Blog
Article

DORA & AI Act : votre plan d’attaque pour une conformité totale

August 4, 2025
xx
min
Emmanuel Adjanohun
Co-fondateur
Copier le lien
DORA & AI Act : votre plan d’attaque pour une conformité totale
Partager sur Linkedin
Partager sur X
Partager sur Facebook

L'univers numérique et technologique est en constante évolution, et avec lui, les cadres réglementaires qui le régissent. Deux textes majeurs, le Digital Operational Resilience Act (DORA) et l'AI Act, s'apprêtent à redéfinir les obligations des entreprises en Europe. Cette double législation impose une mise en conformité rigoureuse pour garantir une meilleure gestion des risques, une sécurité accrue et une plus grande transparence. Cet article propose une checklist complète pour aider votre organisation à naviguer dans ces nouvelles exigences.

Qu'est-ce que le règlement DORA ?

Le règlement sur la résilience opérationnelle numérique, connu sous l'acronyme DORA (Digital Operational Resilience Act), est une initiative de l'Union européenne visant à renforcer la cybersécurité et la résilience opérationnelle des entités du secteur financier et de leurs prestataires de services technologiques critiques. Face à la multiplication des cybermenaces, DORA cherche à harmoniser les règles pour assurer que le secteur financier européen puisse résister, répondre et se remettre de tout type de perturbations et de menaces liées aux technologies de l'information et de la communication (TIC).

Définition et objectifs de DORA

Le règlement DORA (UE) 2022/2554 a pour principal objectif d'établir un cadre réglementaire unifié et complet pour la résilience opérationnelle numérique. Avant DORA, la gestion des risques liés aux TIC était fragmentée, avec des règles dispersées et variant d'un État membre à l'autre. Cette nouvelle législation vise donc à créer un standard unique et cohérent pour l'ensemble de l'UE.

Les objectifs principaux de DORA sont les suivants :

  • Harmoniser les exigences en matière de gestion des risques liés aux TIC et de cybersécurité.
  • Renforcer la capacité du secteur financier à faire face aux cyberattaques et autres incidents informatiques.
  • Assurer la continuité des activités financières en cas de perturbation majeure.
  • Instaurer une surveillance directe des prestataires de services TIC critiques.

Champ d'application de DORA : quels acteurs sont concernés ?

Le champ d'application de DORA est large et ne se limite pas aux banques traditionnelles. Il couvre plus de 20 types d'entités financières, incluant :

  • Les établissements de crédit et de paiement.
  • Les compagnies d'assurance et de réassurance.
  • Les sociétés d'investissement et de gestion d'actifs.
  • Les prestataires de services de crypto-actifs.
  • Les infrastructures de marché comme les plateformes de négociation.

De manière significative, la réglementation DORA s'étend également aux prestataires de services TIC tiers, tels que les fournisseurs de services cloud ou de logiciels, qui sont des partenaires essentiels pour le secteur financier. Ceux considérés comme "critiques" feront l'objet d'une supervision européenne directe.

Date d'application du règlement DORA

Le règlement DORA a été publié officiellement le 27 décembre 2022 et est entré en vigueur le 16 janvier 2023. Pour permettre aux entités concernées de se préparer, une période de transition a été prévue. Depuis le 17 janvier 2025, DORA est maintenant pleinement applicable dans tous les États membres de l'UE.

Qu'est-ce que l'AI Act ?

L'AI Act, ou loi sur l'intelligence artificielle, est le premier cadre réglementaire complet au monde pour l'IA. Proposé par la Commission européenne, ce règlement vise à garantir que les systèmes d'intelligence artificielle utilisés dans l'Union européenne sont sûrs, transparents, éthiques et respectueux des droits fondamentaux.

Définition et objectifs de l'AI Act

L'AI Act (Règlement (UE) 2024/1689) est une législation qui encadre le développement, la commercialisation et l'utilisation de l'intelligence artificielle au sein de l'UE. Son approche est fondée sur les risques : plus le risque potentiel d'un système d'IA est élevé, plus les règles sont strictes.

