Skip to content
Conformité

DORA et sensibilisation cybersécurité : ce que le règlement exige de vos équipes

Depuis janvier 2025, le règlement DORA oblige chaque entité financière à former ses collaborateurs et dirigeants à la résilience opérationnelle numérique. Voici ce que cela implique concrètement et comment y répondre.

16 min de lecture

Thomas Ferreira est consultant en cybersécurité certifié CISSP, spécialisé dans la conformité réglementaire pour les établissements financiers et la mise en place de programmes de sensibilisation aux menaces numériques.

Le règlement DORA est applicable depuis le 17 janvier 2025. Pour les entités financières, cette date marque la fin d’une période de préparation et le début d’une période d’exécution : les autorités de supervision vérifient désormais la conformité, pas les intentions.

Parmi les cinq axes du règlement, les obligations de formation et de sensibilisation sont souvent sous-estimées. Elles sont pourtant vérifiables, documentables et directement liées aux risques les plus fréquents dans le secteur financier. Une entité dont les collaborateurs cliquent sur des emails de phishing, dont les dirigeants n’ont jamais reçu de formation aux risques TIC, et dont les résultats de formation ne sont nulle part documentés, est en non-conformité avec DORA — indépendamment de la qualité de son infrastructure technique.

Cette page explique ce que DORA exige concrètement en matière de formation, qui est concerné, ce que l’ACPR vérifie lors de ses contrôles, et comment nophi.sh produit les preuves de conformité attendues.

Pour la définition générale du règlement et ses cinq axes, consultez notre glossaire DORA.

Ce que DORA exige en matière de formation et sensibilisation

Le cœur de l’obligation de formation repose sur l’article 13 et l’article 5 du règlement DORA.

L’article 13 : des programmes obligatoires pour tous

L’article 13.6 du règlement est explicite :

« Les entités financières mettent en place des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qui s’inscrivent dans le cadre de leurs programmes de formation du personnel. Ces programmes et formations sont obligatoires pour l’ensemble du personnel et des dirigeants. »

Trois mots importent : obligatoires, ensemble du personnel, dirigeants. Il ne s’agit pas d’une recommandation adressée aux équipes techniques. Chaque membre de l’organisation, de l’assistant de direction au directeur général, doit participer au programme.

L’article 13.6 précise que ces programmes doivent comprendre des modules de formation à la sécurité des TIC adaptés au profil de risque de l’entité. Pour une banque de détail, cela signifie des formations centrées sur la fraude au virement, l’usurpation d’identité de régulateurs et la compromission de messagerie. Pour un gestionnaire d’actifs, les scénarios prioritaires incluent le spear phishing ciblant les accès aux plateformes de trading et les demandes de virement depuis des comptes usurpés.

L’article 13.1 exige par ailleurs que les entités financières maintiennent un cadre de gestion des risques TIC qui couvre explicitement la détection des anomalies, la protection des systèmes d’information et les procédures de réponse aux incidents. La formation des collaborateurs à reconnaître les tentatives d’ingénierie sociale fait partie de ce cadre.

L’article 5 : la responsabilité de la direction

L’article 5.4 du règlement impose des obligations spécifiques à l’organe de direction, c’est-à-dire aux membres du conseil d’administration, du directoire ou de la direction générale :

« Les membres de l’organe de direction des entités financières maintiennent activement des connaissances et des compétences suffisantes et actualisées pour comprendre et évaluer les risques liés aux TIC et leur impact sur les activités de l’entité financière, y compris en suivant régulièrement une formation spécifique. »

C’est une exigence de formation personnelle des dirigeants, pas seulement une obligation de supervision déléguée. Un directeur général qui approuve la politique de résilience numérique de son entité mais n’a lui-même jamais reçu de formation sur les risques TIC ne satisfait pas aux exigences de l’article 5.4.

La formation des dirigeants doit couvrir leur capacité à évaluer les risques, à prendre des décisions en situation de crise et à superviser les mesures de résilience. Des scénarios de simulation permettant à la direction d’expérimenter une compromission simulée constituent l’approche la plus directe pour répondre à cette obligation.

