Réglementation DORA et communication financière : ce que les DirCom doivent savoir
On 23 avril, 2026
12 min
La réponse est moins intuitive qu'il n'y paraît. DORA ne cible pas les DirCom comme on cible une DSI. Il les atteint par deux voies distinctes : d'une part, en les intégrant à la chaîne de gouvernance formelle du risque numérique de leur organisation ; d'autre part, en soumettant leurs outils de communication quotidiens, newsroom, wire de distribution, CRM journalistes, plateformes d'archivage, aux mêmes exigences que les systèmes IT critiques.
Wiztrust apporte une réponse concrète en couvrant quatre des six clauses contractuelles exigées pour les prestataires TIC tiers. En complément, Wiztrust Protect assure la traçabilité et l’intégrité des communications, pendant et après un incident, grâce à un horodatage juridiquement opposable.
Points clés à retenir :
- DORA est applicable depuis le 17 janvier 2025. Le délai de grâce est terminé pour les 22 000+ entités financières européennes concernées.
- Les DirCom sont dans la chaîne de responsabilité formelle de la gouvernance ICT lorsqu'ils siègent au Comex ou participent aux politiques de résilience.
- Les outils de communication (newsroom, wire, CRM journalistes, archivage) entrent dans le périmètre des prestataires TIC tiers soumis aux exigences DORA.
Vue d'ensemble : DORA, implications communication
|
Exigence DORA |
Ce que cela implique pour la communication |
Priorité |
|
Gouvernance ICT |
Les DirCom sont dans la chaîne de responsabilité formelle. Ils doivent documenter leurs processus de communication et les faire valider au niveau Comex. |
Haute |
|
Gestion des risques ICT |
Les outils de communication (newsroom, wire, CRM journalistes) entrent dans le périmètre du cadre de risques TIC. Leurs défaillances doivent être scenariées. |
Haute |
|
Notification d'incidents |
Notification initiale au régulateur sous 4 heures. Les messages diffusés doivent être certifiés et archivés comme preuves dans le dossier d'incident. |
Critique |
|
Tests de résilience |
Les résultats de tests (TLPT, tests de continuité) influencent la réputation auprès des analystes et des régulateurs. La communication autour de ces tests doit être préparée. |
Moyenne |
|
Risque prestataires TIC tiers |
Les contrats avec les outils de communication doivent inclure : droits d'audit, SLA renforcés, clauses de sortie, localisation des données, gestion des vulnérabilités. |
Haute |
Ce que DORA change réellement pour les directions de la communication
La gouvernance : les DirCom entrent dans la chaîne formelle du risque numérique
DORA impose aux organes de direction une responsabilité explicite, documentée et auditable sur la gestion des risques ICT. Lorsqu'un DirCom siège au Comex ou participe à l'approbation des politiques de communication, il entre dans cette chaîne de responsabilité.
Cela signifie deux choses concrètes. Premièrement, les processus de communication liés à la résilience numérique doivent être documentés, approuvés et révisés périodiquement au même titre que les processus IT. Deuxièmement, en cas d'incident suivi d'une enquête régulatrice, les régulateurs peuvent demander à examiner les communications publiées pendant et après l'incident, et vérifier que les processus de validation étaient en place.
La notification d'incidents : le DirCom est en première ligne
En cas d'incident ICT majeur, DORA impose une notification initiale au régulateur compétent dans les 4 heures suivant la détection. Un rapport intermédiaire suit dans les 72 heures, et un rapport final dans le mois suivant la clôture.
Ces délais sont opérationnellement très contraints. La direction de la communication est systématiquement impliquée dans la rédaction et la validation des messages transmis aux régulateurs, aux marchés et aux médias. Les équipes doivent être capables d'activer un protocole complet en moins d'une heure, avec des messages pré-validés, une chaîne de décision clarifiée et des outils capables de certifier et d'archiver en temps réel tout ce qui est diffusé.