Les objectifs de l'AI Act sont de :

  • Protéger la santé, la sécurité et les droits fondamentaux des citoyens européens contre les risques potentiels de l'IA.
  • Promouvoir une IA de confiance, éthique et centrée sur l'humain.
  • Créer un marché unique européen pour les applications d'IA licites, sûres et fiables.
  • Favoriser l'innovation tout en établissant des garde-fous clairs.

Champ d'application de l'AI Act : quels systèmes d'IA sont concernés ?

L'AI Act a un champ d'application très large, couvrant la plupart des systèmes d'IA mis sur le marché ou utilisés au sein de l'UE, que les fournisseurs ou utilisateurs soient basés dans l'UE ou non. La définition d'un "système d'IA" est volontairement large pour englober les technologies actuelles et futures. Cela inclut les systèmes automatisés conçus pour fonctionner avec différents niveaux d'autonomie et capables de générer des prédictions, des recommandations ou des décisions.

Le règlement s'applique à une diversité d'acteurs, y compris :

  • Les fournisseurs qui développent et mettent sur le marché des systèmes d'IA.
  • Les déployeurs (utilisateurs professionnels) qui utilisent des systèmes d'IA dans le cadre de leurs activités.
  • Les importateurs et distributeurs de systèmes d'IA au sein de l'UE.

Classification des risques liés à l'IA selon l'AI Act

L'AI Act classe les systèmes d'IA en quatre catégories de risque, chacune entraînant des obligations différentes.

  1. Risque inacceptable : Les systèmes d'IA qui représentent une menace claire pour les droits fondamentaux sont interdits. Cela inclut, par exemple, la notation sociale par les gouvernements ou les systèmes de manipulation comportementale subliminale.
  2. Risque élevé : Il s'agit des systèmes d'IA utilisés dans des secteurs critiques ou des applications sensibles (santé, recrutement, justice, infrastructures critiques). Ces systèmes sont soumis à des exigences strictes avant et après leur mise sur le marché, notamment en matière de gestion des risques, de qualité des données, de documentation technique, de surveillance humaine et de cybersécurité.
  3. Risque limité : Cette catégorie concerne les systèmes d'IA qui présentent un risque de manipulation ou de tromperie. L'obligation principale est la transparence. Par exemple, les utilisateurs doivent être informés qu'ils interagissent avec un chatbot ou que le contenu qu'ils visionnent est un "deepfake".
  4. Risque minimal ou nul : La grande majorité des applications d'IA entrent dans cette catégorie (jeux vidéo, filtres anti-spam, etc.). Pour ces systèmes, l'AI Act n'impose pas d'obligations légales, mais encourage l'adoption de codes de conduite volontaires.

DORA : les 5 piliers de la conformité

La conformité au règlement DORA s'articule autour de cinq piliers fondamentaux qui structurent la résilience opérationnelle numérique.

1. Gestion des risques liés aux technologies de l'information et de la communication (TIC)

C'est le premier pilier de la conformité DORA. Les entités financières doivent disposer d'un cadre de gestion des risques TIC complet, solide et bien documenté.

  • Cadre de gestion des risques TIC : L'organisation doit mettre en place un cadre de gouvernance et de contrôle interne qui assure une gestion efficace des risques liés aux TIC. Ce cadre doit être proportionné à sa taille et à son profil de risque.
  • Évaluation des risques : Il est impératif d'identifier, de classer et d'évaluer en continu tous les risques liés aux TIC. Cette évaluation doit être revue au moins une fois par an.
  • Contrôles de sécurité : Des politiques de sécurité de l'information robustes doivent être élaborées pour protéger la confidentialité, l'intégrité et la disponibilité des données, en s'appuyant sur une approche fondée sur les risques.
  • Surveillance continue et atténuation des risques : La détection rapide des anomalies et des menaces est cruciale. L'organisation doit mettre en œuvre des mécanismes de surveillance continue pour identifier les vulnérabilités et prendre des mesures préventives et correctives.
  • Documentation de la conformité : Toutes les stratégies, politiques, procédures et évaluations liées à la gestion des risques TIC doivent être formellement documentées pour pouvoir être présentées aux autorités compétentes.