Ce que les normes techniques précisent

Les autorités européennes de surveillance (ABE, AEAPP, AEMF) ont publié des normes techniques réglementaires (RTS) et d’exécution (ITS) qui détaillent les attentes pratiques. Les orientations sur la gestion des risques TIC précisent que les programmes de formation doivent :

  • être adaptés aux menaces réelles auxquelles l’entité est exposée, pas génériques ;
  • inclure des exercices pratiques et pas seulement des contenus théoriques ;
  • être mis à jour régulièrement pour refléter l’évolution des menaces ;
  • produire des métriques documentées : taux de participation, résultats, actions correctives.

Ces précisions excluent de facto le module e-learning générique passé une fois par an. Elles appellent des programmes structurés, récurrents, ciblés sur les risques sectoriels et dont les résultats peuvent être présentés à un auditeur.

Qui est concerné par DORA

L’article 2 du règlement liste plus de vingt catégories d’entités financières soumises à DORA.

Les entités du secteur financier

Le périmètre couvre l’ensemble de l’industrie financière réglementée :

  • Établissements de crédit : banques commerciales, banques mutualistes, caisses d’épargne
  • Entreprises d’investissement : sociétés de gestion de portefeuille, conseillers en investissement financier soumis à agrément
  • Établissements de paiement et de monnaie électronique : prestataires de services de paiement, néobanques, émetteurs de monnaie électronique
  • Sociétés de gestion d’actifs (OPCVM et FIA) et leurs dépositaires
  • Assureurs et réassureurs : sociétés d’assurance vie et non-vie, réassureurs, intermédiaires d’assurance en fonction de leur taille
  • Institutions de retraite professionnelle
  • Prestataires de services sur crypto-actifs agréés sous MiCA
  • Plateformes de financement participatif agréées
  • Agences de notation de crédit, cabinets d’audit et prestataires de services de communication de données

En France, c’est l’ACPR qui supervise les établissements de crédit, les sociétés d’assurance et les établissements de paiement. L’AMF supervise les sociétés de gestion et les prestataires crypto.

Les prestataires tiers de services TIC

DORA ne s’arrête pas aux entités financières elles-mêmes. Les prestataires tiers de services TIC désignés comme critiques par les autorités européennes de surveillance sont soumis à un cadre de supervision direct. Pour un prestataire cloud, un éditeur de logiciel ou un opérateur de centre de données qui fournit des services à des institutions financières, la désignation comme prestataire critique entraîne des obligations directes — y compris en matière de formation interne.

Le principe de proportionnalité

L’article 4 du règlement pose le principe de proportionnalité : les exigences doivent être appliquées de manière proportionnée à la taille, au profil de risque et à la complexité des activités de l’entité. Une fintech de vingt personnes agréée comme établissement de paiement n’a pas les mêmes capacités qu’une banque systémique de plusieurs milliers de collaborateurs.

Ce principe s’applique à la fréquence et à l’intensité des programmes, pas à leur existence. Les obligations de base — programme de sensibilisation documenté, formation des dirigeants, métriques de résultats — s’appliquent à toutes les entités dans le périmètre. La proportionnalité détermine si la simulation mensuelle ou trimestrielle est appropriée, pas si la simulation est nécessaire.

Pour une PME du secteur financier, cela signifie qu’un programme trimestriel bien documenté suffit à démontrer la conformité. Pour un grand groupe, la fréquence et la granularité attendues sont plus élevées.

Le calendrier DORA

Comprendre la chronologie permet de situer où en est votre entité par rapport aux attentes des superviseurs.

L’adoption et l’entrée en application

Le règlement (UE) 2022/2554 a été adopté par le Parlement européen et le Conseil le 14 décembre 2022. Comme tous les règlements européens, il est directement applicable dans les vingt-sept États membres sans transposition nationale : les mêmes obligations s’appliquent à une banque parisienne et à une société de gestion lisbonnaise.

Le règlement est entré en application le 17 janvier 2025, soit vingt-quatre mois après son adoption, un délai qui a permis aux entités financières de se préparer et aux autorités de surveillance de publier les textes d’application.

Les normes techniques des autorités européennes

Entre 2022 et 2024, les trois autorités européennes de surveillance (ABE pour le secteur bancaire, AEAPP pour les assurances, AEMF pour les marchés financiers) ont publié les normes techniques réglementaires (RTS) et d’exécution (ITS) qui précisent les modalités d’application du règlement. Ces textes couvrent notamment :

  • Le cadre de gestion des risques TIC simplifié pour les petites entités
  • Les critères de classification des incidents majeurs
  • Les exigences des tests de pénétration fondés sur la menace (TLPT)
  • Les clauses contractuelles obligatoires avec les prestataires TIC

Ces normes sont publiées au Journal officiel de l’Union européenne et disponibles sur les sites des autorités. L’ABE publie ses orientations sur sa page DORA.

La supervision française : l’ACPR

En France, l’Autorité de Contrôle Prudentiel et de Résolution est l’autorité nationale compétente pour la supervision bancaire et assurantielle au titre de DORA. L’ACPR a lancé ses contrôles de conformité DORA dès le premier semestre 2025. Elle publie ses positions et ses attentes sur son site, et coordonne sa supervision avec les exigences de la Banque centrale européenne (BCE) pour les groupes bancaires importants.

Pour les sociétés de gestion et les prestataires crypto, c’est l’AMF qui exerce la supervision DORA. Les entités avec une double activité financière et d’assurance peuvent être soumises à une double supervision ACPR/AMF.

L’ANSSI joue un rôle de soutien technique : elle publie des recommandations sur les bonnes pratiques de sécurité numérique applicables au secteur financier, complémentaires aux exigences DORA.

Sanctions et responsabilité des dirigeants

La non-conformité à DORA n’est pas une situation sans conséquence. Le règlement confie aux autorités nationales compétentes des pouvoirs de sanction substantiels.

Les pouvoirs de sanction de l’ACPR

L’ACPR dispose de plusieurs instruments pour sanctionner les entités non conformes :

Les mesures administratives : injonction de mise en conformité dans un délai fixé, avec possibilité d’astreinte journalière jusqu’à l’exécution. Cette mesure peut être prononcée sans procédure disciplinaire formelle et constitue la première réponse aux manquements identifiés lors d’un contrôle.

Les sanctions disciplinaires : avertissement, blâme, interdiction temporaire d’exercer certaines activités, radiation des listes d’agrément. Ces sanctions sont prononcées par la Commission des sanctions de l’ACPR après une procédure contradictoire.

Les sanctions pécuniaires : le montant des sanctions pécuniaires est déterminé en tenant compte de la gravité du manquement, des avantages tirés, du préjudice causé aux tiers et des mesures prises pour remédier au manquement. Pour les prestataires TIC critiques, le règlement DORA prévoit des astreintes pouvant atteindre 1 % du chiffre d’affaires journalier mondial moyen de l’exercice précédent.

La publication des décisions : l’ACPR peut rendre publiques ses décisions de sanction, ce qui expose l’entité à des conséquences réputationnelles dépassant le cadre strictement financier.

La responsabilité personnelle des dirigeants

C’est le point que les directions sous-estiment le plus souvent. L’article 5 de DORA établit clairement que l’organe de direction est personnellement responsable de la définition et de la mise en œuvre de la stratégie de résilience numérique. Cette responsabilité n’est pas déléguable à un responsable de la sécurité des systèmes d’information ou à un prestataire externe.

Un manquement aux obligations de gouvernance TIC peut engager la responsabilité personnelle des membres de la direction. En pratique, si un contrôle ACPR révèle qu’aucun membre de la direction n’a suivi la formation requise par l’article 5.4, que le programme de sensibilisation est absent ou non documenté, et que ces manquements ont contribué à un incident TIC significatif, les membres concernés de l’organe de direction s’exposent à des sanctions individuelles.