La difficulté opérationnelle est double : produire vite, et produire de façon vérifiable. Chaque message transmis au régulateur, aux marchés ou aux médias pendant la crise devient une pièce du dossier d'audit. Sans mécanisme de certification et d'horodatage en temps réel, l'entité financière s'expose à un risque de contestation ultérieure sur l'intégrité de ses communications, un risque particulièrement sensible lorsque le rapport final, dû dans le mois suivant la clôture, s'appuie sur la chronologie exacte des messages diffusés.
|
Vos contrats avec vos prestataires de communication : Ce que vous devez faire dès maintenant Demandez à vos prestataires de communication actuels de produire une matrice de conformité DORA couvrant ces six points. Si votre contrat actuel ne prévoit pas explicitement les droits d'audit, les SLA documentés et les clauses de sortie, il doit être renégocié. Ce n'est pas une option : c'est une exigence que vos auditeurs internes et vos régulateurs peuvent vérifier. |
Structurer votre communication autour de DORA : trois dimensions opérationnelles
DORA impose de communiquer de façon rigoureuse, documentée et coordonnée. Pour les DirCom, cela se traduit par trois chantiers distincts.
La communication préventive : construire la crédibilité avant l'incident
Les investisseurs institutionnels, les agences de notation ESG et les analystes financiers ont intégré la résilience numérique dans leurs critères d'évaluation. Publier proactivement sur votre dispositif DORA renforce votre crédibilité auprès de ces audiences, bien avant qu'un incident ne survienne.
Cette communication préventive prend des formes concrètes :
- Un paragraphe dédié à la gouvernance DORA dans le rapport annuel et le document URD
- Des notes d'information aux investisseurs sur votre cadre de résilience numérique, notamment lors des roadshows
- Des briefings ciblés aux journalistes financiers spécialisés qui couvrent la résilience des banques et assurances
- Des articles de thought leadership sur les pratiques de gouvernance ICT dans votre secteur
La communication en situation d'incident : protocoles et traçabilité
En situation d'incident ICT, trois contraintes s'imposent simultanément aux DirCom : la rapidité (4 heures pour la notification initiale), la coordination (DSI, direction juridique, direction de la communication en parallèle) et la traçabilité (tout ce qui est diffusé doit pouvoir être prouvé et archivé).
Un protocole de communication de crise conforme DORA comprend au minimum :
- Un arbre de décision pour qualifier en moins de 30 minutes si l'incident doit déclencher une communication réglementée
- Des messages pré-rédigés et pré-validés par la direction juridique pour les scénarios d'incidents les plus probables
- Une liste de destinataires prioritaires avec les contacts actualisés : régulateurs, investisseurs, médias financiers, agences de notation
- Un outil de certification blockchain et d'archivage horodaté à valeur probante de tous les messages diffusés pendant l'incident, garantissant leur intégrité face aux demandes d'audit ultérieures des régulateurs
- Un processus de debriefing post-incident pour mettre à jour le protocole
|
Pro Tip : la preuve d'intégrité est la pierre angulaire de DORA Les régulateurs européens peuvent demander, jusqu'à 5 ans après un incident, de démontrer qu'un message diffusé pendant la crise n'a pas été modifié a posteriori. Wiztrust Protect, qui est déjà adoptée par plusieurs entités du CAC 40, permet de produire cette preuve automatiquement, sans dépendre d'un système d'archivage interne potentiellement compromis pendant l'incident lui-même. |
La communication post-incident : gérer la réputation dans la durée
Après la clôture d'un incident, la qualité de la communication produite pendant la crise continue d'être scrutée par les régulateurs, les médias et les marchés. Trois principes structurent cette phase :
- Cohérence : le même narratif doit être maintenu de façon consistante à travers toutes les parties prenantes et dans le temps. Les contradictions entre les communications adressées aux régulateurs, aux marchés et aux médias créent des risques réputationnels et réglementaires.
- Intégrité documentée : les communications publiées doivent être archivées avec une preuve d'intégrité. En cas d'enquête, l'entité financière doit pouvoir démontrer que ses messages n'ont pas été modifiés a posteriori.
- Mesure de l'impact : les retombées médiatiques et la perception des parties prenantes après l'incident doivent être analysées pour alimenter le rapport de clôture et pour ajuster la stratégie de communication réputationnelle.
Conclusion
DORA ne transforme pas les DirCom en responsables sécurité. Il les intègre dans une chaîne de gouvernance qui était jusqu'ici principalement IT, et soumet leurs outils de communication à des exigences de résilience, de traçabilité et de contractualisation inédites.
