DORA s’applique-t-il à nous si nous ne sommes pas une banque ?

Très possiblement. DORA couvre un large éventail d’entités financières de l’UE et atteint les prestataires TIC tiers critiques qui les servent. Savoir si et comment il s’applique est une détermination juridique pour votre conseil — nous vous aidons à cadrer les obligations et à bâtir les preuves une fois ce point établi.

S’agit-il d’un conseil juridique ?

Non. Nous fournissons des preuves et une préparation à la conformité ; l’interprétation de DORA et de son application à votre entité est laissée à votre conseil. Nous appuyons ce travail plutôt que de le remplacer.

Pouvez-vous mener les tests d’intrusion guidés par la menace (TLPT) ?

Oui — lorsque le TLPT est concerné, nous l’assurons directement, aligné sur TIBER-EU, avec la trace de preuves construite pour la transmission au superviseur. Notre conseil DORA et les tests forment un seul programme.

Quel lien entre DORA, NIS 2 et notre travail ISO 27001 ?

Ils se recoupent fortement sur les contrôles et les preuves. Nous cartographions un seul jeu de contrôles entre DORA, NIS 2 et ISO 27001, pour que chaque obligation devienne un exercice de preuve plutôt qu’un programme distinct.

Une résilience opérationnelle qu’un régulateur — et un vrai attaquant — accepteraient.

Préparation au règlement DORA sur ses cinq piliers, attestée par l’équipe senior qui mène elle-même les tests qu’il exige.

Demander un échange de cadrage Voir notre méthode

Praticiens seniors uniquement.
Indépendant des éditeurs.
Reporting fondé sur des preuves.

DORA (règlement (UE) 2022/2554) s’applique depuis le 17 janvier 2025. Il fait passer le risque TIC des entités financières — et des prestataires dont elles dépendent — de la recommandation à l’obligation contraignante : gouvernance, signalement d’incidents, tests de résilience et surveillance des tiers, supervisés et attestés.

Nous vous préparons et maintenons les preuves à jour — sans nous substituer à votre conseil juridique. Nous rattachons chaque obligation à un contrôle que votre équipe peut opérer, et comme nous menons aussi des tests guidés par la menace, le pilier « tests de résilience » est assuré par ceux qui font le travail, pas seulement qui le décrivent. L’interprétation du droit reste à votre conseil.

Ce que DORA exige

Cadre de gestion du risque TIC: Un cadre documenté et porté par la direction — identification, protection, détection, réponse et reprise — proportionné à votre taille et à votre risque, avec les politiques, rôles et preuves qu’un superviseur s’attend à voir fonctionner.
Signalement des incidents TIC: Classification, seuils et le processus de signalement des incidents majeurs à votre autorité compétente dans les délais DORA — conçu pour tenir sous pression, pas seulement sur le papier.
Tests de résilience opérationnelle: Un programme de tests fondé sur les risques — et, pour les entités concernées, des tests d’intrusion guidés par la menace (TLPT) alignés sur le cadre TIBER-EU. Nous menons les tests et produisons les preuves dans la forme attendue par votre superviseur.
Gestion du risque lié aux tiers TIC: Le registre d’information, les exigences contractuelles, la vue du risque de concentration et les stratégies de sortie pour les prestataires TIC critiques — le pilier que la plupart des programmes sous-estiment.

Périmètre. Nous fournissons des preuves et une préparation à la conformité, pas un conseil juridique — déterminer si et comment DORA s’applique à votre entité relève de votre conseil. Nous ne détenons aucune autorité de supervision ou de certification et n’en revendiquons aucune.

Quand les équipes nous appellent

Les moments les plus fréquents où l’on nous sollicite pour DORA :

L’équipe achats ou due diligence d’un client du secteur financier réclame des preuves DORA avant de signer ou de renouveler.
Vous êtes prestataire TIC d’entités financières de l’UE et les obligations DORA arrivent dans vos contrats.
Un superviseur ou l’audit interne a jugé le cadre de risque TIC ou le registre des tiers trop léger.
Le TLPT est concerné et vous voulez les tests et les preuves d’une seule équipe senior.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

Rapport technique

Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.
Synthèse exécutive des risques

Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.
Plan d’action

Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission de préparation type.