La réglementation DORA aligne la responsabilité des dirigeants financiers sur le modèle déjà applicable dans le domaine de la lutte contre le blanchiment et du contrôle prudentiel : ne pas savoir n’exonère pas. La formation personnelle prévue par l’article 5.4 n’est pas optionnelle.

Comment nophi.sh vous aide à être conforme DORA

nophi.sh adresse les obligations de formation et sensibilisation de DORA via quatre fonctionnalités directement mappées aux articles du règlement.

Les simulations de phishing : résilience opérationnelle (articles 24-27 et 13)

Les articles 24 à 27 imposent des tests de résilience opérationnelle numérique réguliers. Les tests doivent couvrir les vecteurs d’attaque réels auxquels l’entité est exposée — et le phishing reste le premier vecteur d’intrusion dans le secteur financier, selon le Panorama de la cybermenace 2024 de l’ANSSI.

nophi.sh propose 90+ scénarios de simulation, dont un ensemble conçu pour le secteur financier :

  • Faux ordres de virement imitant un dirigeant ou un client VIP
  • Usurpation de l’identité de l’AMF ou de l’ACPR pour un faux contrôle réglementaire
  • Fausses pages de connexion à des plateformes financières (Bloomberg, Reuters, portails bancaires)
  • Fraude au changement de coordonnées bancaires d’un fournisseur
  • Spear phishing ciblant les accès aux systèmes de paiement
  • BEC (fraude au président) avec usurpation d’adresse email de domaine

Chaque campagne de simulation teste la capacité des collaborateurs à détecter une tentative réelle et fournit une mesure objective du risque humain résiduel. Cette mesure constitue une preuve de test de résilience au sens de l’article 24.

Les modules de formation : article 13.6

Quand un collaborateur clique sur un lien de simulation, il est redirigé vers un module de formation de 3 à 5 minutes contextualisé au scénario. Un collaborateur piégé par un faux email de l’ACPR reçoit une formation sur les caractéristiques des communications officielles des régulateurs et les réflexes de vérification. Un collaborateur piégé par une fraude au virement reçoit les points de contrôle spécifiques aux demandes de transfert urgent.

La direction reçoit des scénarios adaptés aux attaques qui la ciblent : whaling, fraude au président, vishing imitant un régulateur. Ces scénarios répondent directement à l’obligation de formation de l’organe de direction prévue par l’article 5.4.

Les modules de formation sont progressifs : les collaborateurs récidivistes reçoivent des contenus plus approfondis. Les nouveaux arrivants sont automatiquement inclus dans les campagnes. La plateforme maintient un historique complet de participation par collaborateur.

Les rapports de conformité : gouvernance et documentation (article 5)

L’article 5 exige que l’organe de direction approuve et supervise la stratégie de résilience numérique. Cette supervision suppose des données exploitables : qu’est-ce qui est mesuré, comment les résultats évoluent, où sont les zones de risque résiduel.

nophi.sh génère automatiquement des rapports de conformité exportables incluant :

  • Le taux de participation aux simulations par période et par département
  • Le taux de clic (vulnérabilité) et son évolution dans le temps
  • Le taux de signalement des tentatives détectées
  • La couverture des formations : qui a suivi quoi et quand
  • Le score de risque humain par équipe, avec les comparaisons sectorielles

Ces données sont structurées pour permettre à la direction de superviser le programme de résilience et de produire une documentation cohérente avec les attentes de l’article 5.

La vérification d’email par IA : gestion des incidents TIC

La simulation de phishing entraîne le réflexe du doute. La vérification d’email par IA de nophi.sh transforme ce doute en action : un collaborateur qui reçoit un email suspect en conditions réelles le transfère, et obtient un verdict en 30 secondes — légitime ou suspect — avec l’analyse des en-têtes, de l’authentification SPF/DKIM/DMARC, des liens et de l’expéditeur.

C’est une capacité de détection des anomalies à la portée de chaque collaborateur, sans nécessiter d’équipe de sécurité interne. Pour les entités financières de taille intermédiaire sans centre opérationnel de sécurité interne, cette fonctionnalité répond aux exigences de l’article 10 sur la détection des activités anormales.

Testez la configuration de sécurité de votre domaine avec notre test de sécurité email.

Documentation pour l’ACPR

Savoir quoi documenter est aussi important que de le faire. Un programme de sensibilisation réel mais non tracé ne peut pas être présenté à un superviseur.

Ce que l’ACPR vérifie lors de ses contrôles

L’ACPR conduit deux types de contrôles DORA : les contrôles sur pièces (examen de documents fournis à distance) et les contrôles sur place. Dans les deux cas, les inspecteurs vérifient que les obligations de l’article 13 sont bien remplies, avec preuves à l’appui.

Les éléments typiquement demandés lors d’un contrôle DORA sur le volet formation et sensibilisation :

Le programme de formation : existe-t-il un programme formalisé avec des objectifs documentés, une fréquence définie et un contenu adapté aux risques sectoriels ? Le programme doit être approuvé par l’organe de direction.

Les preuves de participation : liste nominative des collaborateurs ayant participé, dates de participation, modules suivis. Les absences et les cas non couverts doivent être expliqués (départs, absences longue durée, etc.).

Les résultats mesurés : taux de clic sur les simulations, évolution dans le temps, taux de signalement. L’ACPR attend une démonstration que les programmes produisent des résultats mesurables, pas seulement des activités réalisées.

La formation des dirigeants : preuve que les membres de l’organe de direction ont bien suivi la formation spécifique requise par l’article 5.4, avec dates et contenus.

Les actions correctives : face aux résultats obtenus, quelles mesures ont été prises ? Un taux de clic élevé persistent sans action corrective documentée est un signal négatif lors d’un contrôle.

La mise à jour du programme : le programme a-t-il été revu pour intégrer les nouvelles menaces ? Les scénarios utilisés il y a deux ans sans actualisation ne démontrent pas l’adaptation aux menaces actuelles requise par les normes techniques.

Comment nophi.sh génère les preuves de conformité

La conformité ne s’improvise pas la semaine précédant un contrôle. nophi.sh produit en continu la documentation attendue par l’ACPR.

Export du rapport de conformité DORA : en un clic, le rapport agrège l’ensemble des données du programme sur la période choisie (3 mois, 6 mois, 12 mois). Il est structuré pour répondre aux rubriques typiques d’un contrôle ACPR : description du programme, couverture de la population, résultats obtenus, évolution temporelle, actions correctives.

Historique nominatif des formations : la plateforme conserve un enregistrement horodaté de chaque participation. Si l’ACPR demande la liste des collaborateurs formés sur une période donnée avec les dates et les modules, l’export est disponible en quelques secondes.

Preuve de formation des dirigeants : les comptes des membres de la direction sont identifiés dans la plateforme. Leurs participations aux simulations et aux modules de formation sont tracées séparément et peuvent être exportées pour démontrer la conformité à l’article 5.4.

Rapport d’évolution du risque humain : l’évolution du taux de clic entre la baseline initiale et la dernière campagne constitue la démonstration quantifiée que le programme produit une réduction mesurable du risque, un argument central lors des contrôles sur place.

La documentation est disponible à tout moment, pas seulement avant un contrôle. C’est la différence entre une conformité réelle et un rattrapage de dernière minute.

Sources : Règlement (UE) 2022/2554 (DORA) — texte intégral sur EUR-Lex. ACPR — autorité de supervision française pour le secteur bancaire et assurantiel. ANSSI — Panorama de la cybermenace 2024 — statistiques sur les vecteurs d’attaque dans le secteur financier. Orientations de l’ABE sur la gestion des risques TIC et la sécurité des paiements disponibles sur eba.europa.eu. Tous les tarifs nophi.sh sont consultables sur la page tarifs.

Questions fréquentes

L'article 13 de DORA impose-t-il vraiment des simulations de phishing ?

L'article 13.6 du règlement DORA impose des « modules de formation à la sécurité des TIC » adaptés au profil de risque de l'entité. Il ne prescrit pas explicitement les simulations de phishing, mais les normes techniques (RTS) publiées par les autorités européennes de surveillance précisent que ces programmes doivent couvrir les menaces réelles auxquelles l'entité est exposée. Le phishing étant le premier vecteur d'attaque dans le secteur financier, les simulations constituent la réponse la plus directe aux exigences de l'article 13 — et la plus facile à documenter lors d'un contrôle ACPR.

Quelles entités financières sont soumises aux obligations de formation de DORA ?

Toutes les entités couvertes par l'article 2 de DORA sont soumises aux obligations de formation de l'article 13, sans exception. Cela inclut les banques, les assureurs, les réassureurs, les sociétés de gestion d'actifs, les prestataires de services de paiement, les établissements de monnaie électronique, les entreprises d'investissement, les prestataires de services sur crypto-actifs et les plateformes de financement participatif. Le principe de proportionnalité s'applique à l'intensité et à la fréquence des programmes, pas à leur existence.

Comment l'ACPR contrôle-t-elle la conformité aux obligations de formation DORA ?

L'ACPR peut demander, lors de ses contrôles sur place ou sur pièces, la documentation du programme de sensibilisation : calendrier des formations, taux de participation, scénarios utilisés, résultats mesurés et actions correctives. Elle vérifie que les dirigeants ont eux-mêmes suivi une formation spécifique. L'absence de documentation est traitée comme une non-conformité, même si les formations ont eu lieu. Produire un historique structuré et exportable dès le premier contrôle est une exigence pratique que les entités sous-estiment souvent.

DORA s'applique-t-il aux fintechs et aux néobanques ?

Oui. Les établissements de monnaie électronique, les prestataires de services de paiement et les prestataires de services sur crypto-actifs entrent dans le périmètre de l'article 2 de DORA. Une fintech agréée par l'ACPR est soumise aux mêmes obligations de formation que les banques traditionnelles, avec une application proportionnée à sa taille et à son profil de risque. La jeunesse de la structure ou la petite taille des équipes ne constitue pas une exemption.

Quelle est la différence entre les obligations de formation DORA et NIS2 ?

DORA (règlement 2022/2554) est lex specialis par rapport à NIS2 (directive 2022/2555) pour les entités du secteur financier. Les exigences de DORA prévalent sur les dispositions équivalentes de NIS2. En pratique, un programme de sensibilisation conforme à DORA satisfait les exigences de formation de NIS2. La distinction principale : DORA exige une formation spécifique de l'organe de direction lui permettant d'évaluer les risques TIC (article 5.4), ce que NIS2 prévoit aussi mais avec moins de prescriptions sur le contenu.

Un module e-learning annuel suffit-il à satisfaire l'article 13 de DORA ?

Non. L'article 13 exige des programmes de sensibilisation « dans le cadre du programme de formation du personnel », ce qui implique une approche continue et documentée, pas une action ponctuelle. Les orientations publiées par les autorités européennes de surveillance précisent que les programmes doivent être adaptés aux menaces réelles et régulièrement mis à jour. Un module e-learning annuel non ciblé sur les risques spécifiques au secteur financier ne satisfait pas aux exigences de documentation et de pertinence.

Quelles sanctions risque une entité financière qui n'a pas de programme de sensibilisation conforme ?

L'ACPR dispose de pouvoirs de sanction administrative : injonction de mise en conformité avec astreinte journalière, avertissement, blâme, et sanction pécuniaire dont le montant est fixé par la Commission des sanctions. Pour les entités importantes, les amendes peuvent représenter plusieurs millions d'euros. La responsabilité personnelle des membres de l'organe de direction peut être engagée si l'absence de programme de formation résulte d'un défaut de gouvernance documenté.

Commencez votre mise en conformité

Testez gratuitement la sécurité email de votre domaine et découvrez comment nophi.sh génère automatiquement vos rapports de conformité.

Tester mon domaine Toutes les conformités