La bonne nouvelle : ces exigences sont opérationnalisables. Un inventaire rigoureux de vos prestataires, des contrats actualisés, un protocole de crise documenté et testé, et des outils capables de prouver l'intégrité de vos communications, c'est l'ensemble de ce que DORA attend d'une direction de la communication mature.
Wiztrust accompagne plus de 60 directions de la communication du CAC 40 et du SBF 120, dont BNP Paribas, Crédit Agricole, Engie et TotalEnergies, avec une infrastructure conçue pour ces exigences : newsroom hébergée en Europe, certification blockchain des communications via Wiztrust Protect, archivage horodaté à valeur probante, et contrats incluant droits d'audit, SLA documentés et clauses de sortie conformes DORA.
FAQ : DORA et communication financière
Qu'est-ce que DORA et pourquoi les DirCom sont-ils concernés ?
DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Les DirCom sont concernés par deux voies : en tant que membres de la chaîne de gouvernance ICT lorsqu'ils siègent au Comex, et en tant que responsables d'outils de communication (newsroom, wire, CRM journalistes) qui entrent dans le périmètre des prestataires TIC tiers soumis aux exigences DORA. Les deux réalités impliquent des obligations documentaires et contractuelles nouvelles.
Quels outils de communication entrent dans le périmètre DORA ?
Tous les prestataires TIC dont la défaillance pourrait interrompre la diffusion d'informations réglementées au marché ou affecter la continuité des services financiers doivent être inventoriés sous le prisme DORA. Selon la taille et le profil de risque de l'entité financière, cela peut inclure les plateformes de newsroom, les services de distribution par wire, les outils de CRM journalistes, les solutions de monitoring des retombées et les plateformes de certification et d'archivage des communications. Ces prestataires ne sont pas tous automatiquement « critiques », mais ils doivent tous être évalués.
Quels sont les délais de notification d'incidents imposés par DORA ?
En cas d'incident ICT majeur, DORA impose trois échéances cumulatives : une notification initiale au régulateur compétent dans les 4 heures suivant la détection, un rapport intermédiaire dans les 72 heures, et un rapport final dans le mois suivant la clôture de l'incident. Ces délais impliquent que les protocoles de communication de crise doivent être préparés, validés et testés avant que l'incident survienne. La capacité à certifier et archiver en temps réel les messages diffusés est une exigence de traçabilité associée.
DORA s'applique-t-il aux filiales européennes des groupes cotés non financiers ?
DORA s'applique à toute entité réglementée dans le secteur financier européen, quelle que soit la nature du groupe auquel elle appartient. Si un groupe industriel ou coté possède une filiale exerçant une activité bancaire, assurantielle ou de gestion d'actifs en Europe, cette filiale est soumise à DORA dans son intégralité. Les DirCom des groupes concernés doivent s'assurer que leurs pratiques de communication corporate ne créent pas d'incohérences avec les obligations de communication réglementée imposées par DORA à ces entités.
Que faire si mes contrats avec mes prestataires de communication ne sont pas conformes DORA ?
La priorité est d'identifier les contrats en défaut en les comparant à la liste des six clauses requises : droit d'audit, SLA et PCA/PRA documentés, localisation des données en EU, gestion SSO/2FA et des accès à privilèges, documentation de la chaîne de sous-traitance, et clause de sortie avec portabilité des données. Pour chaque contrat en défaut, engagez une renégociation ou demandez un avenant. Documentez les échanges. En cas d'audit, la preuve de la démarche de mise en conformité a autant de valeur que le contrat finalisé.
Comment Wiztrust répond-il concrètement aux exigences DORA ?
Wiztrust couvre quatre des six clauses contractuelles requises par DORA pour les prestataires TIC tiers : hébergement et traitement des données en Union européenne, SLA et plan de continuité documentés, gestion des accès à privilèges avec SSO et double authentification, et clause de sortie avec portabilité complète des données. Wiztrust Protect répond par ailleurs à l'exigence de traçabilité et d'intégrité documentée des communications diffusées pendant et après un incident, avec une preuve d'horodatage opposable juridiquement.
12 min
