Règlement (UE) 2022/​2554 sur la rési­lience opéra­tion­nelle numé­rique du secteur finan­cier 

Dans un rapport de 2020 consa­cré au cyber­risque, le Comité euro­péen du risque systé­mique (CERS) a mis en évidence que la déma­té­ria­li­sa­tion du secteur finan­cier et le niveau élevé d’in­ter­con­nexion entre les enti­tés finan­cières, les marchés finan­ciers et les infra­struc­tures des marchés finan­ciers remplissent les condi­tions d’un risque systé­mique. À travers les canaux de trans­mis­sion exis­tant, une atteinte grave à la sécu­rité des tech­no­lo­gies de l’information et de la commu­ni­ca­tion (TIC) qui se produi­rait auprès d’un établis­se­ment finan­cier pour­rait rapi­de­ment conta­mi­ner d’autres acteurs du secteur. Un tel évène­ment aurait des consé­quences préju­di­ciables pour la stabi­lité du système finan­cier euro­péen. 

Pourtant, les enjeux liés à la rési­lience opéra­tion­nelle numé­rique du secteur finan­cier et à la sécu­rité des TIC restent assez peu abor­dés dans le droit de l’UE. Ils sont rare­ment trai­tés pour eux-mêmes mais se retrouvent inté­grés dans les prin­ci­pales caté­go­ries de risques finan­ciers (risque de crédit, risque de marché, risque de liqui­dité…), ce qui peut conduire à des chevau­che­ments, des lacunes ou des inco­hé­rences entre les diffé­rents textes. De plus, les actes juri­diques qui abordent ces ques­tions privi­lé­gient une approche quan­ti­ta­tive clas­sique de la gestion du risque, basée sur des exigences de fonds propres, plutôt que de propo­ser des mesures quali­ta­tives et ciblées. 

Pour remé­dier à cette lacune, l’Union euro­péenne a adopté le 14 décembre 2022 le règle­ment euro­péen sur la rési­lience opéra­tion­nelle numé­rique du secteur finan­cier (Digital Operational Resilience Act, DORA). Les enti­tés finan­cières et leurs four­nis­seurs de services TIC ont jusqu’au 17 janvier 2025 pour satis­faire aux nouvelles exigences. 

Champ d’application 

Le champ d’application de DORA est donné à l’art. 2 du règle­ment. Il inclut une ving­taine d’en­ti­tés finan­cières, telles que les établis­se­ments de crédit et de paie­ment, les entre­prises d’investissement, les plate­formes de négo­cia­tion, les socié­tés de gestion, les entre­prises d’assurance ou encore les pres­ta­taires de services de finan­ce­ment parti­ci­pa­tif. L’ensemble des dispo­si­tions n’est cepen­dant pas appli­cable à toutes les enti­tés finan­cières de façon uniforme. Dans un souci de ne pas soumettre les acteurs de taille moindre à des exigences dispro­por­tion­nées, il est prévu que les enti­tés finan­cières mettent en œuvre les exigences pres­crites « en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l’ampleur et de la complexité de leurs services, acti­vi­tés et opéra­tions » (art. 4 DORA). Ainsi, certaines obli­ga­tions prévues par DORA ne s’appliquent pas ou pas inté­gra­le­ment aux microen­tre­prises actives dans le secteur finan­cier. 

En plus des enti­tés finan­cières elles-mêmes, DORA s’ap­plique (in-)directement à leurs pres­ta­taires de services TIC (art. 2 par. 1, let. u DORA). Ceux-ci doivent dès lors s’attendre à une augmen­ta­tion des demandes d’in­for­ma­tion de la part de leurs clients d’ici 2025.  Certains d’entre eux peuvent, en plus, être dési­gnés comme « critiques », ce qui les soumet à un régime spécial de surveillance, décrit ci-dessous. 

Contrairement au RGPD, DORA ne présente pas direc­te­ment d’effets extra­ter­ri­to­riaux. Le nouveau texte recourt toute­fois à une forme de terri­to­ria­lité impo­sée. Afin d’assurer l’exécution des normes pres­crites, les pres­ta­taires tiers critiques de services TIC opérant depuis l’étran­ger sont tenus d’établir une filiale dans l’Union (art. 31 par. 12 DORA). Il est aussi prévu qu’une auto­rité euro­péenne de surveillance puisse procé­der à une inspec­tion en dehors de l’Union au siège ou dans un autre local du pres­ta­taire. Pareille inspec­tion est cepen­dant soumise à la double condi­tion que le pres­ta­taire ait donné son consen­te­ment et que l’autorité de surveillance du pays tiers ne s’y soit pas oppo­sée (art. 36 DORA). 

