The bridge between TRADFI & DEFI
Traditional Finance & Decentralized Finance
Bitcoin 58,253.00 € 1.15%
Ethereum 1,778.84 € 2.87%
Tether 0.87 € 0.43%
Binancecoin 534.56 € 1.15%
Ripple 1.16 € 1.29%
Binance-usd 0.87 € 0.48%
Powered by
Section Icon

La loi web 3 vue par Arnaud Touati « Le règlement DORA : vers une résilience numérique renforcée du secteur financier européen »

19/08/2025

L’entrée en vigueur d’une réglementation ambitieuse

Le secteur financier européen a franchi un tournant décisif le 17 janvier 2025 avec l’application du règlement DORA (Digital Operational Resilience Act). Cette législation, adoptée en 2022, représente une avancée majeure dans l’établissement d’un cadre réglementaire unifié pour les activités financières numériques. Alors que le règlement MiCA (Markets in Crypto-Assets) établit les normes pour les crypto-actifs et leurs prestataires, DORA complète ce dispositif en se concentrant sur l’aspect opérationnel. Son ambition : s’assurer que tous les acteurs possèdent l’infrastructure organisationnelle et technique nécessaire pour faire face aux cybermenaces, aux défaillances systémiques et aux dysfonctionnements des fournisseurs technologiques. Cette approche poursuit un double objectif : maintenir la stabilité du système financier européen et consolider la confiance des usagers dans un contexte de menaces numériques constantes.

L’approche de DORA transcende la simple protection cybersécuritaire. Le règlement fait de la résilience opérationnelle un impératif stratégique fondamental. L’enjeu ne se limite pas à la sécurisation des infrastructures, mais englobe la garantie de continuité des services en toutes situations. Cette réglementation constitue un référentiel uniforme applicable à l’ensemble des entités supervisées : institutions bancaires, compagnies d’assurance, sociétés de gestion d’actifs et prestataires de services sur crypto-actifs (CASP). Les fournisseurs de technologies considérés comme essentiels sont également intégrés dans ce périmètre réglementaire.

 

Arnaud Touati

 

Une approche globale et une restructuration de la gouvernance

DORA se distingue par l’ampleur de son périmètre d’application. Aucune réglementation européenne antérieure n’avait intégré une telle diversité d’acteurs financiers et technologiques dans une vision unifiée du risque numérique. Établissements de crédit, entreprises d’investissement, compagnies d’assurance, plateformes de trading, agences de notation et CASP doivent désormais incorporer dans leur structure organisationnelle une gouvernance spécifiquement dédiée à la résilience. Les prestataires externes, particulièrement les services cloud et de cybersécurité, sont soumis à des obligations contractuelles et opérationnelles renforcées. Cette expansion du champ d’application répond à une faille identifiée : les interdépendances technologiques échappaient jusqu’alors au contrôle réglementaire malgré leur rôle de facteur de vulnérabilité critique.

Le règlement attribue la responsabilité au niveau décisionnel le plus élevé de l’organisation. La direction générale devient l’acteur principal et responsable de la stratégie numérique, dépassant son rôle traditionnel d’observateur. Elle doit élaborer et monitorer des indicateurs de résilience, encadrer les plans de continuité et garantir l’efficacité des mécanismes de protection. Chaque entité doit nommer un responsable DORA chargé de coordonner la mise en conformité et de maintenir le dialogue avec les autorités de supervision. Cette concentration des responsabilités reflète une philosophie claire : la résilience constitue une mission indélégable qui doit être assumée directement par la gouvernance.

 

Des exigences opérationnelles détaillées et impératives

Le règlement va au-delà des aspects de gouvernance en imposant des obligations opérationnelles spécifiques. Chaque organisation doit réaliser un inventaire complet de ses ressources numériques et identifier ses dépendances critiques, prérequis indispensable à l’élaboration d’une stratégie de gestion des risques performante. Cette évaluation doit s’accompagner d’un Plan de Continuité d’Activité (PCA) et d’un Plan de Reprise après Sinistre (PRA), soumis à des tests annuels basés sur des scénarios crédibles : attaques cybernétiques d’envergure, interruption durable d’un prestataire vital, compromission de données confidentielles.

La gestion des incidents forme le second pilier essentiel du dispositif. Les organisations doivent développer leur capacité à identifier, examiner, catégoriser et traiter tout événement majeur impactant leurs infrastructures. La réactivité constitue un facteur déterminant : tout incident important doit faire l’objet d’une notification aux autorités compétentes sous 24 heures, accompagnée de mises à jour régulières jusqu’à sa résolution complète. Cette exigence de transparence a pour objectif d’améliorer la coordination entre superviseurs et de prévenir la propagation d’un incident isolé à l’ensemble du système financier.

Le cadrage des prestataires externes connaît également une transformation profonde. Les contrats avec les fournisseurs informatiques et de cybersécurité doivent comporter des dispositions particulières : standards de sécurité (notamment le chiffrement de bout en bout), obligation d’audits périodiques, signalement immédiat des incidents, réversibilité des prestations. Un prestataire refusant ces conditions ne peut être sélectionné. Les entités doivent également établir un système de surveillance continue de la conformité de leurs partenaires, comprenant des tests d’intrusion, des audits documentés et des simulations de crise.

