Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA), entré en vigueur le 17 janvier 2025, représente une vraie opportunité stratégique pour renforcer la robustesse des institutions financières. Première réglementation européenne à articuler cybersécurité et continuité opérationnelle, DORA introduit le concept de cyber-résilience et élève également les exigences applicables aux prestataires de services des technologies de l’information et de la communication1. Les enseignements issus de la première année d’application montrent que la sensibilisation a nettement progressé : 90 % des Asset Managers2 classent désormais le risque cyber parmi leurs trois principaux risques, contre 75 % il y a deux ans. Le paysage des menaces évolue en parallèle avec +9 % d’attaques par ransomware et +35 % d’attaques liées à l’espionnage dans le secteur financier3 selon les indicateurs sectoriels, ce qui renforce la nécessité d’une capacité de reprise et de contournement opérationnel robustes.
Deux piliers scrutés de près
Sur les cinq piliers de DORA – gestion des risques TIC, gestion des incidents, gestion des tiers, tests de résilience opérationnelle et partage d’information –, deux sujets sur lesquels les autorités compétentes (AMF et ACPR) ont partagé des informations méritent tout particulièrement notre attention : la gestion des incidents et la supervision des prestataires TIC.
Les incidents affectant des prestataires ont un effet papillon sur les marchés. Rançongiciels, mises à jour défectueuses et pannes es de fournisseurs cloud ont montré la dépendance systémique des infrastructures financières à leurs fournisseurs. À fin 2025, AMF et ACPR rapportent environ 200 incidents cumulés. L’ACPR indique que 60 % de ces incidents sur son périmètre trouvent leur origine chez des prestataires TIC.
Ces chiffres confirment deux réalités : DORA est effectif (les entités déclarent) et la dépendance aux tiers expose directement les marchés européens aux perturbations chez ces prestataires. Des améliorations restent nécessaires : plus de la moitié des notifications d’incident arrivent après la résolution effective, alors que les délais réglementaires exigent une remontée sous 24 heures (ou 4 heures si l’incident est qualifié de « majeur »). Par ailleurs, l’absence d’un guichet européen centralisé pour les déclarations oblige les groupes multinationaux à des déclarations multiples, ce qui rend la coordination moins fluide.
Une certification DORA à envisager
Concernant la gestion des prestataires, les autorités européennes (ESAs4) ont recensé environ 15 000 prestataires TIC en Europe et identifié 19 fournisseurs comme « Critical Third Party Providers » (CTPP). Pour les institutions financières, cela implique une vigilance renforcée et, dès 2026, une supervision conjointe nationale européenne par le régulateur qui améliorera la visibilité et la maturité de ces acteurs. À terme, une qualification ou certification DORA, comparable en valeur opérationnelle à ISO (systèmes et contrôles internes) ou SOC2 (cadre pour réalisation d’audit), pourrait être envisagée. Fournir le registre d’information (ROI5) recensant l’ensemble de leurs fournisseurs de services informatiques a été un exercice laborieux. Seulement deux tiers des sociétés l’ont remonté et, parmi elles, la moitié des retours n’étaient pas conformes. La complexité du format et le volume d’informations à collecter ont révélé un écart de maturité notable entre les grands groupes et les acteurs plus petits, souvent dépourvus des compétences IT et des ressources nécessaires.
La contractualisation toujours
en chantier
La contractualisation reste un chantier : intégration des clauses DORA, coopération des prestataires et renégociation commerciale. Beaucoup de prestataires n’ont pris conscience de DORA que lorsqu’une institution leur a demandé une mise à jour contractuelle, certains contestent leur qualification de prestataire TIC ou tentent de renégocier les tarifs. Les institutions financières avec une taille moins significative sont par conséquent plus en difficulté sur la mise à jour de leurs contrats.
Les autres piliers montrent des niveaux de maturité contrastés : la gestion des risques TIC est généralement la partie mieux avancée (remontée des enjeux à la direction, identification des fonctions critiques/FCI). Les tests de résilience opérationnelle, incluant des tests d’intrusion fondés sur les scénarios de menace, commencent à être notifiés et resteront confidentiels pour l’instant.
En synthèse, il reste à simplifier certains processus (registre, reporting), à accélérer la contractualisation et à harmoniser la gouvernance européenne pour transformer ces obligations en avantages concurrentiels. DORA est en train de transformer une contrainte réglementaire en une opportunité stratégique pour renforcer la robustesse des institutions financières et réduire le risque systémique, en combinant cybersécurité et continuité d’activité via l’inclusion des prestataires TIC.
