.w-dropdown-list { transition-delay: 0.15s; }

DORA et sauvegarde :
le guide opérationnel pour
les entités financières françaises

Dernière mise à jour : Juillet 2026
Temps de lecture : 30 minutes
Conforme aux attentes DORA 2026

Depuis le 17 janvier 2025, le règlement DORA (UE 2022/2554) s'applique directement en France, sans loi de transposition nationale.
L'ACPR et l'AMF intensifient leurs contrôles en 2026, première année pleine d'application, avec une attention marquée portée à l'isolation physique
des sauvegardes exigée par l'Article 12.

Ce guide s'adresse aux directions informatiques d'entités financières françaises sans équipe cyber dédiée : sociétés de gestion régionales, établissements de paiement, assureurs de taille intermédiaire, cabinets de gestion de patrimoine. Vous n'y trouverez pas un rappel des cinq piliers DORA ni une présentation générale du règlement, déjà couverte ailleurs. L'objectif est différent : identifier les briques techniques concrètes à déployer pour couvrir la sauvegarde, dans quel ordre, et comment le prouver lors d'un contrôle.

VYTALX conçoit et installe des architectures de sauvegarde air-gappées directement chez ses clients, avec RTO mesurés et rapports de test documentés. Ce guide s'appuie sur cette pratique de déploiement, pas sur une lecture théorique du texte.

À retenir :

  • DORA s'applique directement en France depuis le 17 janvier 2025, sans seuil de taille : le principe de proportionnalité (Art. 4) adapte les obligations, il ne les supprime pas.
  • L'Article 12 §5 exige une isolation physique ET logique des sauvegardes : un tenant cloud isolé ne suffit pas comme unique couche pour les systèmes critiques.
  • DORA n'impose aucun chiffre de RTO ou RPO, mais exige des objectifs documentés, fondés sur la criticité, et testés en conditions réelles (Art. 11).
  • Les tests de restauration doivent produire des rapports datés avec métriques mesurées, pas de simples journaux d'exécution.
  • DORA prend le pas sur NIS2 pour toute entité détenant un agrément ACPR ou AMF (Art. 4, principe de lex specialis).

Qui est concerné par DORA en France ?

DORA couvre plus de vingt catégories d'entités financières, listées à l'Article 2 du règlement. Les principales : établissements de crédit, établissements
de paiement et de monnaie électronique, entreprises d'investissement, sociétés de gestion d'actifs (OPCVM, FIA, fonds de retraite),
entreprises d'assurance et de réassurance, institutions de retraite professionnelle, agences de notation de crédit, et prestataires de services
sur crypto-actifs agréés au titre de MiCA.

Un point souvent mal compris : DORA ne fixe pas de seuil de taille, sauf exceptions ponctuelles pour certaines micro-entreprises.
Une fintech de vingt salariés avec un agrément de prestataire de services de paiement (PSP) est soumise à DORA au même titre qu'une grande banque, avec des obligations proportionnées à sa taille et à son profil de risque (Article 4, principe de proportionnalité). La proportionnalité ajuste l'ampleur
des mesures, elle ne dispense d'aucune obligation de fond.

Camille dirige les systèmes d'information d'un établissement de paiement de 35 personnes à Nantes. Fin 2025, elle pensait que DORA visait uniquement les grandes banques. Un contrôle ACPR programmé pour le premier trimestre 2026 lui a rappelé que son agrément PSP la place directement dans
le périmètre du règlement, sans exception liée à l'effectif. Elle a dû reconstituer en urgence un dossier de conformité qu'une revue anticipée aurait
rendu moins coûteux.

Un point de vigilance supplémentaire concerne les prestataires. Si votre prestataire de backup ou de cloud est désigné prestataire TIC critique par
les autorités européennes, DORA s'applique directement à lui, avec ses propres obligations de résilience. Dans le cas contraire, le cas le plus fréquent
pour les petits prestataires régionaux, la responsabilité de la conformité de vos sauvegardes reste entièrement la vôtre. Vérifier le statut réglementaire
de votre prestataire actuel constitue une première étape simple et rarement réalisée.

Pour les entités hors secteur financier, c'est le règlement NIS2 qui s'applique, avec un calendrier de transposition française encore en cours.
Consultez notre guide NIS2 France 2026 pour les obligations propres à l'industrie, la santé ou les infrastructures critiques.

Besoin d'un diagnostic rapide de votre périmètre DORA ? Planifiez un point technique de 30 minutes pour clarifier vos obligations exactes selon votre agrément.

Ce que DORA impose concrètement sur la sauvegarde

La plupart des guides DORA disponibles en français traitent la gouvernance et les cinq piliers du règlement sans jamais descendre au niveau
de l'architecture de sauvegarde. Voici les articles qui s'appliquent directement à votre stratégie de backup.

Article DORA
Obligation
Traduction opérationnelle
Art. 6
Cadre de gestion des risques TIC
Politique de sauvegarde documentée,
approuvée par l'organe de gouvernance
Art. 9
Protection de l'information
Chiffrement des sauvegardes en transit
et au repos, contrôle d'accès strict
Art. 11
Continuité des activités
Plan de reprise testé, RTO et RPO
documentés et démontrés
Art. 12 §5
Isolation physique et logique
Les systèmes de restauration doivent
être séparés physiquement et logiquement
du système source
Art. 24-26
Tests de résilience
Tests périodiques, TLPT tous les 3 ans pour
les entités qualifiées significatives

Le texte de l'Article 12 §5 est explicite : « Lorsqu'elles restaurent des données de sauvegarde en utilisant leurs propres systèmes, les entités financières utilisent des systèmes TIC qui sont physiquement et logiquement séparés du système TIC source. »

La conséquence directe concerne toutes les architectures cloud-only. Un backup cloud-to-cloud, même hébergé chez un acteur certifié et dans un tenant isolé, reste sur la même infrastructure matérielle que l'environnement de production. Il satisfait la condition logique de l'Article 12 §5. Il ne satisfait pas la condition physique.

Concrètement, ce qui satisfait la condition physique :

  • Un équipement de backup dédié on-premise, avec accès réseau restreint ou inexistant depuis la production.
  • Un système air-gappé, isolé du réseau de production de façon permanente.
  • Un site distinct géographiquement, avec une connexion dédiée et chiffrée.

Et ce qui ne suffit pas seul : un tenant cloud isolé, un VLAN dédié, ou un compte séparé chez un fournisseur cloud, tant que l'infrastructure matérielle
sous-jacente reste partagée avec la production.

Cela ne signifie pas que le cloud est à écarter. Dans une architecture 3-2-1-1-0, le cloud reste une copie valide, à condition qu'une autre couche
soit physiquement isolée.

Ce n'est pas une nuance technique secondaire. L'Article 6 étend la responsabilité de l'organe de gouvernance aux choix d'architecture TIC.
Un dirigeant qui valide un budget sauvegarde sans vérifier l'isolation physique engage sa responsabilité directe en cas de contrôle ACPR défavorable.

Pour le détail complet des cinq obligations de l'Article 12 et une checklist de huit points utilisable lors d'un contrôle ACPR, consultez notre article dédié : Sauvegarde DORA, les 5 obligations de l'Article 12

RTO et RPO : ce que DORA exige réellement pour les systèmes critiques

Contrairement à une idée répandue, DORA n'impose aucun chiffre précis de RTO (Recovery Time Objective, délai de récupération) ou de RPO (Recovery Point Objective, perte de données maximale tolérée). Le règlement impose des « objectifs de temps de récupération documentés et fondés sur la criticité des systèmes » (Article 11). Lors d'un contrôle, l'ACPR vérifie trois choses : les objectifs sont-ils documentés, sont-ils réalistes au regard de l'architecture réellement déployée, et ont-ils été testés en conditions réelles.

Sans chiffre réglementaire imposé, les entités s'appuient en pratique sur des repères sectoriels, alignés avec les lignes directrices EBA/GL/2019/04 sur la gestion des risques TIC.

Type de système
RTO courant observé
RPO courant observé
Systèmes de paiement critiques
Moins de 4 heures
Moins de 1 heure
Core banking non critique
Moins de 24 heures
Moins de 4 heures
Données clients et comptes
Moins de 8 heures
Moins de 2 heures
Infrastructure secondaire
Moins de 48 heures
Moins de 24 heures

Ces repères ne sont pas des seuils légaux. Ils servent de point de comparaison pour calibrer vos propres objectifs selon la criticité réelle de chaque système, via une analyse d'impact sur l'activité (BIA).

Pour documenter des RTO et RPO exploitables lors d'un contrôle, quatre étapes suffisent :

  1. Classer vos systèmes par niveau de criticité, en s'appuyant sur l'impact métier d'une indisponibilité.
  2. Fixer un objectif RTO et RPO par niveau de criticité, pas un objectif unique pour l'ensemble du système d'information.
  3. Faire valider ces objectifs par l'organe de gouvernance, avec traçabilité de la décision.
  4. Tester chaque objectif en conditions réelles, au moins une fois par an pour les systèmes critiques.

L'erreur la plus fréquente observée sur le terrain : des objectifs RTO ambitieux inscrits dans la politique de sauvegarde, jamais confrontés à un test réel.
Un RTO de quatre heures documenté sur papier, mais jamais mesuré, ne résiste pas à un contrôle ACPR qui demande la preuve du dernier test
de restauration.

Une architecture de sauvegarde air-gappée bien dimensionnée atteint des RTO mesurés inférieurs à 10 minutes pour un environnement Hyper-V
ou VMware, et environ 6 minutes pour un serveur Windows. Ces chiffres, une fois documentés avec un rapport de test daté, deviennent une preuve
de conformité directement exploitable.

Pour la direction financière, ces objectifs ont aussi un coût direct. Chaque heure d'indisponibilité d'un système de paiement critique se traduit en perte
de revenus, en pénalités contractuelles et en risque réputationnel. Documenter un RTO réaliste, puis le tenir, protège autant la conformité réglementaire que le compte de résultat.

Pour une analyse détaillée des RTO et RPO propres aux systèmes financiers, consultez notre article RTO et RPO pour les entités financières DORA

Tests de résilience : TLPT et test de restauration backup

DORA distingue deux régimes de test. Le TLPT (Threat-Led Penetration Testing) est obligatoire tous les 3 ans, mais uniquement pour les entités qualifiées « significatives » par l'ACPR ou l'AMF, en général les acteurs de taille importante et les infrastructures de marché. Pour la majorité des entités financières françaises, un régime de tests de résilience standard, moins lourd, s'applique.

Le test de restauration de sauvegarde, lui, concerne toutes les entités sans exception. Voici ce que l'ACPR attend concrètement lors d'un contrôle :

  1. Une procédure documentée précisant qui déclenche le test, dans quel ordre, et sur quel périmètre.
  2. Un test réellement exécuté sur un système isolé de la production, pas une simulation sur papier.
  3. Des résultats conservés, idéalement pendant 5 ans, pour permettre la traçabilité en cas d'audit.
  4. Une confirmation que le RTO documenté est atteint en conditions réelles, pas seulement théoriques.

La fréquence recommandée observée en pratique : un test annuel minimum pour les systèmes critiques, deux fois par an pour les établissements
de paiement, où la continuité de service est directement liée à l'activité commerciale quotidienne.

Vincent dirige un cabinet de gestion de patrimoine de 60 personnes près de Bordeaux. Son prestataire historique effectuait des sauvegardes sur bandes magnétiques, avec un test de restauration réalisé une fois tous les deux ans, sans rapport formel. Lors de la préparation de son dossier DORA au premier trimestre 2026, il a fait remplacer cette architecture par un système air-gappé sur site. Le premier test de restauration a mesuré un RTO de 5 minutes 40 sur l'environnement Windows critique, documenté dans un rapport remis directement à sa direction.

La différence entre un test sur bandes et un test en environnement air-gappé disque n'est pas seulement une question de vitesse. Un système air-gappé permet des tests plus fréquents, sans immobiliser physiquement un support, ce qui facilite le respect du rythme de test attendu par l'ACPR.
Il autorise aussi des tests partiels ciblés sur un système précis, sans mobiliser l'ensemble de l'infrastructure de sauvegarde.

Vous voulez évaluer si votre fréquence de test actuelle tient la route face à un contrôle ACPR ? Planifiez un point technique

Pour la méthodologie complète d'un test de restauration conforme DORA, consultez notre article : Tester la restauration de vos sauvegardes selon DORA

DORA vs NIS2 : quelle règle s'applique à votre entité ?

La question revient systématiquement chez les directions informatiques d'entités financières.

Réponse courte : si vous détenez un agrément ACPR ou AMF, DORA s'applique à vous et prend le pas sur NIS2. Le règlement DORA agit en lex specialis pour le secteur financier (Article 4) : il supersède NIS2 pour les entités qu'il couvre, qui n'ont pas à appliquer les deux textes en parallèle pour leur résilience numérique.

Une exception à connaître : les prestataires techniques qui fournissent des services au secteur financier, sans être eux-mêmes des entités financières agréées, peuvent relever des deux régimes selon leur secteur d'activité propre. C'est le cas, par exemple, d'un prestataire TIC qui sert à la fois des clients financiers et des clients industriels.

Critère
DORA
NIS2 (France)
Champ d'application
Secteur financier uniquement
18 secteurs critiques
Entrée en vigueur
Directe depuis janvier 2025
Transposition française en cours
Exigence sauvegarde
Art. 12 §5 : isolation physique et logique
Art. 21 : mesures techniques incluant
la règle 3-2-1
Autorité de contrôle
ACPR et AMF
ANSSI
Sanctions maximales
10 M€ ou 5 % du chiffre d'affaires mondial
10 M€ ou 2 % du chiffre d'affaires mondial (entités essentielles)

Sur le fond technique, les deux règlements convergent : sauvegardes isolées, testées, documentées. La différence tient à l'autorité de contrôle et au niveau de sanction, plus élevé sous DORA.

Pour un comparatif complet, y compris pour les entités à double exposition, consultez notre article DORA vs NIS2 : quelles obligations pour quelles entités.
Si votre activité relève d'un autre secteur que la finance, notre guide NIS2 France 2026 couvre l'ensemble des obligations applicables.

Mettre une entité financière en conformité DORA
sans RSSI dédié

La conformité DORA ne réclame pas une équipe cyber de dix personnes. L'Article 4 impose un principe de proportionnalité : les obligations s'adaptent
à la taille et au profil de risque de l'entité. Ce que le règlement réclame, en revanche, c'est une preuve.
Une politique documentée et jamais testée ne suffit pas lors d'un contrôle.

L'approche la plus efficace pour une direction informatique sans équipe cyber interne : un diagnostic de l'existant, suivi du déploiement des seules briques manquantes, plutôt qu'une refonte complète et coûteuse de l'ensemble du système d'information.

Brique technique
Article DORA couvert
Réponse VYTALX
Backup air-gappé avec isolation physique
Art. 12 §5
Appliance installée sur site,
sans investissement matériel initial
PRA avec RTO documentés et testés
Art. 11
RTO mesuré inférieur à 10 minutes
sur Hyper-V et VMware
Détection et notification d'incident
Art. 17
Monitoring continu, alerte compatible
avec le délai de notification

Le modèle zéro CAPEX change la donne pour une direction financière prudente sur les investissements : le matériel appartient au prestataire, la facturation est un abonnement mensuel qui inclut l'installation, les tests annuels et la maintenance.

Nadia est directrice administrative et financière d'une compagnie d'assurance régionale de 140 salariés, dans le Nord. Début 2026, son DSI a présenté un plan de conformité DORA nécessitant un investissement de 180 000 euros en matériel de sauvegarde. Le déploiement en location auprès du prestataire retenu a permis d'atteindre la même architecture d'isolation physique sans mobiliser ce budget d'investissement, avec une facturation mensuelle intégrée aux coûts d'exploitation.

Avant de choisir un prestataire pour ce chantier, quelques critères à vérifier :

  • Isolation physique réellement incluse dans l'architecture proposée, pas uniquement une couche cloud supplémentaire.
  • Tests de restauration inclus dans le contrat, avec rapports formalisés et métriques RTO mesurées.
  • Documentation compatible avec les attentes de l'ACPR et de l'AMF, remise à chaque cycle de test.
  • Hébergement des données en France, pour la cohérence avec vos obligations RGPD.

Chaque déploiement se conclut par un rapport de conformité : politique documentée, résultats de test de restauration avec RTO mesuré,
et preuve d'isolation physique. Ce rapport est directement utilisable lors d'un contrôle ACPR ou AMF.

Planifier une revue technique DORA de votre architecture de sauvegarde ? Réservez 30 minutes avec notre équipe pour identifier les briques manquantes et préparer votre dossier de conformité

Questions fréquentes

Conclusion

DORA transforme la sauvegarde d'une ligne budgétaire technique en obligation de gouvernance vérifiable. Trois principes structurent une architecture conforme : l'isolation physique des systèmes de restauration au-delà du cloud, des objectifs RTO et RPO documentés puis testés en conditions réelles, et une politique approuvée par votre direction.

Aucune de ces exigences ne nécessite une équipe cyber interne. Le principe de proportionnalité de l'Article 4 s'applique pleinement, et le déploiement peut être externalisé sans compromis sur la conformité.

Pour aller plus loin, notre article sur les cinq obligations concrètes de l'Article 12 détaille la checklist utilisable lors d'un contrôle ACPR.
Notre guide sur la règle 3-2-1-1-0 présente l'architecture de référence pour combiner isolation physique et copie cloud secondaire.
Revoir votre architecture
de sauvegarde avec VYTALX
Un entretien dédié pour passer en revue vos workloads, vos contraintes 

(sites, bande passante, RPO/RTO) et confronter votre dispositif actuel 

aux capacités de notre plateforme de Backup managé.
Planifier une revue technique Backup