1.
Structurer sa veille réglementaire et maîtriser les exigences des régulateurs
Le processus de mise en conformité s’est engagé sur un corpus initialement non stabilisé, les différents RTS (Regulatory Technical Standards) et ITS (Implementing Technical Standards) ayant été finalisés progressivement jusqu’en 2024, avec quelques points d’ajustement en 2025. La majorité des standards techniques est en place, mais des zones d’incertitude subsistent, par exemple sur le RTS relatif au sub-contracting de services TIC (technologies de l’information et de la communication) soutenant des fonctions critiques, qui a fait l’objet d’un rejet et de révisions.
Les enseignements à retenir
Un an après, la veille a souvent été tenue correctement sur le fond, mais plus difficilement sur la traduction opérationnelle : beaucoup d’équipes ont suivi les textes, sans pour autant parvenir à traduire assez vite les ajustements en exigences « exécutables », intégrées dans des contrôles, des workflows et des preuves. La multiplication des supports (textes, standards techniques, FAQ, communications) a aussi généré des ambiguïtés. La bonne version n’était pas toujours celle effectivement appliquée et la traçabilité des arbitrages est restée partielle.
Beaucoup d’acteurs ont sous-estimé l’effort sur les registres d’informations TIC (scope, granularité, liens avec les référentiels achats/contrats), se retrouvant fin 2025 avec des registres incomplets ou difficilement exploitables pour le reporting aux superviseurs et aux ESAs.
2.
Mettre en œuvre un programme et une organisation dédiés et adaptés
DORA ne peut pas être traité comme un simple projet réglementaire de plus ; il nécessite un programme structuré, intégré au portefeuille de conformité cyber et de résilience opérationnelle. La gouvernance du programme doit refléter la transversalité du sujet : risques, IT, sécurité, métiers, juridique, conformité, continuité, achats. Afin de bénéficier de synergies, il est nécessaire d’intégrer la structure mise en place à celle déjà en charge des sujets de conformité cyber, afin de pouvoir bénéficier des retours d’expérience des mises en œuvre précédemment réalisées.
Les enseignements à retenir
Des programmes DORA ont parfois été montés comme de simples « projets de conformité IT » sans ancrage fort côté métiers, avec des sponsors trop bas dans l’organigramme, ce qui s’est traduit par des arbitrages inadéquats en matière de priorités – registre, Threat-Led Penetration Testing (TLPT), tiers critiques, etc.
La mutualisation avec NIS2/LPM est restée théorique dans plusieurs groupes : les feuilles de route étaient gérées en parallèle, les PMO (Project Management Office) et les reportings séparés et surtout une absence de vision consolidée « cyber & résilience » au niveau COMEX a été constatée.
Le cap 2026 est de passer d’un programme de mise en conformité à une capacité de résilience pilotée en run. Cela implique de clarifier un RACI (matrice des responsabilités) réellement exécutable, de stabiliser des instances de décision (fréquence, entrées/sorties, décisions attendues) et de positionner DORA comme une ligne de pilotage durable dans le portefeuille cyber/résilience, au même titre que le contrôle interne ou la gestion des risques.
3.
Coconstruire et valider sa stratégie de conformité
La stratégie de conformité DORA doit être coconstruite avec les principales parties prenantes pour être réaliste, financée et alignée sur la stratégie d’entreprise. Elle doit articuler gestion des risques TIC, continuité d’activité, sécurité des systèmes d’information, gestion des tiers et reporting de supervision.
Les enseignements à retenir
Ce qui a été le plus complexe concerne les stratégies trop ambitieuses et insuffisamment arbitrées. Beaucoup d’acteurs ont voulu tout mener en parallèle : registre, incidents, tiers, tests, gouvernance... sans priorisation ni séquencement clair.
Les dépendances ont été sous-estimées, en particulier la dépendance « données » (capacité à produire un registre propre, cohérent et maintenable) et la dépendance à la supply chain (sous-traitance, cloud, infogérance). La stratégie a parfois manqué d’un point essentiel : un modèle de financement et de charge en run, ce qui a rendu l’industrialisation fragile.
