benjamin Lepeltier

Depuis son entrée en vigueur en janvier 2025, le Digital Operational Resilience Act (DORA) définit les exigences de résilience numérique pour l’ensemble du secteur financier européen et ses prestataires de services TIC.

Mais au-delà des textes réglementaires, que se passe-t-il vraiment lors d’un contrôle mené par une Autorité ? Quels sont les documents, processus et preuves que les régulateurs attendent ? Et surtout, quelles erreurs faut-il éviter pour ne pas mettre son organisation en difficulté ?

Un retour d’expérience terrain concret

Le 8 octobre 2025, nous avons organisé un webinaire exclusif pour répondre à ces questions, à travers le témoignage de Jean-Philippe GAULIER, Responsable de la Sécurité des Systèmes d’Informations externalisés, ayant récemment accompagné des clients lors d'un contrôle.

Notre expert a partagé les enseignements clés de ce contrôle, étape par étape :

Les contrôles sont réalisés par l’AMF ou l’ACPR, mais il est également important de se préparer à des contrôles de vos dépositaires.

Le contrôle peut prendre différentes formes : un questionnaire, une revue documentaire, ou un contrôle sur site qui peut durer plusieurs jours, voire plusieurs semaines. Lors de ces contrôles, les autorités déroulent le règlement DORA point par point et effectuent une analyse d’écart précise.

Les thèmes essentiels d’un contrôle DORA

Parmi les aspects minutieusement contrôlés :

• La gouvernance : l’implication de la direction, incluant celle du RSSI, ainsi que le dispositif de contrôle permanent et périodique.
• Les politiques cybers : leur existence, leur mise à jour et leur application concrète.
• Le cadre global de gestion des risques opérationnels et cyber.
• L’ensemble des dimensions de la cybersécurité, bien au-delà de la seule technique : la mise en place d’une hygiène informatique rigoureuse, la gestion des vulnérabilités, la surveillance, etc.

Ces vérifications permettent aux autorités d’évaluer le niveau de maturité de l’organisation et sa capacité à répondre aux exigences réglementaires.

Les sanctions en cas de non-conformité

Le webinaire a également permis d’évoquer les conséquences possibles en cas de manquements :

• Surveillance renforcée ou enquêtes approfondies
• Injonctions à se conformer sous un délai donné
• Amendes financières
• Suspension partielle ou totale de l’agrément

Préparer votre organisation à un contrôle DORA

Face à ces enjeux, il est crucial d’adopter une démarche proactive :

• S’assurer que les documents et preuves attendus sont disponibles et à jour
• Mettre en place une gouvernance claire et opérationnelle
• Effectuer régulièrement des auto-évaluations pour identifier les écarts
• Appliquer une hygiène informatique rigoureuse au quotidien

Et maintenant ?

Si vous êtes :

• Un prestataire TIC travaillant avec des établissements financiers
• Une entité financière directement soumise à DORA
• Ou un partenaire critique pour la chaîne de valeur numérique du secteur financier

Il est temps de vous mettre en conformité active, et non simplement théorique.

L’AMF attend désormais la réponse au questionnaire prévu pour novembre, avant que les contrôles ne commencent au début de l’année 2026.

Cyberzen vous accompagne dans :

• L’évaluation de votre niveau de maturité DORA
• La construction et mise en place d’un plan d’action priorisé
• La préparation aux contrôles

Contactez-nous dès maintenant pour en discuter.