Gouvernance des TIC et gestion du risque 

DORA promeut un ensemble de prin­cipes faci­li­tant la struc­ture globale de la gestion du risque lié aux TIC. Il exige de chaque entité finan­cière qu’elle se dote d’un cadre de gouver­nance et de contrôle interne concer­nant l’usage des TIC (art. 5 DORA). La respon­sa­bi­lité de l’élaboration et du suivi de ce cadre incombe direc­te­ment à l’organe de direc­tion de l’entité finan­cière, même si souvent seule une appro­ba­tion est requise. Le cadre de gouver­nance inclut notam­ment le niveau d’exigence à atteindre en matière de dispo­ni­bi­lité, d’authenticité, d’intégrité et de confi­den­tia­lité des données, la défi­ni­tion des rôles et des diffé­rentes respon­sa­bi­li­tés pour toutes les fonc­tions liées aux TIC, l’existence d’un plan de conti­nuité, de réponse et de réta­blis­se­ment des acti­vi­tés TIC, la déter­mi­na­tion du niveau appro­prié de tolé­rance au risque, l’allocation des budgets pour satis­faire aux besoins en matière de rési­lience opéra­tion­nelle et de sécu­rité, l’établissement d’une poli­tique rela­tive aux pres­ta­taires tiers de services TIC et la mise en place de canaux de noti­fi­ca­tion permet­tant à la direc­tion d’être tenue infor­mée des accords passés et de leur suivi.  

Les enti­tés finan­cières doivent égale­ment dispo­ser d’un cadre de gestion du risque lié aux TIC (art. 6 DORA). Intégré au dispo­si­tif global de gestion des risques de chaque entité finan­cière, il s’appuie sur une stra­té­gie de rési­lience opéra­tion­nelle numé­rique. Cette dernière défi­nit les moda­li­tés de mise en œuvre du dispo­si­tif et fixe les objec­tifs à atteindre. Font notam­ment partie du cadre de gestion du risque lié aux TIC les obli­ga­tions suivantes : 

• l’utilisation et le main­tien de systèmes, de proto­coles et d’outils adap­tés, fiables, perfor­mants et capables d’assurer une rési­lience tech­no­lo­gique suffi­sante pour faire face à des épisodes de tension sur les marchés ou à d’autres situa­tions défa­vo­rables (art. 7 DORA) ; 
• l’identification, le clas­se­ment et la docu­men­ta­tion de toutes les fonc­tions « métiers », de tous les rôles et de toutes les respon­sa­bi­li­tés s’appuyant sur les TIC, ainsi que la mise en évidence des diffé­rentes dépen­dances (art. 8 DORA) ; 
• l’adoption de stra­té­gies, de poli­tiques, de procé­dures et d’ou­tils visant à réduire au mini­mum les inci­dences des risques liés aux TIC et à proté­ger les actifs numé­riques (art. 9 DORA) ; 
• l’institution de méca­nismes permet­tant de détec­ter rapi­de­ment les acti­vi­tés anor­males (art. 10 DORA) ; 
• la mise en place de plans de conti­nuité des acti­vi­tés repo­sant sur les TIC, notam­ment en ce qui concerne les fonc­tions critiques ou impor­tantes exter­na­li­sées ou sous-trai­tées (art. 11 DORA) ;  
• l’élaboration de poli­tiques et de procé­dures de sauve­gardes, de restau­ra­tion et de réta­blis­se­ment incluant l’usage de systèmes TIC qui sont sépa­rés physi­que­ment et logi­que­ment du système TIC source (art. 12 DORA) ; 
• la capa­cité de recueillir des infor­ma­tions sur les vulné­ra­bi­li­tés et les cyber­me­naces, et sur les inci­dents liés aux TIC, en parti­cu­lier les cybe­rat­taques, et d’analyser leurs inci­dences probables sur la rési­lience opéra­tion­nelle numé­rique (art. 13 DORA) ; 
• la créa­tion de plans de commu­ni­ca­tion en situa­tion de crise vis-à-vis du public, de la direc­tion, du person­nel interne et des auto­ri­tés (art. 14 DORA).  

