.w-dropdown-list { transition-delay: 0.15s; }
Depuis le 17 janvier 2025, le règlement DORA (UE 2022/2554) s'applique directement en France, sans loi de transposition nationale.
L'ACPR et l'AMF intensifient leurs contrôles en 2026, première année pleine d'application, avec une attention marquée portée à l'isolation physique
des sauvegardes exigée par l'Article 12.
Ce guide s'adresse aux directions informatiques d'entités financières françaises sans équipe cyber dédiée : sociétés de gestion régionales, établissements de paiement, assureurs de taille intermédiaire, cabinets de gestion de patrimoine. Vous n'y trouverez pas un rappel des cinq piliers DORA ni une présentation générale du règlement, déjà couverte ailleurs. L'objectif est différent : identifier les briques techniques concrètes à déployer pour couvrir la sauvegarde, dans quel ordre, et comment le prouver lors d'un contrôle.
VYTALX conçoit et installe des architectures de sauvegarde air-gappées directement chez ses clients, avec RTO mesurés et rapports de test documentés. Ce guide s'appuie sur cette pratique de déploiement, pas sur une lecture théorique du texte.
DORA couvre plus de vingt catégories d'entités financières, listées à l'Article 2 du règlement. Les principales : établissements de crédit, établissements
de paiement et de monnaie électronique, entreprises d'investissement, sociétés de gestion d'actifs (OPCVM, FIA, fonds de retraite),
entreprises d'assurance et de réassurance, institutions de retraite professionnelle, agences de notation de crédit, et prestataires de services
sur crypto-actifs agréés au titre de MiCA.
Un point souvent mal compris : DORA ne fixe pas de seuil de taille, sauf exceptions ponctuelles pour certaines micro-entreprises.
Une fintech de vingt salariés avec un agrément de prestataire de services de paiement (PSP) est soumise à DORA au même titre qu'une grande banque, avec des obligations proportionnées à sa taille et à son profil de risque (Article 4, principe de proportionnalité). La proportionnalité ajuste l'ampleur
des mesures, elle ne dispense d'aucune obligation de fond.
Camille dirige les systèmes d'information d'un établissement de paiement de 35 personnes à Nantes. Fin 2025, elle pensait que DORA visait uniquement les grandes banques. Un contrôle ACPR programmé pour le premier trimestre 2026 lui a rappelé que son agrément PSP la place directement dans
le périmètre du règlement, sans exception liée à l'effectif. Elle a dû reconstituer en urgence un dossier de conformité qu'une revue anticipée aurait
rendu moins coûteux.
Un point de vigilance supplémentaire concerne les prestataires. Si votre prestataire de backup ou de cloud est désigné prestataire TIC critique par
les autorités européennes, DORA s'applique directement à lui, avec ses propres obligations de résilience. Dans le cas contraire, le cas le plus fréquent
pour les petits prestataires régionaux, la responsabilité de la conformité de vos sauvegardes reste entièrement la vôtre. Vérifier le statut réglementaire
de votre prestataire actuel constitue une première étape simple et rarement réalisée.
Pour les entités hors secteur financier, c'est le règlement NIS2 qui s'applique, avec un calendrier de transposition française encore en cours.
Consultez notre guide NIS2 France 2026 pour les obligations propres à l'industrie, la santé ou les infrastructures critiques.
Besoin d'un diagnostic rapide de votre périmètre DORA ? Planifiez un point technique de 30 minutes pour clarifier vos obligations exactes selon votre agrément.
La plupart des guides DORA disponibles en français traitent la gouvernance et les cinq piliers du règlement sans jamais descendre au niveau
de l'architecture de sauvegarde. Voici les articles qui s'appliquent directement à votre stratégie de backup.
Le texte de l'Article 12 §5 est explicite : « Lorsqu'elles restaurent des données de sauvegarde en utilisant leurs propres systèmes, les entités financières utilisent des systèmes TIC qui sont physiquement et logiquement séparés du système TIC source. »
La conséquence directe concerne toutes les architectures cloud-only. Un backup cloud-to-cloud, même hébergé chez un acteur certifié et dans un tenant isolé, reste sur la même infrastructure matérielle que l'environnement de production. Il satisfait la condition logique de l'Article 12 §5. Il ne satisfait pas la condition physique.
Concrètement, ce qui satisfait la condition physique :
Et ce qui ne suffit pas seul : un tenant cloud isolé, un VLAN dédié, ou un compte séparé chez un fournisseur cloud, tant que l'infrastructure matérielle
sous-jacente reste partagée avec la production.
Cela ne signifie pas que le cloud est à écarter. Dans une architecture 3-2-1-1-0, le cloud reste une copie valide, à condition qu'une autre couche
soit physiquement isolée.
Ce n'est pas une nuance technique secondaire. L'Article 6 étend la responsabilité de l'organe de gouvernance aux choix d'architecture TIC.