 

Un défi particulier pour les CASP et l’évolution du Web3

L’application de DORA présente des enjeux spécifiques pour les prestataires de services sur crypto-actifs. Ce secteur fait face à des risques technologiques particuliers : piratage de clés privées, attaques visant les contrats intelligents, failles de sécurité des portefeuilles avec et sans garde, dépendance aux oracles et aux plateformes de liquidité. Ces risques doivent être incorporés dans le système de résilience et traités avec la même rigueur que dans la finance conventionnelle.

L’Union européenne a néanmoins adopté une approche proportionnelle pour les très petites entreprises. Les structures comptant moins de dix employés et réalisant un chiffre d’affaires inférieur à deux millions d’euros bénéficient d’un assouplissement de certaines exigences techniques, notamment l’exemption des tests de pénétration sophistiqués. Cependant, le principe fondamental demeure : aucune entité n’échappe aux obligations de continuité et de transparence.

DORA s’accompagne par ailleurs d’un renforcement du régime de supervision. En France, l’AMF et l’ACPR bénéficient de prérogatives élargies en matière d’inspection, d’accès à la documentation, d’imposition de mesures correctives et de sanctions pécuniaires. La documentation et la traçabilité acquièrent ainsi une importance centrale dans la démonstration de conformité. Pour les CASP, qui doivent simultanément intégrer les exigences de MiCA, l’application de DORA nécessite une refonte organisationnelle majeure. La conformité dépasse le simple obtention d’un agrément pour devenir un facteur de compétitivité, de crédibilité et de confiance commerciale.

 

Vers un changement de paradigme durable

DORA marque un tournant décisif pour l’Union européenne. Alors que la réglementation financière se focalisait historiquement sur les exigences prudentielles et la transparence envers les investisseurs, elle s’étend désormais au cœur opérationnel des entreprises, en encadrant notamment leurs systèmes informatiques, leurs fournisseurs, ainsi que leur capacité de réaction face aux imprévus. Cette évolution exige des efforts substantiels de la part des acteurs financiers, et particulièrement des CASP, tout en créant les conditions d’une reconnaissance renforcée et d’une meilleure intégration dans l’écosystème européen.

En institutionnalisant la résilience comme obligation partagée, DORA fait de la sécurité numérique un véritable gage de confiance. Au-delà d’une simple contrainte administrative, cette exigence devient un facteur de survie et un instrument de différenciation sur un marché de plus en plus compétitif. Elle inscrit durablement la finance européenne, qu’elle soit traditionnelle ou décentralisée, dans une démarche de transparence, de robustesse et de continuité, fondements essentiels pour établir la confiance des utilisateurs et garantir la stabilité du Web3.

 

A PROPOS D’ARNAUD TOUATI

Diplômé de droit des affaires des Universités Paris I Sorbonne, Paris II Assas et Chicago, Arnaud Touati a pratiqué le droit des affaires dans des cabinets anglo-américains, des grandes banques d’affaires mais également des structures de taille intermédiaire. Féru de nouvelles technologies, il s’intéresse dès 2013 à l’entreprenariat en France et tout particulièrement aux startups avant de fonder en 2015 le cabinet Hashtag Avocats.
Arnaud Touati est membre de l’incubateur du Barreau de Paris, il enseigne à l’Ecole de Formation du Barreau et dans plusieurs écoles de commerces renommées. Il participe également à de nombreux workshops et événements dans l’écosystème startups.
#Hashtag AvocatsIl est spécialisé dans le droit des cryptoactifs et a crée par ailleurs une superstructure du droit et du chiffre dédiée exclusivement à l’écosystème web3 : LawForCode

 

Lire aussi sur Arnaud Touati

La loi web 3 vue par … Arnaud Touati : “MiCA : Une Épreuve pour l’Écosystème Crypto, mais des Solutions Existent”

La loi web 3 vue par … Arnaud Touati : “MiCA : Une Épreuve pour l’Écosystème Crypto, mais des Solutions Existent”
La loi web 3 vue par … Arnaud Touati : “Passage de PSAN à PSCA : 5 points de vigilance pour une transition réussie sous MiCA”
————————————————————————-
The text above is a press release that was not written by Finyear.com.
Even if it has been selected by the editorial staff, who have judged that its content may constitute total or partial information to be submitted to readers, only the issuer of this press release or Opinion is responsible for its content.
Avertissement : Le texte ci-dessus est un communiqué de presse qui n’a pas été rédigée par Finyear.com.
Même s’il a fait l’objet d’une sélection par la rédaction qui a jugé que son contenu pouvait relever d’une information totale ou partielle à soumettre aux lecteurs, seul l’émetteur de ce communiqué de presse ou Opinion est responsable de son contenu.
————————————————————————-
Les avis financiers et/ou économiques présentés par les contributeurs de Finyear.com (experts, avocats, observateurs, bloggers, etc…) sont les leurs et peuvent évoluer sans qu’il soit nécessaire de faire une mise à jour des contenus. Les articles présentés ne constituent en rien une invitation à réaliser un quelconque investissement. Tout investissement comporte des risques de pertes partielles ou totales en capital. La rédaction décline toute responsabilité.
The financial and/or economic opinions presented by Finyear.com contributors (experts, lawyers, observers, bloggers, etc.) are their own and may change without the need to update the content. The articles presented do not constitute an invitation to make any investment. All investments entail the risk of partial or total capital loss. The editorial team declines all responsibility.

En savoir plus sur Finyear

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture