DORA : La résilience numérique du secteur financier européen, un chantier permanent
Quatorze mois après l’entrée en vigueur de la loi sur la résilience opérationnelle numérique (DORA), une réalité s’impose : les institutions financières européennes sont loin d’avoir atteint le niveau de préparation requis. Le règlement, appliqué depuis le 17 janvier 2025, devait marquer un tournant dans la gestion des risques numériques. Il révèle surtout l’ampleur des efforts restants.
Un taux de conformité décevant
Les chiffres sont sans appel. Une enquête de McKinsey révèle qu’environ un tiers des principales institutions financières européennes se disaient confiantes quant à leur capacité à respecter toutes les exigences de DORA avant la date limite de janvier 2025. Une étude de Deloitte dresse un tableau similaire : seulement 50% des institutions devraient être pleinement conformes d’ici fin 2025, et 38% prévoient de repousser leur objectif à 2026. Le principal obstacle identifié ? Le registre d’informations, cet inventaire obligatoire de tous les contrats avec des tiers en matière de TIC, pose problème à 46% des organisations.
DORA : bien plus qu’une simple réglementation
La portée de DORA est plus large qu’initialement perçue. Elle concerne non seulement les banques et les assureurs, mais aussi les établissements de paiement, les fournisseurs de monnaie électronique, les prestataires de services sur crypto-actifs, les entreprises d’investissement et, crucialement, leurs prestataires de services TIC. Plus de 22 000 entités financières et des centaines de fournisseurs de technologies sont concernés.
DORA s’articule autour de cinq piliers : la gestion des risques liés aux TIC, le signalement des incidents, les tests de résilience opérationnelle numérique (y compris les tests d’intrusion), la surveillance des risques par des tiers et le partage d’informations. Chaque pilier implique des normes techniques, des obligations de reporting et des attentes en matière de surveillance.
Le Registre d’informations : un défi majeur en 2026
L’année 2026 sera marquée par la deuxième soumission annuelle du Registre d’informations (RoI). En vertu de l’article 28 de DORA, chaque entité financière doit tenir un registre complet de tous ses contrats avec des prestataires de services TIC tiers. Les autorités nationales consolident ces registres et les soumettent aux AES au plus tard le 31 mars de chaque année.
Les délais nationaux varient : l’Allemagne (BaFin) exige les soumissions entre le 9 et le 30 mars, les Pays-Bas (DNB et AFM) au 20 mars, Malte (MFSA) au 21 mars et le Luxembourg (CSSF) a ouvert son portail eDesk jusqu’au 31 mars. Le cycle pilote de 2025 a révélé des difficultés majeures : manque de vue centralisée sur les relations avec les fournisseurs, données incomplètes et classification incohérente des services.
19 prestataires TIC critiques sous surveillance directe de l’UE
En novembre 2025, les Autorités européennes de surveillance (AES) ont publié leur première liste de 19 fournisseurs tiers TIC critiques (CTPP) soumis à une surveillance directe. Parmi eux figurent Amazon Web Services, Google Cloud, Microsoft, Oracle, SAP et Deutsche Telekom. Ces prestataires ont été désignés en fonction de leur impact systémique, de l’importance des entités financières qui en dépendent, de la concentration de la dépendance et de la substituabilité de leurs services.
Les AES ont désormais le pouvoir de mener des évaluations des risques, d’exiger des rapports, d’effectuer des inspections sur place et de coordonner la surveillance. Les institutions financières qui s’appuient sur ces CTPP doivent démontrer qu’elles ont évalué et atténué le risque de concentration.
Les tests d’intrusion : un passage obligé
DORA impose des tests d’intrusion basés sur les menaces (TLPT) pour les institutions financières importantes, au moins tous les trois ans. Ces exercices simulent des cyberattaques réelles sur les systèmes de production, offrant une évaluation authentique des capacités de détection et de réponse. Les normes techniques réglementaires, applicables depuis le 8 juillet 2025, précisent les règles : le fournisseur de renseignements sur les menaces doit être externe, et un test sur trois doit être réalisé par une équipe rouge externe.
Automatisation : la clé de la conformité
L’écart entre les exigences de DORA et les capacités manuelles des organisations a stimulé le marché de l’automatisation de la conformité. Des plateformes capables de centraliser la collecte de preuves, d’automatiser la cartographie des contrôles et de gérer le registre d’informations connaissent une forte demande. Des acteurs comme Distique, basé à Vilnius, se positionnent spécifiquement sur DORA, NIS2 et ISO 27001.
Les prochaines étapes et les perspectives d’avenir
DORA n’est pas figée. Les AES devraient mettre à jour la liste des fournisseurs TIC critiques chaque année. Des normes techniques supplémentaires sur les rapports d’incidents et les accords de sous-traitance sont en cours de finalisation. Les données issues des premières soumissions au Registre d’informations éclaireront les futures priorités de surveillance.
La trajectoire à long terme indique une surveillance plus approfondie et prescriptive de l’infrastructure technologique du secteur financier. La conformité n’est plus un projet ponctuel, mais une capacité opérationnelle continue qui exige des investissements et une approche différente de la gestion des risques technologiques.
FAQ
- Qu’est-ce que DORA ? DORA est le règlement européen sur la résilience opérationnelle numérique du secteur financier, entré en vigueur le 17 janvier 2025.
- Qui est concerné par DORA ? Les banques, les assureurs, les établissements de paiement, les fournisseurs de monnaie électronique, les prestataires de services sur crypto-actifs, les entreprises d’investissement et leurs prestataires de services TIC.
- Quel est le principal défi de DORA ? Le Registre d’informations, l’inventaire des contrats avec les fournisseurs de services TIC tiers.
- Quelles sont les sanctions en cas de non-conformité ? Des amendes pouvant atteindre 2% du chiffre d’affaires annuel mondial et des sanctions personnelles allant jusqu’à 1 million d’euros.
N’hésitez pas à partager vos expériences et vos questions dans les commentaires ci-dessous. Pour approfondir le sujet, découvrez nos autres articles sur la cybersécurité et la réglementation financière. Abonnez-vous à notre newsletter pour rester informé des dernières tendances.