Un dirigeant qui valide un budget sauvegarde sans vérifier l'isolation physique engage sa responsabilité directe en cas de contrôle ACPR défavorable.
Pour le détail complet des cinq obligations de l'Article 12 et une checklist de huit points utilisable lors d'un contrôle ACPR, consultez notre article dédié : Sauvegarde DORA, les 5 obligations de l'Article 12
Contrairement à une idée répandue, DORA n'impose aucun chiffre précis de RTO (Recovery Time Objective, délai de récupération) ou de RPO (Recovery Point Objective, perte de données maximale tolérée). Le règlement impose des « objectifs de temps de récupération documentés et fondés sur la criticité des systèmes » (Article 11). Lors d'un contrôle, l'ACPR vérifie trois choses : les objectifs sont-ils documentés, sont-ils réalistes au regard de l'architecture réellement déployée, et ont-ils été testés en conditions réelles.
Sans chiffre réglementaire imposé, les entités s'appuient en pratique sur des repères sectoriels, alignés avec les lignes directrices EBA/GL/2019/04 sur la gestion des risques TIC.
Ces repères ne sont pas des seuils légaux. Ils servent de point de comparaison pour calibrer vos propres objectifs selon la criticité réelle de chaque système, via une analyse d'impact sur l'activité (BIA).
Pour documenter des RTO et RPO exploitables lors d'un contrôle, quatre étapes suffisent :
L'erreur la plus fréquente observée sur le terrain : des objectifs RTO ambitieux inscrits dans la politique de sauvegarde, jamais confrontés à un test réel.
Un RTO de quatre heures documenté sur papier, mais jamais mesuré, ne résiste pas à un contrôle ACPR qui demande la preuve du dernier test
de restauration.
Une architecture de sauvegarde air-gappée bien dimensionnée atteint des RTO mesurés inférieurs à 10 minutes pour un environnement Hyper-V
ou VMware, et environ 6 minutes pour un serveur Windows. Ces chiffres, une fois documentés avec un rapport de test daté, deviennent une preuve
de conformité directement exploitable.
Pour la direction financière, ces objectifs ont aussi un coût direct. Chaque heure d'indisponibilité d'un système de paiement critique se traduit en perte
de revenus, en pénalités contractuelles et en risque réputationnel. Documenter un RTO réaliste, puis le tenir, protège autant la conformité réglementaire que le compte de résultat.
Pour une analyse détaillée des RTO et RPO propres aux systèmes financiers, consultez notre article RTO et RPO pour les entités financières DORA
DORA distingue deux régimes de test. Le TLPT (Threat-Led Penetration Testing) est obligatoire tous les 3 ans, mais uniquement pour les entités qualifiées « significatives » par l'ACPR ou l'AMF, en général les acteurs de taille importante et les infrastructures de marché. Pour la majorité des entités financières françaises, un régime de tests de résilience standard, moins lourd, s'applique.
Le test de restauration de sauvegarde, lui, concerne toutes les entités sans exception. Voici ce que l'ACPR attend concrètement lors d'un contrôle :
La fréquence recommandée observée en pratique : un test annuel minimum pour les systèmes critiques, deux fois par an pour les établissements
de paiement, où la continuité de service est directement liée à l'activité commerciale quotidienne.
Vincent dirige un cabinet de gestion de patrimoine de 60 personnes près de Bordeaux. Son prestataire historique effectuait des sauvegardes sur bandes magnétiques, avec un test de restauration réalisé une fois tous les deux ans, sans rapport formel. Lors de la préparation de son dossier DORA au premier trimestre 2026, il a fait remplacer cette architecture par un système air-gappé sur site. Le premier test de restauration a mesuré un RTO de 5 minutes 40 sur l'environnement Windows critique, documenté dans un rapport remis directement à sa direction.
La différence entre un test sur bandes et un test en environnement air-gappé disque n'est pas seulement une question de vitesse. Un système air-gappé permet des tests plus fréquents, sans immobiliser physiquement un support, ce qui facilite le respect du rythme de test attendu par l'ACPR.
Il autorise aussi des tests partiels ciblés sur un système précis, sans mobiliser l'ensemble de l'infrastructure de sauvegarde.
Vous voulez évaluer si votre fréquence de test actuelle tient la route face à un contrôle ACPR ? Planifiez un point technique
Pour la méthodologie complète d'un test de restauration conforme DORA, consultez notre article : Tester la restauration de vos sauvegardes selon DORA
La question revient systématiquement chez les directions informatiques d'entités financières.
Réponse courte : si vous détenez un agrément ACPR ou AMF, DORA s'applique à vous et prend le pas sur NIS2. Le règlement DORA agit en lex specialis pour le secteur financier (Article 4) : il supersède NIS2 pour les entités qu'il couvre, qui n'ont pas à appliquer les deux textes en parallèle pour leur résilience numérique.