La mise en œuvre de ces obli­ga­tions doit être rigou­reu­se­ment docu­men­tée et être amélio­rée en perma­nence sur la base des ensei­gne­ments tirés. Des audits internes régu­liers doivent être menés par une fonc­tion de contrôle béné­fi­ciant d’un niveau appro­prié d’indépendance. 

Gestion, clas­si­fi­ca­tion et noti­fi­ca­tion des inci­dents liés aux TIC 

DORA améliore et ratio­na­lise la prise en charge et la noti­fi­ca­tion des inci­dents majeurs liés aux TIC. Elle impose aux insti­tu­tions finan­cière la mise en place d’un proces­sus de gestion des inci­dents afin de détec­ter, de gérer et de noti­fier ce type d’incidents à l’interne et à l’externe (art. 17 DORA). Les seuils et les taxi­no­mies de noti­fi­ca­tion des inci­dents sont harmo­ni­sés entre eux grâce à des critères uniformes à l’échelle de l’Union (art. 18 DORA), ce qui simpli­fie la situa­tion des enti­tés finan­cières actives dans plusieurs Etats ou qui font partie d’un groupe finan­cier. 

Les inci­dents majeurs doivent systé­ma­ti­que­ment être noti­fiés de manière centra­li­sée à l’autorité natio­nale de surveillance dési­gnée, mais les enti­tés finan­cières ont aussi la possi­bi­lité d’annoncer, à titre volon­taire, les cyber­me­naces qu’elles estiment impor­tantes, si elles sont d’avis que la menace est perti­nente pour le système finan­cier, les utili­sa­teurs de services ou les clients (art. 19 DORA). Chaque noti­fi­ca­tion suit un schéma en trois étapes incluant une noti­fi­ca­tion initiale, un rapport inter­mé­diaire sur l’évolution de l’incident et un rapport final, lorsque l’analyse des causes origi­nelles est termi­née. Une fois noti­fiée, l’autorité natio­nale de surveillance se charge, le cas échéant, d’informer les auto­ri­tés natio­nales et euro­péennes concer­nées. 

Les exigences de commu­ni­ca­tion vis-à-vis des clients ne sont pas oubliées. En présence d’un inci­dent majeur ayant une inci­dence sur les inté­rêts finan­ciers des clients, les enti­tés finan­cières doivent promp­te­ment noti­fier ces derniers et les infor­mer des mesures prises pour atté­nuer les effets de l’incident (art. 19 par. 3 DORA). Ce méca­nisme n’est pas sans rappe­ler l’obligation de noti­fi­ca­tion des personnes concer­nées impo­sée à l’art. 34 RGPD. Selon cette dispo­si­tion, les respon­sables du trai­te­ment doivent infor­mer les personnes concer­nées en cas d’incident de sécu­rité suscep­tible de causer un risque élevé pour leurs droits et leurs liber­tés. Toutefois, DORA va un cran plus loin. En cas de cyber­me­nace impor­tante pouvant consti­tuer une menace pour leurs clients, les enti­tés finan­cières sont tenues de les infor­mer de manière proac­tive et de leur suggé­rer toute mesure utile. 

Tests de rési­lience opéra­tion­nelle numé­rique 

Le but premier de DORA est de renfor­cer la rési­lience opéra­tion­nelle numé­rique des enti­tés finan­cières. On entend par là « la capa­cité […] à déve­lop­per, garan­tir et rééva­luer son inté­grité et sa fiabi­lité opéra­tion­nelles en assu­rant direc­te­ment ou indi­rec­te­ment par le recours aux services four­nis par des pres­ta­taires tiers de services TIC, l’intégralité des capa­ci­tés liées aux TIC néces­saires pour garan­tir la sécu­rité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la four­ni­ture conti­nue de services finan­ciers et leur qualité, y compris en cas de pertur­ba­tions » (art. 3 par. 1 DORA). 

Pour atteindre cet objec­tif, les enti­tés finan­cières sont tenues de mettre au point un programme solide et complet de tests de rési­lience opéra­tion­nelle numé­rique. Pareil programme vise à évaluer l’état de prépa­ra­tion en vue du trai­te­ment d’incidents liés aux TIC, à recen­ser les faiblesses, les défaillances et les lacunes en matière de rési­lience opéra­tion­nelle numé­rique et à démon­trer la capa­cité de l’entité finan­cière à mettre rapi­de­ment en œuvre des mesures correc­tives (art. 24 DORA). 

Les tests à mener vont de l’évaluation des exigences de base (art. 25 DORA : par exemple, évalua­tions et analyses de la vulné­ra­bi­lité, analyses de sources ouvertes, évalua­tions de la sécu­rité des réseaux, analyses des lacunes, examens de la sécu­rité physique, ques­tion­naires et solu­tions logi­cielles d’analyse, examens du code source lorsque cela est possible, tests fondés sur des scéna­rios, tests de compa­ti­bi­lité, tests de perfor­mance ou tests de bout en bout) à des tests plus avan­cés au moyen de tests de péné­tra­tion fondés sur la menace couvrant les fonc­tions les plus critiques de l’entité finan­cière, y compris celles ayant été exter­na­li­sées (art. 26 DORA).  

La réali­sa­tion des tests peut être confiée soit à des testeurs internes, soit à des testeurs externes, chaque solu­tion étant soumises à des exigences parti­cu­lières (art. 27 DORA). 

Externalisation 

DORA met un accent parti­cu­lier sur la gestion des risques asso­ciés aux pres­ta­taires tiers de services TIC (four­nis­seurs de services cloud, de logi­ciels, d’infrastructures numé­rique…) mais aussi aux entre­prises qui font partie d’un groupe finan­cier et qui four­nissent des services TIC prin­ci­pa­le­ment à leur entre­prise mère ou à des filiales ou succur­sales de leur entre­prise, ainsi qu’aux enti­tés finan­cières four­nis­sant des services TIC à d’autres enti­tés finan­cières. 

Pour chaque contrat IT, quel que soit le niveau de criti­cité ou d’importance, les enti­tés finan­cières doivent veiller à insé­rer un certain nombre d’éléments mini­maux (art. 30 par. 2 DORA), notam­ment : 

• une descrip­tion claire et exhaus­tive des fonc­tions et des services exter­na­li­sés ; 
• l’indication des lieux où les services sont four­nis et les données trai­tées ; 
• des dispo­si­tions sur la dispo­ni­bi­lité, l’authenticité, l’intégrité et la confi­den­tia­lité des données, notam­ment des données person­nelles ; 
• des dispo­si­tions sur la garan­tie de l’accès, de la récu­pé­ra­tion et de la resti­tu­tion des données en cas d’insolvabilité, de réso­lu­tion, de cessa­tion des acti­vi­tés du pres­ta­taire ou de rési­lia­tion ;  
• des descrip­tions des niveaux de service ; 
• l’obligation pour le pres­ta­taire de four­nir à l’entité finan­cière, sans frais supplé­men­taires ou à un coût déter­miné par avance, une assis­tance en cas d’incident ; 
• l’obligation pour le pres­ta­taire de coopé­rer plei­ne­ment avec les auto­ri­tés compé­tentes de l’entité finan­cière ; 
• l’insertion de droits de rési­lia­tion et de délais de préavis mini­maux ; 
• les condi­tions de parti­ci­pa­tion aux programmes de sensi­bi­li­sa­tion à la sécu­rité et aux forma­tions à la rési­lience opéra­tion­nelle numé­rique élabo­rés par l’entité finan­cière. 

Pour les contrats IT rela­tifs à la four­ni­ture de services TIC, qui soutiennent des fonc­tions critiques ou impor­tantes de l’en­tité finan­cière, des exigences supplé­men­taires sont prévues (art. 30 par. 3 DORA). En plus des éléments déjà cités, les contrats doivent inclure au mini­mum :  

• des descrip­tions complètes des niveaux de service et les mesures correc­tives y rela­tives ; 
• les délais de préavis perti­nents et les obli­ga­tions de noti­fi­ca­tion incom­bant au pres­ta­taire en cas d’évolutions suscep­tibles d’avoir une inci­dence signi­fi­ca­tive sur la capa­cité de ce dernier à four­nir effi­ca­ce­ment les services conve­nus ; 
• l’obligation de mettre en œuvre et de tester des plans d’urgence ;  
• l’obligation de mettre en place des mesures, des outils et des poli­tiques de sécu­rité complé­men­taires ; 
• l’obligation de parti­ci­per et de coopé­rer plei­ne­ment aux tests de péné­tra­tion réali­sés par l’entité finan­cière ; 
• l’exercice des droits d’accès, d’inspection et d’audit par l’entité finan­cière ; 
• la coopé­ra­tion du pres­ta­taire lors d’inspections et/​ou d’audits menées par les auto­ri­tés euro­péennes de surveillance ; 
• les stra­té­gies de sortie des contrats avec des périodes de tran­si­tion adéquate obli­ga­toires. 

Le règle­ment encou­rage par ailleurs le déve­lop­pe­ment de clauses contrac­tuelles types par les auto­ri­tés euro­péennes de surveillance ou encore par la Commission euro­péenne pour les services d’informatiques en nuage. 

Même si DORA renonce à impo­ser tout plafond rigide dans ce domaine, le règle­ment oblige encore les enti­tés finan­cières à tenir compte du risque de concen­tra­tion (art. 29 DORA). Le recours soutenu à des pres­ta­taires tiers de services TIC indi­vi­duels ou multiples est suscep­tible de conduire à une trop forte dépen­dance de l’entité finan­cière. En cas d’indisponibilité, de défaillance ou de tout autre type d’insuffisance surve­nant chez ces caté­go­ries de pres­ta­taire, il peut en résul­ter une inca­pa­cité de l’entité finan­cière à assu­mer ses tâches. C’est pour­quoi DORA exige des enti­tés finan­cières qu’elles examinent de manière proac­tive le risque de concen­tra­tion et qu’elles procèdent à une évalua­tion atten­tive des risques avant de conclure tout nouveau contrat portant sur des services TIC qui soutiennent des fonc­tions critiques ou impor­tantes. 

Cadre de super­vi­sion des pres­ta­taires tiers critiques de services TIC 

Constatant que le bon fonc­tion­ne­ment du système finan­cier de l’Union est large­ment tribu­taire de four­nis­seurs tiers de services infor­ma­tiques, DORA met en place un cadre unique de super­vi­sion des pres­ta­taires tiers de services TIC dits « critiques » (art. 3 par. 23 DORA). 

L’inclusion dans le cadre de super­vi­sion dépend d’une liste de critères quan­ti­ta­tifs et quali­ta­tifs (art. 31 DORA), tels que : 

• l’effet systé­mique sur la stabi­lité, la conti­nuité ou la qualité de la four­ni­ture de services finan­ciers dans les cas où le pres­ta­taire tiers de services TIC concerné serait confronté à une défaillance ; 
• le carac­tère ou l’importance systé­mique de l’entité finan­cière concer­née ; 
• le degré de dépen­dance de l’entité finan­cière par rapport au service fourni ; 
• les possi­bi­li­tés de substi­tu­tion du pres­ta­taire tiers de services TIC. 

La déci­sion d’inclure un pres­ta­taire tiers de services TIC dans la liste des pres­ta­taires dits critiques incombe aux Autorités euro­péennes de surveillance (Autorité bancaire euro­péenne [ABE] ; Autorité euro­péenne des assu­rances et des pensions profes­sion­nelles [AEAPP] ; Autorité euro­péenne des marchés finan­ciers [AEMF]), mais un pres­ta­taire tiers de service TIC peut aussi deman­der à rejoindre le cadre de super­vi­sion sur une base volon­taire. 

Les pres­ta­taires tiers critiques de services TIC sont soumis à une évalua­tion préa­lable visant à déter­mi­ner s’ils ont mis en place des règles, des procé­dures, des méca­nismes et des dispo­si­tifs complets, solides et effi­caces pour gérer le risque lié aux TIC qu’ils font peser sur les enti­tés finan­cières (art. 33 DORA). Cette évalua­tion sert à l’élaboration d’un plan de super­vi­sion indi­vi­duel décri­vant les objec­tifs annuels de super­vi­sion et les prin­ci­pales actions de super­vi­sion prévues. 

