Conformité
DORA : ce que la résilience opérationnelle exige, concrètement
Le règlement européen DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est en vigueur depuis le 17 janvier 2025. Il s'applique à une vingtaine de types d'entités financières et à leurs prestataires informatiques. En 2026, l'application se durcit : les premiers registres d'information ont été remontés aux autorités, et une part importante des établissements n'est pas encore pleinement conforme. Les sanctions peuvent atteindre 10 % du chiffre d'affaires annuel.
DORA repose sur quatre piliers :
- Gestion du risque TIC — un cadre structuré pour identifier, évaluer, maîtriser et surveiller les risques informatiques (articles 5 à 16, avec un régime allégé pour les petites entités).
- Gestion et notification des incidents — classification harmonisée et déclaration des incidents majeurs dans des délais stricts.
- Tests de résilience — tests de vulnérabilité pour tous ; tests d'intrusion fondés sur la menace (TLPT) pour les entités jugées importantes.
- Risque lié aux prestataires TIC — le registre d'information (article 28), inventaire tenu à jour des contrats prestataires, transmis annuellement au superviseur.
Ces livrables reposent sur des données très sensibles — cartographies de risques, contrats, preuves d'audit. C'est précisément pourquoi les produire et les tracer en local, sans les exposer à un service tiers, a du sens.
Voir notre offre DORA en local
Réglementation IA
EU AI Act : traçabilité et transparence, ce que ça implique
Le règlement européen sur l'intelligence artificielle (EU AI Act) encadre les systèmes d'IA selon leur niveau de risque. Deux exigences reviennent systématiquement pour les usages professionnels sensibles :
- Tenue de registres / journalisation (article 12) — les systèmes d'IA à haut risque doivent enregistrer automatiquement les événements pertinents pour permettre la traçabilité et l'audit tout au long du cycle de vie.
- Transparence (article 50) — obligation d'informer lorsqu'une personne interagit avec une IA ou qu'un contenu est généré ou manipulé par une IA.
Concrètement : vos systèmes d'IA doivent produire des pistes d'audit fiables et des sorties vérifiables. Une IA qui tourne en local, avec des journaux horodatés, des sources citées et des signatures cryptographiques, répond nativement à ces exigences — sans dépendre de la bonne volonté d'un fournisseur tiers.
Note : l'EU AI Act s'applique par étapes ; vérifiez le calendrier applicable à votre cas avec votre conformité.
Voir notre matrice de conformité
Souveraineté
Pourquoi le cloud est (souvent) écarté dans les secteurs sensibles
En banque, défense, santé ou secteur public, envoyer des données sensibles vers un cloud n'est pas qu'une question de préférence — c'est souvent une contrainte réglementaire ou de doctrine.
- Lois extraterritoriales — le Cloud Act américain peut contraindre un fournisseur US à communiquer des données, où qu'elles soient hébergées.
- Qualification SecNumCloud (ANSSI) — pour être « de confiance », un service doit localiser données et support dans l'UE et respecter des plafonds de détention non-européenne. Aucun hyperscaler américain n'est qualifié à ce jour.
- Air-gap — les environnements les plus sensibles fonctionnent sans aucune connexion sortante ; un service cloud y est, par définition, inutilisable.
La réponse n'est pas de renoncer à l'IA, mais de la faire tourner là où la donnée reste : sur votre matériel, en local, jusqu'à l'air-gap. C'est la doctrine de FrenchHive.
Découvrir nos produits
Notes disponibles en français. Pour une version anglaise ou un échange sur votre contexte : contact@frenchhive.fr.