À partir du 17 janvier 2025, la Loi de l'Union européenne sur la résilience opérationnelle numérique (DORA) est entièrement en vigueur. Pour les banques, assurances, entreprises d'investissement, processeurs de paiement et des centaines d'autres entités financières opérant dans l'UE, l'ère de l'auto-certification sur la résilience numérique est révolue.

DORA introduit des exigences contraignantes et spécifiques pour la gestion des risques ICT, la classification et la notification des incidents, les tests de résilience opérationnelle numérique et la gestion des risques tiers. La non-conformité expose les entreprises à une action de supervision, des amendes importantes et — de manière critique — une responsabilité personnelle pour la direction.

La surveillance du dark web n'est pas mentionnée par son nom dans DORA. Mais quand vous lisez ce que DORA nécessite réellement, il devient clair que l'intelligence des menaces du dark web continu est l'un des contrôles techniques les plus directs disponibles pour respecter les obligations principales de la régulation.

Ce guide explique exactement comment.

Qu'est-ce que DORA et à qui s'applique-t-elle ?

La Loi sur la résilience opérationnelle numérique (Réglement UE 2022/2554) établit un cadre unifié pour la résilience opérationnelle numérique dans le secteur financier de l'UE. Contrairement à une directive (qui doit être transposée en droit national), DORA est un réglement — elle s'applique directement et uniformément à tous les États membres de l'UE.

DORA s'applique à :

• Les institutions de crédit (banques)
• Les institutions de paiement et les institutions de monnaie électronique
• Les entreprises d'investissement
• Les prestataires de services d'actifs cryptographiques (CASP)
• Les entreprises d'assurance et de réassurance
• Les fonds de pension et les gestionnaires d'actifs
• Les agences de notation du crédit
• Les entreprises d'audit
• Les prestataires tiers ICT critiques désignés par les régulateurs

Si votre organisation fournit des services à n'importe lequel de ce qui précède, vous pouvez également être soumis aux exigences de DORA soit directement soit par des obligations contractuelles imposées par vos clients.

Les cinq piliers de DORA et où la surveillance du dark web s'inscrit

Pilier 1 : Gestion des risques ICT (Articles 5-16)

DORA exige que les entités financières implémentent un cadre complet de gestion des risques ICT qui comprend :

• Identification continue de tous les risques liés aux ICT
• Mesures de protection et de prévention proportionnées aux risques identifiés
• Capacités de détection pour identifier les activités anormales
• Procédures de réponse et de rétablissement avec des RPO et RTO définis
• Apprentissage et évolution — mise à jour des évaluations des menaces basées sur l'intelligence nouvelle

La surveillance du dark web soutient directement ce pilier. La régulation exige que les entreprises implémentent des processus pour détecter les incidents liés aux ICT, incluant « les activités ICT anormales ». Les identifiants apparaissant sur les marchés du dark web, les acteurs de menace discutant de l'infrastructure de votre entreprise ou les stealer logs révélant des sessions d'employés compromises sont exactement le type de signaux pré-incident que les exigences de détection de DORA sont conçues pour attraper.

Selon l'Article 10, les entreprises doivent avoir la capacité de détecter les activités anormales « aussi rapidement que possible ». La surveillance du dark web en temps réel — avec des alertes se déclenchant quelques minutes après une nouvelle découverte — est l'un des rares contrôles techniques qui vous donne cette capacité pour les menaces provenant de l'extérieur.

Pilier 2 : Gestion des incidents liés aux ICT, classification et notification (Articles 17-23)

C'est là que DORA devient opérationnellement exigeant. Les entreprises doivent :

• Classer les incidents comme « majeurs » ou non-majeurs en utilisant les critères définis par DORA
• Signaler les incidents majeurs aux autorités compétentes dans les délais serrés
• Émettre des notifications initiales dans les 4 heures de la classification, des rapports intermédiaires dans les 72 heures et des rapports finaux dans 1 mois

Les critères de classification incluent des facteurs comme le nombre de clients affectés, la criticité des données, la durée de la perturbation de service et le dommage à la réputation. Une faille d'identifiant donnant aux attaquants l'accès aux comptes des clients se qualifierait presque certainement comme un incident majeur.

La surveillance du dark web soutient la classification précoce des incidents. Découvrir que les identifiants des employés sont activement vendus sur un forum du dark web — avant que tout accès au système soit détecté — donne à votre équipe de réponse aux incidents un avertissement précoce pour enquêter, classifier et préparer les rapports avant qu'une faille complète ne se produit.

L'horloge de rapport de 4 heures commence à la classification, pas à la découverte. La découverte antérieure signifie une notation mieux préparée.

Pilier 3 : Tests de résilience opérationnelle numérique (Articles 24-27)

DORA exige un test régulier de la résilience opérationnelle numérique, incluant les évaluations des vulnérabilités, les tests de pénétration et — pour les entités importantes — les tests de pénétration avancés menés par les menaces (TLPT).

TLPT est une approche basée sur l'intelligence des menaces structurée (basée sur le cadre TIBER-EU) où la phase d'intelligence des menaces implique de rechercher ce que les vrais acteurs de menace connaissent et ciblent activement dans votre organisation.

La surveillance du dark web fournit la couche d'intelligence pour TLPT. Comprendre quels identifiants, documents et informations d'infrastructure sur votre entreprise sont actuellement disponibles sur le dark web est un input fondamental pour le composant de l'intelligence des menaces ciblées (TTI) de tout exercice TIBER/TLPT.

Pilier 4 : Gestion des risques tiers ICT (Articles 28-44)

DORA impose des obligations importantes sur la façon dont les entreprises financières gèrent les relations avec les prestataires tiers ICT. Les entreprises doivent :

• Maintenir un registre complet de tous les arrangements contractuels ICT
• Conduire la diligence raisonnable sur les nouveaux prestataires ICT et ceux existants
• Inclure des dispositions contractuelles spécifiques couvrant l'accès aux données, les normes de sécurité, les droits d'audit et la notification d'incident
• Surveiller et évaluer le risque tiers ICT de manière continue

L'exposition de la chaîne d'approvisionnement est un cas d'usage de surveillance du dark web. Quand un fournisseur ou prestataire ICT sur lequel votre entreprise dépend apparaît dans une faille, une fuite d'identifiants ou une discussion du forum du dark web, c'est un événement de risque tiers que DORA vous exige d'évaluer et de répondre.

DarkVault surveille les expositions tiers et de la chaîne d'approvisionnement — vous alertant quand une entreprise sur laquelle vous dépendez apparaît dans une fuite du dark web, avant que cette exposition ne devienne votre problème.

Pilier 5 : Arrangements de partage d'informations (Article 45)

DORA encourage les entités financières à participer à des arrangements de partage d'intelligence des menaces. Les entreprises qui participent aux ISAC (Centres d'analyse et de partage d'informations) ou aux communautés d'intelligence spécifiques au secteur bénéficient d'une sensibilisation plus large aux menaces et peuvent recevoir un traitement préférentiel des superviseurs.

L'intelligence des menaces opérationnalisée de la surveillance du dark web alimente directement les programmes de partage d'informations. L'intelligence spécifique et contextuelle provenant des sources du dark web — les nouvelles campagnes, les fuites d'identifiants, les discussions des acteurs de menace — est exactement ce que les communautés de partage d'informations sont conçues pour échanger.

Les exigences d'intelligence des menaces de DORA : entre les lignes

L'Article 13 de DORA exige spécifiquement que les entités financières aient des processus pour :

« Collecter des informations sur les vulnérabilités et les menaces cyber, et les analyser pour comprendre comment elles peuvent affecter les systèmes ICT de l'entité financière. »

C'est aussi proche qu'on ne peut l'être du langage réglementaire à une exigence directe de surveillance du dark web sans nommer une technologie spécifique. Le dark web est où les vulnérabilités de vos systèmes sont discutées, où les identifiants extraits de ces systèmes sont vendus et où les acteurs de menace annoncent leurs intentions.

Une entreprise qui surveille seulement sa télémétrie interne et ignore l'intelligence des menaces disponible de l'extérieur ne respecte pas cette exigence.

Conformité DORA pratique avec DarkVault

Voici comment DarkVault cartographie les exigences techniques de DORA :

Ce que les superviseurs rechercheront

Les superviseurs financiers européens (BCE, ABE, autorités compétentes nationales) menant des inspections DORA examineront des preuves que les entreprises ont :

• Implémenté des processus continus de surveillance des risques ICT
• Peuvent démontrer la détection précoce des menaces cyber
• Ont des évaluations documentées des risques tiers
• Conduisent des tests réguliers de résilience opérationnelle informés par l'intelligence des menaces actuelle

Les rapports de surveillance du dark web, les journaux d'alertes et les procédures de réponse documentées fournissent exactement ce type de preuve. Les entreprises avec des programmes de surveillance bien documentés sont significativement mieux positionnées dans les révisions de supervision.

Débuter : Votre liste de contrôle de conformité DORA du dark web

Avant votre prochain examen de supervision, confirmez que vous avez :

• ✅ Surveillance continue des marchés d'identifiants du dark web et des forums
• ✅ Détection de stealer logs pour la compromission des appareils des employés
• ✅ Alertes en temps réel avec procédures de réponse documentées
• ✅ Surveillance des tiers et de la chaîne d'approvisionnement
• ✅ Rapports automatisés pour la preuve et la visibilité au niveau du conseil
• ✅ Intégration avec votre flux de travail de gestion des incidents

Voyez votre exposition actuelle au dark web en 60 secondes. Exécutez une analyse gratuite du domaine — aucune inscription requise — pour comprendre votre baseline avant votre prochain évaluation DORA. Ensuite commencez un essai de 14 jours avec accès complet à la plateforme pour construire la capacité de surveillance continue que DORA nécessite.

Questions fréquemment posées

DORA est-il déjà en vigueur ? Oui. DORA est devenue entièrement en vigueur le 17 janvier 2025. Toutes les entités financières dans le champ d'application devraient déjà avoir leurs programmes de conformité opérationnels.

DORA nécessite-t-il spécifiquement la surveillance du dark web ? Pas par nom. Mais les exigences de DORA pour l'identification continue des risques ICT, la détection d'activités anormales et la collecte d'intelligence des menaces sont le plus complètement respectées par la surveillance du dark web comme contrôle technique de base.

Qui applique DORA ? Les autorités compétentes nationales (ACN) de chaque État membre de l'UE, la Banque centrale européenne (pour les institutions de crédit importantes) et, pour les prestataires tiers ICT critiques, les équipes de surveillance conjointes comprenant les ESA (ABE, ESMA, EIOPA).

Quelles sont les pénalités de DORA pour la non-conformité ? Pour les entités financières, les ACN peuvent imposer des mesures de supervision, exiger des étapes de correction spécifiques et — pour les défaillances répétées — des amendes financières. Pour les prestataires tiers ICT critiques, le Cadre de surveillance peut imposer des paiements de pénalité périodiques jusqu'à 1% du chiffre d'affaires quotidien moyen mondial.