Entré en application il y a près d’un an, le règlement européen DORA (Digital Operational Resilience Act) a profondément reconfiguré l’approche du risque cyber dans la finance. Le sujet de la mise en conformité avec DORA a été au cœur des préoccupations des institutions financières en 2025.
Ce texte, applicable dans l’ensemble de l’Union européenne (UE) depuis le 17 janvier 2025, instaure un cadre unifié pour la résilience numérique de l’ensemble du secteur financier européen.
Il ne porte pas seulement sur la sécurité des systèmes informatiques, mais évoque aussi la continuité d’activité en cas d’incidents, la nécessité de mettre en place des tests de résilience (en cas d’intrusion par exemple), de penser l’organisation et la gouvernance des systèmes informatiques et enfin, il met l’accent sur la gestion des prestataires TIC (technologies de l’information et de la communication) critiques.
Au-delà d’une simple mise en conformité
Les grands acteurs ont cherché à aller bien au-delà d’une simple mise en conformité réglementaire et misent sur une approche systémique de la résilience numérique.
L’externalisation de la résilience numérique opérationnelle se double pour les établissements financiers de l’obligation de contrôler que les exigences de sécurité sont bien au rendez-vous.
L’adaptation contractuelle qui en découle avec les prestataires de services tiers s’accompagne notamment d’une connaissance technique suffisamment fine des chaînes de sous-traitance des données pour assurer la continuité de service.
La sensibilité aux risques cyber y a gagné, signifiant une quasi-évolution culturelle.
Les premiers retours de terrain dessinent toutefois une transformation encore inégale et, au point de vue opérationnel, le bilan est plus contrasté. Tour d’horizon de ce qui a été acquis, et des progrès qu’il reste à accomplir.