L’articulation entre gestion des risques TIC, continuité, sécurité et tiers demeure incomplète : beaucoup d’institutions ont conservé des silos – risques, gestion de la continuité des activités (BCM), cyber, achats – et peinent à démontrer une vision intégrée des risques telle qu’attendue par DORA.
4.
Communiquer et expliquer sa démarche
de conformité
L’adhésion des équipes est une condition de succès, car DORA affecte directement les pratiques opérationnelles, la gestion des incidents, l’outsourcing et la relation avec les fournisseurs. Une communication claire permet de transformer la conformité en levier de gouvernance plutôt qu’en contrainte subie.
Les enseignements à retenir
Les plans de communication se sont souvent limités à quelques présentations ou e-learning génériques, sans adaptation par rôle ni intégration dans les rituels existants (comités métiers, comités projets, exercices de crise), d’où une appropriation hétérogène.
DORA reste perçu dans certaines équipes comme une couche réglementaire supplémentaire plutôt que comme un levier de résilience : les bénéfices concrets (meilleure robustesse opérationnelle, réduction des incidents majeurs, amélioration de la qualité des relations fournisseurs) sont encore peu objectivés dans les messages internes.
5.
Organiser sa relation avec les régulateurs
Les autorités de supervision attendent désormais, au-delà de la conformité « documentaire », une démonstration concrète de la résilience opérationnelle numérique. La relation proactive avec les superviseurs – Autorité de contrôle prudentiel et de résolution (ACPR), Banque Centrale Européenne (BCE), autres autorités nationales – devient un facteur clé pour anticiper les attentes et gérer les revues DORA.
Les enseignements à retenir
Le point faible récurrent a été une posture trop réactive : lorsqu’une demande arrive, l’organisation cherche l’information, reconstitue les preuves et consolide les versions. Cela fonctionne ponctuellement, mais beaucoup moins lorsque les sollicitations se répètent et se précisent. Autre difficulté : démontrer la résilience « au-delà des documents ». Les superviseurs attendent une cohérence d’ensemble (pilotage, incidents, tests, tiers, remédiations) et une capacité à expliquer rapidement ce qui est maîtrisé, ce qui est en cours, et pourquoi.
Une amélioration simple consiste à constituer un « pack DORA » prêt à l’emploi : gouvernance, indicateurs, principaux livrables, cartographie des fonctions critiques/importantes, état des tiers, incidents significatifs et retours d’expérience, résultats de tests et plans d’action. Ce pack doit être maintenu en rythme (trimestriel, par exemple), faute de quoi il se dégrade.
Le dialogue précoce sur les zones de difficulté – par exemple la qualité des données des registres, le statut de certains fournisseurs critiques, la maturité TLPT (tests de pénétration fondés sur la menace) – n’a pas toujours été recherché, ce qui accroît le risque d’injonctions tardives ou de plans d’actions supervisés en 2026-2027.
6.
Mettre en place des coopérations externes productives
Le règlement DORA met en avant l’importance des partenariats externes, en particulier dans la gestion des fournisseurs de services TIC. Travailler en étroite collaboration avec ces partenaires externes permet de garantir leur conformité et leur capacité à respecter les exigences de résilience opérationnelle.
Les enseignements à retenir
Le frein principal a été contractuel et lié à la « chaîne de dépendances ». Les renégociations ont buté sur les droits d’audit, la notification d’incidents, l’accès à certaines informations, l’encadrement de la sous-traitance et la capacité du prestataire à participer à des tests. De nombreuses entités ont également découvert qu’elles ne maîtrisaient pas suffisamment la profondeur de la chaîne de sous-traitance, ou qu’elles ne disposaient pas des leviers nécessaires pour obtenir des engagements et des preuves au bon niveau.
En 2026, la priorité est d’industrialiser un modèle de gestion des tiers orienté vers la résilience : segmentation par criticité, exigences proportionnées, clauses standardisées, comités fournisseurs centrés sur les risques, les incidents et les remédiations plutôt que sur la seule performance. Le levier concret repose sur un addendum DORA type, des exigences de preuves (et non uniquement des engagements déclaratifs), et une gouvernance fournisseur capable de traiter les exceptions, les impasses contractuelles et les dépendances structurelles.
7.