Une exception à connaître : les prestataires techniques qui fournissent des services au secteur financier, sans être eux-mêmes des entités financières agréées, peuvent relever des deux régimes selon leur secteur d'activité propre. C'est le cas, par exemple, d'un prestataire TIC qui sert à la fois des clients financiers et des clients industriels.
Sur le fond technique, les deux règlements convergent : sauvegardes isolées, testées, documentées. La différence tient à l'autorité de contrôle et au niveau de sanction, plus élevé sous DORA.
Pour un comparatif complet, y compris pour les entités à double exposition, consultez notre article DORA vs NIS2 : quelles obligations pour quelles entités.
Si votre activité relève d'un autre secteur que la finance, notre guide NIS2 France 2026 couvre l'ensemble des obligations applicables.
La conformité DORA ne réclame pas une équipe cyber de dix personnes. L'Article 4 impose un principe de proportionnalité : les obligations s'adaptent
à la taille et au profil de risque de l'entité. Ce que le règlement réclame, en revanche, c'est une preuve.
Une politique documentée et jamais testée ne suffit pas lors d'un contrôle.
L'approche la plus efficace pour une direction informatique sans équipe cyber interne : un diagnostic de l'existant, suivi du déploiement des seules briques manquantes, plutôt qu'une refonte complète et coûteuse de l'ensemble du système d'information.
Le modèle zéro CAPEX change la donne pour une direction financière prudente sur les investissements : le matériel appartient au prestataire, la facturation est un abonnement mensuel qui inclut l'installation, les tests annuels et la maintenance.
Nadia est directrice administrative et financière d'une compagnie d'assurance régionale de 140 salariés, dans le Nord. Début 2026, son DSI a présenté un plan de conformité DORA nécessitant un investissement de 180 000 euros en matériel de sauvegarde. Le déploiement en location auprès du prestataire retenu a permis d'atteindre la même architecture d'isolation physique sans mobiliser ce budget d'investissement, avec une facturation mensuelle intégrée aux coûts d'exploitation.
Avant de choisir un prestataire pour ce chantier, quelques critères à vérifier :
Chaque déploiement se conclut par un rapport de conformité : politique documentée, résultats de test de restauration avec RTO mesuré,
et preuve d'isolation physique. Ce rapport est directement utilisable lors d'un contrôle ACPR ou AMF.
Planifier une revue technique DORA de votre architecture de sauvegarde ? Réservez 30 minutes avec notre équipe pour identifier les briques manquantes et préparer votre dossier de conformité
Oui, si la fintech détient un agrément ACPR ou AMF, par exemple en tant que prestataire de services de paiement, établissement de monnaie électronique, ou prestataire de services sur crypto-actifs agréé MiCA. La taille de l'entité n'exclut pas l'application du règlement, seules les obligations sont proportionnées.
Non, s'il constitue l'unique couche de sauvegarde. L'Article 12 §5 impose une isolation physique pour la restauration, en plus de l'isolation logique.
Un tenant cloud isolé satisfait la condition logique, pas la condition physique. Le cloud reste utilisable comme copie secondaire dans une architecture 3-2-1-1-0 comportant par ailleurs une couche physiquement isolée.
DORA standardise et durcit des exigences qui existaient déjà partiellement dans les lignes directrices EBA sur la gestion des risques TIC.
La nouveauté tient au caractère directement applicable du texte, sans marge d'interprétation nationale, et aux sanctions renforcées en cas
de manquement.
Entre 2 et 3 mois pour le déploiement technique, selon l'état de l'architecture existante. Une entité partant d'un backup cloud-only sans isolation physique nécessite généralement le déploiement d'un équipement dédié, suivi d'un premier cycle de test documenté, avant de pouvoir présenter un dossier complet.
Quatre éléments reviennent systématiquement : la politique de sauvegarde documentée et approuvée par l'organe de gouvernance, des rapports de tests de restauration prouvables et datés, une isolation physique confirmée par l'architecture réelle, et l'existence d'un plan de notification d'incident opérationnel.
DORA transforme la sauvegarde d'une ligne budgétaire technique en obligation de gouvernance vérifiable. Trois principes structurent une architecture conforme : l'isolation physique des systèmes de restauration au-delà du cloud, des objectifs RTO et RPO documentés puis testés en conditions réelles, et une politique approuvée par votre direction.
Aucune de ces exigences ne nécessite une équipe cyber interne. Le principe de proportionnalité de l'Article 4 s'applique pleinement, et le déploiement peut être externalisé sans compromis sur la conformité.
Pour aller plus loin, notre article sur les cinq obligations concrètes de l'Article 12 détaille la checklist utilisable lors d'un contrôle ACPR.
Notre guide sur la règle 3-2-1-1-0 présente l'architecture de référence pour combiner isolation physique et copie cloud secondaire.