Quelles sont les exigences DORA pour la gestion des risques tiers ICT ?

DORA exige : (1) un registre de tous les prestataires ICT tiers, (2) une évaluation des risques pour chaque prestataire, (3) des clauses contractuelles spécifiques (droits d'audit, résiliation, continuité), (4) une surveillance continue des prestataires critiques, (5) des tests de résilience opérationnelle digitale.

Comment VendorScore aide-t-il à la conformité DORA ?

VendorScore automatise l'évaluation de vos prestataires ICT sur 5 piliers : sécurité IT, certifications (ISO 27001, SOC 2, DORA-ready), santé financière, conformité réglementaire, et contexte fournisseur. Le résultat : un registre DORA à jour, des scores de risque /1000, et des rapports d'audit prêts à présenter à la FSMA ou la BNB.

Guide DORA — Gestion des Risques Fournisseurs ICT

Q: Quelle est la différence entre DORA et NIS2 ?

DORA cible spécifiquement le secteur financier et exige une résilience opérationnelle digitale complète incluant les tests de pénétration TLPT. NIS2 est plus large (tous les secteurs critiques) et se concentre sur la cybersécurité de la chaîne d'approvisionnement. Les deux se complètent pour les entités financières en Belgique.

Qu'est-ce que DORA ?

Le Digital Operational Resilience Act (Règlement UE 2022/2554) est entré en application le 17 janvier 2025. Il impose aux entités financières de l'Union européenne de renforcer leur résilience opérationnelle digitale, notamment face aux risques liés aux prestataires ICT tiers.

DORA s'applique à un large périmètre : banques, assureurs, entreprises d'investissement, gestionnaires d'actifs, établissements de paiement, et leurs fournisseurs ICT critiques. En Belgique, c'est la FSMA et la BNB qui supervisent la conformité.

Qui est concerné ?

Banques et établissements de crédit — y compris les banques numériques et néobanques
Entreprises d'assurance et de réassurance
Sociétés de gestion d'actifs et fonds d'investissement
Établissements de paiement et de monnaie électronique
Plateformes de crypto-actifs (CASP) dès 2025
Prestataires ICT critiques désignés par les régulateurs européens

Les 5 piliers de DORA

1

Gestion des risques ICT

Cadre de gouvernance robuste pour identifier, protéger, détecter, répondre et se remettre des incidents ICT. Inclut politiques de sécurité, classification des actifs, et tests réguliers.

2

Gestion et notification des incidents ICT

Processus de détection, classification et notification des incidents majeurs aux régulateurs (FSMA/BNB) dans des délais stricts (4h pour notification initiale, 72h pour rapport intermédiaire).

3

Tests de résilience opérationnelle digitale (TLPT)

Tests de pénétration basés sur les menaces (TIBER-EU/TLPT) pour les entités significatives. Tests de résilience de base pour toutes les entités.

4

Risques liés aux tiers ICT — votre obligation principale

Registre de tous les prestataires ICT, évaluation des risques, clauses contractuelles obligatoires, et surveillance continue. C'est là que VendorScore intervient directement.

5

Partage d'informations sur les cybermenaces

Participation volontaire aux échanges d'informations sur les menaces et vulnérabilités dans des environnements de confiance.

Comment VendorScore couvre le pilier 4 DORA

Le pilier le plus opérationnel pour les équipes procurement et compliance est la gestion des risques tiers ICT. DORA exige un registre à jour avec évaluation documentée du risque. VendorScore automatise exactement cela.

300 pts

🔒 Sécurité IT

SSL/TLS, en-têtes HTTP sécurité, DNS (SPF/DMARC), ports dangereux (Shodan), HIBP, vulnérabilités CVE critiques (NVD).

250 pts

📜 Certifications

ISO 27001, SOC 2 Type II, DORA-ready, NIS2, GDPR, PCI-DSS, ISO 9001. Bonus spécial DORA/NIS2 (+20 pts).

250 pts

📊 Santé financière

Données BCE/KBO, bilans BNB sur 3 ans, liquidité, solvabilité, croissance, absence d'insolvabilité au Moniteur Belge.

100 pts

⚖️ Conformité réglementaire

GDPR, authentification email, sécurité transport, cadence de renouvellement SSL. Aligné DORA Art. 28-44.

100 pts

🏢 Contexte fournisseur

Vérification domaine/BCE, correspondance d'adresse, industrie, taille de l'organisation.

Registre DORA : ce que vous devez documenter

L'Article 28 de DORA exige un registre de toutes les relations contractuelles avec des prestataires ICT tiers. VendorScore génère automatiquement les données requises :

Identification du prestataire — Nom, numéro BCE, adresse, pays
Criticité de la fonction — Évaluation du caractère critique ou important
Score de risque documenté — Score VendorScore /1000 avec détail par pilier
Certifications et conformité — ISO 27001, SOC 2, NIS2 vérifiés
Surveillance continue — Alertes automatiques en cas de dégradation
Historique d'évaluation — Trail d'audit complet pour les régulateurs

Questions fréquentes sur DORA

Qu'est-ce que DORA et qui est concerné en Belgique ?

DORA (Digital Operational Resilience Act, Règlement UE 2022/2554) est entré en vigueur le 17 janvier 2025. Il s'applique à toutes les entités financières dans l'UE : banques, assureurs, gestionnaires d'actifs, établissements de paiement, sociétés d'investissement, et leurs prestataires ICT critiques. En Belgique, la FSMA et la BNB supervisent la conformité.

Quelles sont les sanctions en cas de non-conformité DORA ?

Les régulateurs peuvent infliger des astreintes jusqu'à 1% du chiffre d'affaires mondial journalier moyen et des amendes administratives significatives. Pour les prestataires ICT critiques désignés par les ESA, les amendes peuvent atteindre 5 millions EUR ou 10% du chiffre d'affaires annuel mondial.

DORA s'applique-t-il aux PME du secteur financier ?

Oui, avec des exigences proportionnées. Les microentreprises (moins de 10 employés et moins de 2M€ de bilan annuel) bénéficient d'exemptions partielles, notamment pour les tests TLPT. Mais l'obligation de registre des prestataires ICT et d'évaluation des risques s'applique à tous.

Comment automatiser la due diligence DORA avec VendorScore ?

VendorScore scanne automatiquement chaque fournisseur sur les 5 piliers DORA, génère un score /1000, et maintient un registre à jour. Les alertes de monitoring signalent toute dégradation du risque. Les rapports d'audit sont exportables pour la FSMA/BNB. Résultat : votre conformité DORA est documentée en continu, sans effort manuel.

Quelle est la différence entre DORA et NIS2 pour un fournisseur belge ?

DORA est sectoriel (finance uniquement) et complet (résilience opérationnelle totale). NIS2 est transversal (tous secteurs critiques) et orienté cybersécurité. Pour les entités financières belges, les deux s'appliquent et se complètent. VendorScore couvre les exigences des deux réglementations dans un seul score.

Guide DORA pour la gestion des risques fournisseurs ICT