Durant la super­vi­sion, l’autorité compé­tente dispose de diffé­rents pouvoirs sur les pres­ta­taires concer­nés. Elle peut : 

• formu­ler des demandes d’informations et exiger la four­ni­ture de tous docu­ments commer­ciaux ou opéra­tion­nels, contrats, docu­ments stra­té­giques, rapports d’audit de sécu­rité TIC, rapports d’incidents liés aux TIC et toute autre infor­ma­tion rela­tive aux enti­tés finan­cières avec lesquelles travaille le pres­ta­taire (art. 37 DORA) ; 
• mener des enquêtes géné­rales, exami­ner des docu­ments, en deman­der des copies, convo­quer les repré­sen­tants du pres­ta­taire et les inter­ro­ger, obte­nir les enre­gis­tre­ments d’échanges télé­pho­niques (art. 38 DORA) ; 
• conduire des inspec­tions dans les locaux du pres­ta­taire, inves­ti­guer les systèmes, les réseaux, les dispo­si­tifs et les données (art. 39 DORA) ; 
• contraindre le pres­ta­taire à payer des astreintes jour­na­lières égales à 1 % au maxi­mum du chiffre d’affaires quoti­dien moyen réalisé au niveau mondial en cas de refus de coopé­rer (art. 35 par. 6 DORA) ; 
• formu­ler des recom­man­da­tions à l’égard du pres­ta­taire, notam­ment pour qu’il mette en place des proces­sus spéci­fiques de sécu­rité et de qualité en matière de TIC ou qu’il renonce à travailler avec certains sous-trai­tants (art. 35 par. 1 let. d DORA). 

Lorsqu’une auto­rité de surveillance formule une recom­man­da­tion, le pres­ta­taire visé dispose d’un délai de 60 jours pour se déter­mi­ner. En cas de refus de la recom­man­da­tion, l’autorité de surveillance a le pouvoir de pronon­cer une déci­sion par laquelle elle suspend tempo­rai­re­ment, en partie ou en tota­lité, l’utilisation ou le déploie­ment du service fourni jusqu’à ce que les problèmes iden­ti­fiés soient réso­lus. Ultimement, elle peut exiger la rési­lia­tion, totale ou partielle, des accords conclus entre l’entité finan­cière et le pres­ta­taire (art. 42 DORA). 

Commentaire 

En Suisse, les normes concer­nant la rési­lience opéra­tion­nelle numé­rique et l’externalisation dans le secteur finan­cier figurent dans les circu­laires de la FINMA 2023/​1 en matière de risques opéra­tion­nels et de garan­tie de la rési­lience opéra­tion­nelle, et 2018/​3 en matière d’outsourcing (https://​swiss​pri​vacy​.law/27). Respectant l’ap­proche tradi­tion­nelle de la régu­la­tion en Suisse, les textes adop­tés ne sont néan­moins pas aussi denses et précis que ne l’est DORA. Il serait cepen­dant inexact de vouloir ranger DORA dans la caté­go­rie des textes rigides ou exces­si­ve­ment pres­crip­tifs de l’UE. Le règle­ment aborde plutôt une approche hybride, combi­nant des prin­cipes géné­raux bien expli­qués avec des exigences plus précises dans des domaines spéci­fiques où la clarté, l’uni­for­mité et la préci­sion sont néces­saires pour assu­rer au secteur finan­cier un niveau de rési­lience et de sécu­rité harmo­nisé à l’échelle de l’Union. L’approche struc­tu­rée et métho­dique du texte devrait par ailleurs gran­de­ment en faci­li­ter l’exécution.

Il est vrai, malgré tout, qu’il s’agit d’une matière qui reste extrê­me­ment tech­nique et exigeante. Même si le texte est clair et intel­li­gible, l’exercice pratique consis­tant à le mettre en œuvre ne sera pas aisé pour autant. En outre, la bonne exécu­tion du cadre de super­vi­sion des pres­ta­taires tiers critiques de services TIC n’est pas gagnée d’avance en dépit de son évidente légi­ti­mité. En plus d’exiger des ressources consi­dé­rables de la part des auto­ri­tés de surveillance, l’exécution des mesures et des déci­sions prises à l’égard de certains pres­ta­taires tiers de services TIC risque de se heur­ter à de réelles diffi­cul­tés. 

Finalement, bien qu’il ait été conçu spéci­fi­que­ment pour le secteur finan­cier, DORA regroupe l’ensemble des bonnes pratiques actuelles en matière de sécu­rité de l’information. Les admi­nis­tra­tions publiques et les entre­prises privées qui ont des besoins spéci­fiques dans ce domaine y trou­ve­ront à n’en pas douter une source d’inspiration ines­ti­mable tant sous l’angle pratique que régle­men­taire ou même législatif.