Actualités & ressources

Actualités & ressources

Nos articles, conseils et nouveautés sur la cybersécurité, l'IA et la data.

← Tous les articles
Cybersécurité2026-06-28 · 9 min de lecture · KLE Formations

DORA : la réglementation cyber qui transforme la finance

Professionnel analysant la résilience numérique d'une institution financière sur des écrans de données

Si NIS2 fait parler de toute l'économie, son équivalent pour la finance est déjà en vigueur, et il est plus strict. DORA impose depuis 2025 des règles de résilience numérique à toutes les banques, assurances et à leurs prestataires. Résultat : un secteur sous pression réglementaire qui recrute massivement des profils cyber. Décryptage.

DORA, le « NIS2 de la finance »

DORA (Digital Operational Resilience Act), de son nom officiel le Règlement (UE) 2022/2554, est le cadre européen qui encadre la résilience opérationnelle numérique du secteur financier. Sa logique : garantir que les banques, assurances et autres acteurs financiers soient capables de prévenir, résister et se remettre des incidents informatiques (cyberattaques, pannes, défaillances de prestataires) sans interrompre leurs services essentiels.

Le point essentiel à retenir : DORA est applicable depuis le 17 janvier 2025, sans période transitoire. Contrairement à NIS2, il n'y a pas eu d'attente. Le secteur financier est donc déjà dans la phase de mise en conformité réelle, avec les premières inspections en cours.

DORA ou NIS2 : ne pas confondre

C'est une distinction que tout candidat au secteur doit comprendre, et elle est révélatrice. NIS2 est une directive : elle doit être transposée par une loi nationale dans chaque pays (et en France, cette transposition n'est d'ailleurs toujours pas votée à la mi-2026). DORA, lui, est un règlement : il s'applique directement et uniformément dans toute l'Union, sans loi nationale intermédiaire.

Autre différence clé : DORA est un texte sectoriel spécialisé (on parle de « lex specialis »). Pour les risques numériques, les entités financières relèvent de DORA plutôt que de NIS2. Et ses exigences sont souvent plus strictes : là où NIS2 demande une première alerte d'incident sous 24 heures, DORA exige une notification initiale sous 4 heures pour les incidents majeurs. Nous détaillons NIS2 dans notre article dédié à sa préparation par les PME.

Qui est concerné ? Un périmètre très large

DORA ne vise pas que les grandes banques. Son champ couvre la quasi-totalité du secteur financier : établissements de crédit, entreprises d'investissement, sociétés de gestion, plateformes de négociation, prestataires de services de paiement, entreprises d'assurance et de réassurance, intermédiaires, institutions de retraite professionnelle, prestataires de crypto-actifs…

Surtout, et c'est crucial pour l'emploi : DORA s'applique aussi aux prestataires tiers de services informatiques (éditeurs de logiciels, fournisseurs cloud, ESN) qui servent ces entités sur des fonctions critiques. Les fournisseurs cloud jugés « critiques » pour le système financier font même l'objet d'une supervision européenne directe. L'impact déborde donc largement la finance au sens strict, vers tout l'écosystème technologique qui la sert.

En France, ce sont l'ACPR (Banque de France) et l'AMF qui supervisent l'application de DORA.

Les cinq piliers de DORA

Le règlement s'articule autour de cinq grands chantiers, qui dessinent autant de besoins en compétences :

  • La gestion des risques TIC : un cadre documenté, approuvé par la direction, couvrant la protection des systèmes (chiffrement, gestion des accès, détection d'anomalies).
  • La notification des incidents majeurs en trois temps : alerte initiale sous 4 heures, rapport intermédiaire sous 72 heures, rapport final sous un mois.
  • Les tests de résilience, dont les TLPT (Threat-Led Penetration Testing) : des tests d'intrusion pilotés par la menace, exigés pour les entités les plus importantes.
  • La gestion des risques liés aux tiers : un registre exhaustif de tous les contrats avec les prestataires informatiques, des clauses contractuelles strictes (droits d'audit, plans de sortie) et un suivi du risque cloud.
  • Le partage d'informations sur les cybermenaces entre acteurs financiers, sur une base volontaire.

Un principe de proportionnalité s'applique : les micro et petites entités bénéficient d'un régime allégé. Mais attention, « simplifié » ne veut pas dire « optionnel » : une petite société de gestion doit elle aussi disposer d'un cadre proportionné.

Un chantier coûteux, et qui s'inscrit dans la durée

DORA n'est pas une formalité administrative. Pour un établissement bancaire de taille intermédiaire (1 000 à 5 000 employés), les estimations de marché situent le coût de mise en conformité entre 2 et 8 millions d'euros sur deux ans, incluant audits, mises à niveau techniques, renégociation des contrats prestataires et tests TLPT.

Et la pression ne retombe pas : en juin 2026, l'AMF a appelé les acteurs financiers à renforcer leurs dispositifs face à l'évolution rapide des menaces liées à l'IA. La conformité DORA est un processus continu, réévalué chaque année, pas une case à cocher une fois pour toutes.

Pourquoi DORA fait recruter

C'est la conséquence directe pour l'emploi, et elle est massive. Mettre en œuvre DORA mobilise des compétences variées : RSSI, consultants en gouvernance, risques et conformité (GRC), analystes de risques TIC, experts en continuité et résilience, spécialistes de la gestion des prestataires, et pentesters pour les tests TLPT. Le règlement déplace les budgets de l'achat de logiciels vers le recrutement de « cerveaux ».

Or la finance est précisément le secteur qui paie le mieux en cybersécurité, avec une prime d'environ 20 % par rapport à la moyenne. Et comme DORA touche aussi les prestataires informatiques, les opportunités se multiplient aussi du côté des ESN et des éditeurs.

Une nuance honnête toutefois : ces postes demandent souvent une compréhension du secteur financier et de ses contraintes, et certains (comme les TLPT) ne sont pas des fonctions juniors. La voie d'accès la plus réaliste en reconversion passe souvent par la GRC, moins technique, très demandée sous la pression réglementaire, et particulièrement adaptée aux profils venant du droit, de l'audit, de la gestion des risques ou de la banque elle-même. Un atout que les reconvertis issus de la finance peuvent faire valoir.

Se former pour saisir la vague réglementaire

DORA, NIS2, AI Act : la vague réglementaire transforme durablement la demande de compétences cyber, et la finance en est l'un des moteurs les plus puissants. Comprendre ces cadres et savoir les traduire en actions concrètes est devenu une compétence très recherchée.

Chez KLE Formations, notre parcours en cybersécurité couvre la dimension gouvernance et conformité (GRC) en plus de la technique, précisément ce que DORA et ses homologues font exploser comme besoin. Intensif et orienté pratique, il vise un titre RNCP de niveau 7 et reste finançable (CPF, France Travail, OPCO, Transitions Pro, POEI). Pour comprendre le pendant non sectoriel de DORA, lisez notre article sur NIS2, et pour explorer les métiers, notre guide des métiers de la cybersécurité ainsi que notre panorama des salaires 2026.

DORA ne fait pas que sécuriser la finance : il crée une demande durable de professionnels capables de la protéger. Une opportunité concrète pour qui veut s'y former.


Sources : Règlement (UE) 2022/2554 (DORA) et EUR-Lex ; ACPR (Banque de France) et AMF (autorités compétentes françaises, communications 2026) ; PwC et IBM (mise en conformité, gouvernance) ; analyses DORA-Finance (piliers, délais de notification, coûts, articulation NIS2). Statut et chiffres à jour à la mi-2026 ; les coûts de conformité sont des estimations de marché variables selon la taille et le profil de l'entité.