2. Notification des incidents liés aux TIC

Le règlement DORA impose un processus harmonisé pour la gestion, la classification et la notification des incidents majeurs liés aux TIC.

  • Procédures de notification des incidents : Les entreprises doivent mettre en place un processus interne clair pour détecter, gérer et notifier les incidents de sécurité.
  • Délais de notification : En cas d'incident majeur, une notification initiale doit être envoyée à l'autorité compétente dans des délais très courts. Par exemple, une première notification pourrait être exigée dans les 4 heures suivant la classification de l'incident comme majeur, et au plus tard 24 heures après sa détection. Des rapports intermédiaires et finaux sont également requis.
  • Classification des incidents : DORA établit des critères précis pour classifier les incidents en fonction de leur impact, ce qui détermine l'obligation de notification.

3. Tests de résilience opérationnelle numérique

Pour assurer la conformité à DORA, il ne suffit pas d'avoir des politiques ; il faut prouver qu'elles fonctionnent. Les tests de résilience sont donc une obligation centrale.

  • Types de tests de résilience : Les entités doivent mener un programme complet de tests, incluant des tests de vulnérabilité, des analyses de code, des tests de performance et des tests de pénétration.
  • Fréquence des tests : Des tests de sécurité et de résilience doivent être effectués au moins une fois par an sur tous les systèmes et applications critiques. Les entités les plus importantes devront réaliser tous les trois ans des tests de pénétration avancés basés sur la menace (Threat-Led Penetration Testing - TLPT).
  • Documentation des tests : Tous les tests, leurs résultats et les plans de remédiation doivent être rigoureusement documentés.

4. Gestion des risques liés aux tiers prestataires de services TIC

DORA reconnaît que la résilience d'une institution financière dépend fortement de celle de ses partenaires technologiques.

  • Évaluation des risques liés aux tiers : Avant de signer un contrat avec un prestataire de services TIC, l'entité financière doit mener une évaluation approfondie de ses risques. Cette gestion du risque lié aux tiers doit être intégrée dans le cadre global de gestion des risques TIC.
  • Contrats et clauses de sécurité : Les contrats avec les prestataires de services TIC doivent contenir des clauses spécifiques et robustes couvrant la sécurité, l'accès, l'audit et les obligations en cas d'incident. L'entité financière reste pleinement responsable du respect des obligations de DORA.
  • Stratégies de sortie : Les entreprises doivent élaborer des stratégies de sortie pour chaque prestataire critique, afin de pouvoir changer de fournisseur sans perturber leurs opérations essentielles.

5. Partage d'informations sur les cybermenaces

Le dernier pilier de la conformité DORA encourage la collaboration pour renforcer la sécurité collective.

  • Mécanismes de partage d'informations : DORA incite les entités financières à mettre en place des accords pour partager volontairement entre elles des informations et des renseignements sur les cybermenaces (indicateurs de compromission, tactiques des attaquants, etc.).
  • Collaboration avec les autorités compétentes : Le partage d'informations s'étend à la collaboration avec les autorités de régulation pour anticiper et mieux répondre collectivement aux menaces.

AI Act : les exigences clés

La conformité à l'AI Act dépend du niveau de risque du système d'IA, les obligations les plus strictes s'appliquant aux systèmes à haut risque.

Évaluation des risques liés à l'IA

L'une des premières étapes pour la conformité à l'AI Act est de déterminer si vos systèmes d'IA entrent dans la catégorie à haut risque. Cela nécessite une analyse approfondie de leur finalité et de leur contexte d'utilisation par rapport aux cas listés dans l'annexe III du règlement. Les entreprises doivent mettre en place un système de management des risques tout au long du cycle de vie de l'IA.

