Le DORA (Digital Operational Resilience Act) est le règlement européen qui établit un cadre uniforme de gestion du risque ICT pour les entités financières, applicable depuis janvier 2025. Il s'applique aux banques, assureurs, établissements de paiement, entreprises d'investissement, et prestataires de services sur crypto-actifs sous MiCA.
Pour les équipes sécurité, les articles les plus structurants sont :
- Article 24 : impose des évaluations de risque ICT régulières et un programme de tests basé sur le risque.
- Article 25 : définit la baseline d'évaluation de vulnérabilités que chaque entité dans le périmètre doit réaliser au moins annuellement sur les systèmes pertinents.
- Article 26 : définit le threat-led penetration testing (TLPT) pour les entités classées significatives. Le TLPT doit être réalisé tous les trois ans selon une méthodologie alignée TIBER-EU.
- Article 27 : liste les exigences sur les testeurs TLPT (indépendance, certifications, méthodologie).
DORA introduit aussi :
- Un cadre unique de reporting d'incident qui remplace la mosaïque de règles nationales antérieure.
- Des exigences de risque tiers ICT, avec un régime de désignation des tiers critiques pour les grands fournisseurs cloud et de sécurité.
- Un cadre de partage d'information pour la threat intelligence.
Pour les exchanges et dépositaires crypto sous MiCA, les exigences pentest de DORA sont la barre de conformité opérationnelle. Évaluations de vulnérabilités annuelles et (pour les entités significatives) TLPT tous les trois ans, ce ne sont pas des options.