Anticiper la gouvernance du maintien de sa conformité
La conformité à DORA n’est pas une action unique, mais un processus continu qui, à la différence d’autres réglementations, ne sera pas matérialisé par une homologation interne. Il est donc essentiel d’anticiper la gouvernance à long terme et de définir les mécanismes permettant de maintenir cette conformité dans la durée.
Les enseignements à retenir
Beaucoup d’organisations ont constaté que « tenir » DORA est plus difficile que « passer » DORA. La première année a mis en évidence un déficit de mécanismes de maintien : politiques peu révisées, contrôles insuffisamment reliés aux processus de change IT, gestion des exceptions imprécise et formation continue limitée. En l’absence d’une gouvernance BAU (Business as Usual) robuste, la conformité se dégrade progressivement au fil des migrations, de l’intégration de nouveaux prestataires, des évolutions d’architecture et des changements organisationnels.
La meilleure amélioration consiste à créer un « run DORA » explicite, reposant sur des routines simples : revue périodique des indicateurs, revue des incidents et des plans d’action, revue des tiers et des changements majeurs, revue de la qualité du registre et pilotage des écarts. L’objectif est d’arrimer DORA aux mécanismes déjà incontournables (contrôle interne, comités risques, ITSM), plutôt que d’ajouter une couche parallèle. Lorsque DORA est intégré aux circuits existants, son maintien devient naturellement soutenable.
8.
Piloter sa conformité par les livrables et les preuves de conformité
Les superviseurs attendent des preuves tangibles, structurées et facilement accessibles, plus que de simples déclarations de conformité. Les livrables et artefacts deviennent ainsi des objets de pilotage à part entière : registres, rapports, tableaux de bord, plans de tests, comptes rendus d’incidents.
Les enseignements à retenir
La production des livrables a parfois été réalisée « en silo » (registre d’un côté, plans de tests de l’autre, reporting incidents séparé), sans modèle de données commun ni référentiel central, ce qui complique la capacité à démontrer rapidement la cohérence d’ensemble.
L’automatisation demeure limitée : de nombreuses entités collectent encore les preuves de conformité de manière largement manuelle (exports Excel, pièces jointes), avec un risque élevé d’obsolescence, d’erreurs et une faible capacité de réponse rapide aux sollicitations des superviseurs.
9.
Démontrer sa conformité par un processus adapté
Au-delà de la production de documents, il s’agit de démontrer la cohérence globale des dispositifs : comment les risques TIC sont identifiés, traités et monitorés, et comment l’organisation gère concrètement un incident majeur. La storyline de la résilience doit être compréhensible par le management, les auditeurs et les superviseurs.
Les enseignements à retenir
Sur le terrain, l’écart le plus visible a été celui entre les procédures formalisées et leur exécution effective, notamment lors de la gestion d’incidents majeurs : qualification, escalade, coordination, collecte des informations, communication et interactions avec les prestataires. Les rôles sont souvent connus, mais la mécanique globale n’a pas été suffisamment exercée. Il en résulte une difficulté à produire une storyline cohérente, intelligible pour le management et défendable en audit, en particulier sous contrainte de temps.
Les tests et exercices (y compris TLPT) restent parfois abordés comme des obligations ponctuelles, avec une boucle de retour d’expérience et de remédiation incomplète, ce qui limite la capacité à démontrer une amélioration continue de la posture de résilience.
10.
Être bien accompagné
et bien outillé
La complexité et la transversalité de DORA justifient fréquemment le recours à des expertises externes ciblées et à des outils adaptés, au moins durant les phases de cadrage et d’industrialisation. L’enjeu consiste à transformer l’investissement initial en gains durables en matière de pilotage et d’efficacité opérationnelle.
Les enseignements à retenir
De nombreuses institutions ont investi dans des outils GRC ou des solutions présentées comme « DORA ready », mais l’intégration avec les systèmes existants – base de données de gestion des configurations (CMDB), gestion des systèmes informatiques (ITSM), outils achats, solutions de BCM) ainsi que leur adoption par les équipes opérationnelles demeurent incomplètes.
L’appui de consultants ou d’experts externes a parfois été concentré sur les phases de diagnostic et de gap analysis, avec un transfert de compétences insuffisant vers les équipes internes pour assurer le run, gérer les mises à jour réglementaires et absorber les futures vagues de supervision.