Obligations de transparence et de documentation

Pour les systèmes à haut risque, la documentation technique est une exigence fondamentale. Elle doit être suffisamment détaillée pour permettre aux autorités d'évaluer la conformité du système. De plus, une obligation de transparence s'applique à certains systèmes, comme ceux qui interagissent avec les humains, qui doivent clairement indiquer leur nature artificielle. La traçabilité des données et des processus décisionnels est également une exigence majeure.

Conformité aux principes d'éthique et de protection des données

L'AI Act insiste sur le respect des droits fondamentaux. Cela inclut la non-discrimination, le respect de la vie privée et la protection des données personnelles. Les systèmes à haut risque doivent être conçus pour minimiser les biais et garantir une surveillance humaine efficace. La qualité et la gouvernance des ensembles de données utilisés pour entraîner les modèles d'IA sont des points de contrôle essentiels pour assurer la conformité.

Points de convergence entre DORA et l'AI Act

Bien que DORA et l'AI Act soient deux règlements distincts, ils partagent des philosophies et des exigences communes, notamment dans leur approche de la gestion des risques et de la sécurité.

Gestion des risques

Les deux textes placent la gestion des risques au cœur de leur dispositif. DORA exige un cadre robuste de gestion des risques liés aux TIC, tandis que l'AI Act impose une approche basée sur les risques pour l'IA. Une organisation qui met en place un solide processus de management du risque pour DORA aura déjà une base solide pour répondre aux exigences de l'AI Act, et inversement.

Sécurité des données

La sécurité des données est un autre point de convergence majeur. DORA vise à protéger l'intégrité et la disponibilité des données dans le secteur financier. L'AI Act, de son côté, impose des exigences strictes sur la gouvernance des données utilisées pour les systèmes d'IA à haut risque, afin de garantir leur qualité et leur pertinence. La protection des données est une pierre angulaire des deux réglementations.

Transparence et responsabilité

Enfin, la transparence et la responsabilité sont des principes fondamentaux communs. DORA exige une documentation et une notification claires des incidents, tandis que l'AI Act impose des obligations de transparence sur le fonctionnement des systèmes d'IA et une documentation technique complète. Les deux règlements visent à s'assurer que les entreprises sont responsables de la technologie qu'elles déploient.

Checklist de conformité DORA et AI Act

Pour aborder la mise en conformité de manière structurée, voici une checklist d'actions clés.

Analyse des lacunes en matière de conformité

La première étape est de réaliser une analyse d'écarts (gap analysis) pour évaluer votre posture actuelle par rapport aux exigences de DORA et de l'AI Act.

  • Cartographier vos actifs : Identifiez tous vos processus métier, les systèmes d'information qui les soutiennent, et vos prestataires de services TIC.
  • Identifier les systèmes d'IA : Répertoriez tous les systèmes d'IA que vous utilisez ou développez et classez-les selon les niveaux de risque de l'AI Act.
  • Évaluer les contrôles existants : Comparez vos politiques de sécurité, de gestion des risques et de gouvernance actuelles avec les exigences des deux textes.

Plan d'action pour la mise en conformité

Sur la base de l'analyse des lacunes, développez un plan d'action détaillé.

  • Prioriser les actions : Concentrez-vous d'abord sur les domaines à plus haut risque et les obligations les plus critiques.
  • Assigner des responsabilités : Désignez des responsables clairs pour chaque action de mise en conformité.
  • Établir un calendrier : Fixez des échéances réalistes pour l'implémentation des mesures correctives pour DORA et selon le calendrier progressif de l'AI Act.

Ressources et outils utiles

La conformité est un projet complexe qui nécessite des ressources adéquates.

  • Compétences internes : Assurez-vous que vos équipes disposent des compétences nécessaires en cybersécurité, en droit et en gestion de projet.
  • Experts externes : N'hésitez pas à faire appel à des consultants ou à des experts juridiques pour vous accompagner dans ce processus.
  • Solutions technologiques : Des outils de gestion de la conformité, de surveillance de la sécurité et d'analyse des risques peuvent grandement faciliter le travail de vos équipes.