La préparation DORA suit une échéance définie. Une mission représentative s’ouvre sur un cadrage et un diagnostic d’écarts sur les cinq piliers — généralement quelques semaines — puis un cadre cartographié, un modèle de preuves et un plan de remédiation priorisé sur les semaines à quelques mois suivants, calibré selon le nombre de piliers à traiter et si le TLPT est concerné. Un programme continu maintient ensuite le registre d’information, la cadence de tests et la préparation au signalement d’incidents, dans un cadre durable.

Nous calons le calendrier sur votre véritable pression — l’attente d’un superviseur, le questionnaire de due diligence d’un client du secteur financier, ou un renouvellement de contrat — et le confirmons lors du cadrage avant tout engagement.

Ce qui nous distingue

Éclairé par les tests — la même équipe senior qui mène les missions guidées par la menace et de red team conseille sur le pilier « tests de résilience », pour que le programme reflète le déroulement réel des attaques, pas seulement la lettre du règlement.
Des preuves qui font aussi office de réponse — les livrables que nous produisons sont ceux que vous remettez à un superviseur, un auditeur ou un client du secteur financier qui demande comment le risque TIC est géré.
Cadré sur la proportionnalité — DORA est fondé sur les risques ; nous calibrons le cadre à votre entité plutôt que d’ajouter des contrôles qu’une structure plus petite n’opérera jamais.

À qui DORA s’applique

Les entités financières — et les prestataires TIC derrière elles.

DORA couvre un large ensemble d’entités financières de l’UE — banques, établissements de paiement et de monnaie électronique, entreprises d’investissement, assureurs et intermédiaires, prestataires de services sur crypto-actifs, plates-formes de négociation, et d’autres — et atteint leurs prestataires de services TIC tiers critiques, y compris ceux désignés comme critiques et supervisés directement. Si vous vendez de la technologie au secteur financier de l’UE, DORA atteint vos contrats même si vous n’êtes pas vous-même une entité financière.

Cette double portée explique pourquoi nous cadrons d’abord : un établissement de paiement, un assureur et un éditeur SaaS servant des banques de l’UE portent chacun des obligations différentes. Nous confirmons où vous vous situez — entité concernée, prestataire TIC, ou les deux — avant toute conception.

Tests de résilience et TLPT

Le pilier où les tests et la conformité se rejoignent.

DORA impose un programme de tests de résilience opérationnelle fondé sur les risques et — pour les entités que le règlement identifie — des tests d’intrusion avancés guidés par la menace (TLPT) alignés sur TIBER-EU : scénarios fondés sur le renseignement, exécution contrôlée en production et preuves construites pour la transmission au superviseur. C’est ici que notre travail offensif et notre travail GRC ne forment qu’un seul programme plutôt que deux prestataires.

Lorsque le TLPT est concerné, notre red team et nos tests guidés par la menace l’assurent directement ; sinon, nous cadrons les tests proportionnés que DORA attend encore et documentons pourquoi. Dans les deux cas, la preuve de résilience est produite par l’équipe qui a mené le test.

Voir notre red teaming et tests guidés par la menace

Questions fréquentes

DORA s’applique-t-il à nous si nous ne sommes pas une banque ?: Très possiblement. DORA couvre un large éventail d’entités financières de l’UE et atteint les prestataires TIC tiers critiques qui les servent. Savoir si et comment il s’applique est une détermination juridique pour votre conseil — nous vous aidons à cadrer les obligations et à bâtir les preuves une fois ce point établi.
S’agit-il d’un conseil juridique ?: Non. Nous fournissons des preuves et une préparation à la conformité ; l’interprétation de DORA et de son application à votre entité est laissée à votre conseil. Nous appuyons ce travail plutôt que de le remplacer.
Pouvez-vous mener les tests d’intrusion guidés par la menace (TLPT) ?: Oui — lorsque le TLPT est concerné, nous l’assurons directement, aligné sur TIBER-EU, avec la trace de preuves construite pour la transmission au superviseur. Notre conseil DORA et les tests forment un seul programme.
Quel lien entre DORA, NIS 2 et notre travail ISO 27001 ?: Ils se recoupent fortement sur les contrôles et les preuves. Nous cartographions un seul jeu de contrôles entre DORA, NIS 2 et ISO 27001, pour que chaque obligation devienne un exercice de preuve plutôt qu’un programme distinct.

Indiquez-nous où vous vous situez — entité financière, prestataire TIC, ou les deux — et l’échéance que vous visez. Nous cadrerons la préparation DORA autour des deux.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage

Ce que DORA exige

Cadre de gestion du risque TIC

Signalement des incidents TIC

Tests de résilience opérationnelle

Gestion du risque lié aux tiers TIC