Sanctions en cas de non-conformité

Les deux règlements prévoient des sanctions sévères pour inciter à la conformité.

Sanctions financières pour non-respect de DORA

Le règlement DORA laisse aux États membres le soin de définir les sanctions exactes, mais celles-ci doivent être "effectives, proportionnées et dissuasives". Elles peuvent inclure des amendes significatives. Certaines sources indiquent que les amendes pour non-conformité à DORA pourraient atteindre jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'entité. Pour les prestataires critiques, des astreintes journalières pourraient être appliquées jusqu'à ce que la conformité soit atteinte.

Sanctions pour non-respect de l'AI Act

L'AI Act prévoit des sanctions financières très lourdes, souvent comparées à celles du RGPD. Les amendes varient en fonction de la gravité de l'infraction :

  • Pour l'utilisation d'IA interdites : jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.
  • Pour le non-respect des obligations relatives aux systèmes à haut risque : jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial.
  • Pour la fourniture d'informations incorrectes : jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial.

Ressources supplémentaires

Liens vers les textes réglementaires DORA et AI Act

Guides et recommandations des autorités compétentes

Les autorités de surveillance européennes (EBA, ESMA, EIOPA) et les agences nationales comme l'ACPR en France publient régulièrement des guides et des normes techniques pour aider à l'interprétation et à l'application de DORA. De même, le Bureau européen de l'IA (AI Office) fournira des lignes directrices pour l'AI Act.

Exemples de bonnes pratiques

De nombreux cabinets de conseil, entreprises technologiques et associations sectorielles publient des livres blancs, des guides et des études de cas sur les meilleures pratiques pour se conformer à DORA et à l'AI Act. Ces ressources peuvent fournir des exemples concrets et des solutions pratiques pour votre organisation.

Conclusion: Préparer votre organisation à la conformité DORA et AI Act

L'entrée en application de DORA et de l'AI Act représente un tournant réglementaire majeur pour de nombreuses organisations. La conformité n'est pas simplement une obligation juridique ; c'est une opportunité de renforcer la résilience de votre organisation, d'améliorer la gestion de vos risques et de bâtir une relation de confiance durable avec vos clients et partenaires.

En adoptant une approche proactive, en commençant dès maintenant votre analyse et en élaborant un plan d'action structuré, vous pouvez transformer cette double exigence en un véritable avantage stratégique. La clé du succès réside dans une préparation minutieuse, une allocation adéquate des ressources et un engagement continu en faveur de la résilience opérationnelle numérique et d'une intelligence artificielle éthique.

Emmanuel Adjanohun
Co-fondateur

Derniers articles

Vous souhaitez avoir plus d'informations sur notre offre de services ?

Contactez-nous
Audit & stratégie Cloud
Stratégie Cloud
Audit, stratégie et GRC
Stratégie et GRC Cyber
Audit et Conseil Stratégique IA
Stratégie IA
Architecture Cloud & Ingénierie
Architecture Cloud
RSSI Externalisé
RSSI Externalisé
Gouvernance & Qualité des données
Qualité des données
Sécurité des environnements Cloud
Sécurité Cloud
Sécurité Offensive
Sécurité Offensive
Gouvernance & Ethique de l'IA
Ethique de l'IA
Gouvernance & Conformité Cloud
Gouvernance & Conformité Cloud
Centre de gestion des vulnérabilités (VOC)
VOC
Data science et analytique avancée
Analytique
Migration & modernisation applicative
Migration
Protection des environnements
Protection
Formation & acculturation IA & Data
Formation IA / Data
Exploitation et supervision Cloud (CloudOps)
CloudOps
Surveillance et détection intelligente des cyberattaques
Détection
Architecture & ingénierie IA / Data
Architecture IA / Data
Réponse aux incidents
Réponse
Développement de solutions IA sur mesure
Développement
Formation & acculturation au Cloud
Formation Cloud
Sensibilisation et Formation
Sensibilisation et Formation Cyber
Intégration & déploiement
Intégration
Maintenance et évolution des solutions IA / Data
Maintenance