DORA : prêts pour une nouvelle étape ?

L’adoption et la mise en œuvre du règlement DORA le 17 janvier dernier avaient un double objectif : fixer un haut niveau d’exigence en matière de résilience numérique des entités financières, mais aussi simplifier et harmoniser un cadre réglementaire déjà foisonnant en la matière. Côté pile, l’utilisation des nouvelles technologies s’est traduite par des opportunités et des gains d’efficacité importants. Côté face, elle est source de risques comme les menaces cyber ou une dépendance accrue à des prestataires devenus incontournables. L’instabilité géopolitique, ainsi que des incidents plus classiques mais de grande ampleur comme la coupure de courant généralisée en Espagne à l’été 2025, plaident pour un très haut niveau de résilience opérationnelle des entités financières. Pour ce faire, DORA s’est construit autour de quatre piliers (voir infographie).

Par ailleurs, cette réglementation s’est inscrite pleinement dans le chantier européen de simplification du cadre réglementaire et de supervision. Elle s’applique à l’ensemble du système financier, selon un principe de proportionnalité. De surcroît, sa mise en œuvre se traduit par la suppression de plusieurs textes européens de niveau 3, comme les lignes directrices de l’Autorité bancaire européenne (ABE) sur la gestion du risque informatique ou celles de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) sur le recours des organismes d’assurance aux services en nuage. Enfin, pour le secteur financier, la conformité à DORA vaudra conformité à la directive NIS2, selon la doctrine lex specialis.

DORA doit surtout être vu comme une réglementation aidant les entités financières à renforcer leur résilience numérique. C’est une boîte à outils permettant de faciliter la gestion du risque informatique. Voici quelques exemples concrets. En permettant une meilleure réactivité de l’ensemble des acteurs de la Place financière, le nouveau processus de notification des incidents majeurs contribuera à éviter la propagation d’incidents cyber. À la clé : une contribution à la stabilité financière. La tenue et la mise à jour d’un registre des prestataires informatiques incitent, elle, l’ensemble des entités financières à mener un travail de cartographie exigeant, mais indispensable. Objectif : identifier les processus les plus critiques et favoriser une réaction efficace en cas d’incidents.

En précisant les clauses à mentionner dans les contrats des entités financières avec des prestataires fournissant des services en lien avec la fourniture de fonctions critiques ou importantes, DORA doit permettre de rééquilibrer la relation entre les entités financières et les plus gros prestataires. Enfin, la mise en place par les autorités européennes de surveillance (AES) – l’ABE, l’AEAPP et l’Autorité européenne des marchés financiers – d’un cadre de surveillance des fournisseurs informatiques les plus critiques doit contribuer à s’assurer de leur niveau de résilience.

L’appropriation de DORA par l’ensemble des entités financières est un enjeu important. Ainsi, il est utile de revenir sur deux aspects mis en œuvre en 2025. D’abord, la première collecte des registres d’information. Cet outil doit être tenu et mis à jour en permanence par les entités financières. Il vise, pour chacune d’elles, à avoir une vision exhaustive de l’ensemble des prestataires de services TIC impliqués dans leurs activités, notamment les plus critiques d’entre elles. Il doit permettre d’identifier les risques de dépendance et de s’en prémunir, mais également d’être plus réactif dans le cadre d’un incident survenant par le truchement d’un tiers. Par ailleurs, l’exploitation de ces registres sur la base de critères définis par le règlement permet de définir la liste des prestataires tiers critiques qui seront surveillés par les AES.

Cette première collecte de registres d’information a été difficile. Il n’est pas possible de s’en satisfaire et il est important que la situation se normalise en 2026 (voir encadré). En effet, si la majorité des entités assujetties au contrôle de l’ACPR sont bien parvenues à effectuer une remise sur le portail de collecte ACPR (OneGate), le registre d’information de moins de 40 % d’entre elles a pu être pris en compte sur le portail européen.

Ensuite, le suivi des incidents majeurs. Tout incident considéré comme majeur au sens des critères de classification DORA¹ doit désormais être notifié aux autorités compétentes. Ce dispositif a pour objectif d’assurer une plus grande réactivité des entités comme des autorités publiques et, en permettant une analyse rapide de la situation, déclencher les mécanismes de gestion de crise adéquats.

Concernant le processus de notification, si la situation s’améliore progressivement, son appropriation reste encore perfectible. L’ACPR a mis à jour à plusieurs reprises une Foire aux questions sur son site Internet et, récemment, une maquette commentée a été mise à disposition afin de faciliter la remise. Cependant, des efforts doivent encore être réalisés dans les trois directions suivantes : le respect des délais de remise, la mise en place d’un outillage adéquat et le respect des critères de qualification des incidents.

Le nombre de notifications reçues par l’ACPR entre le 17 janvier et le 31 août 2025 apparaît élevé avec près de 100 ! Ce n’est pourtant pas le signe d’une augmentation du profil de risque cyber. Le champ des notifications DORA est en effet très large, puisqu’il inclut l’ensemble des incidents informatiques et ne se limite donc pas aux incidents cyber, qui représentent environ un cinquième de l’ensemble des incidents notifiés. Par ailleurs, on peut constater que près de 60 % des notifications sont relatives à des incidents impliquant un tiers. Cela plaide pour la mise en place d’un cadre de gestion du risque de tiers efficace au niveau des entités financières. Le reste des incidents sont liés à des défaillances internes, ce qui plaide là aussi pour la mise en place d’une gestion du risque informatique adéquate. La gestion de l’obsolescence et des changements sont des enjeux importants pour éviter la survenance de tels incidents.

La remise des registres d’information et les notifications d’incidents majeurs resteront un enjeu majeur dans les mois à venir. L’ACPR restera disponible pour accompagner la Place dans cet exercice. Pour autant, l’année 2026 devrait marquer pour l’ACPR une montée en puissance progressive et proportionnée des activités de supervision de la conformité à DORA.

L’accent devrait être mis sur l’évolution du cadre de gestion des risques TIC, en s’assurant en particulier qu’une gouvernance adéquate est en place et que les instances dirigeantes des entités financières disposent d’une compétence collective sur ces questions. Elles ne doivent pas rester cantonnées dans la sphère technique. La gouvernance est systématiquement une brique essentielle des dispositifs de gestion des risques. La conformité des contrats des entités financières avec leurs prestataires tiers aux dispositions de DORA constituera également un domaine d’intérêt. Enfin, pour les acteurs financiers les plus importants, les premiers tests d’intrusion avancés fondés sur la menace devraient débuter. Précision importante : ils ne se substituent pas aux programmes de tests qui doivent être mis en place par l’ensemble des entités financières.

En parallèle, l’année 2026 marquera l’entrée en fonction des Joint Examination Teams, ces équipes chargées de la surveillance des prestataires informatiques critiques (CTPP), composées d’agents des autorités européennes de surveillance et des autorités nationales compétentes. L’ACPR contribuera activement à ces équipes. Cette nouveauté doit substantiellement renforcer la résilience numérique des entités financières en s’assurant que certains des prestataires incontournables auxquels elles ont recours appliquent eux-mêmes les standards de résilience le plus exigeants. Cela ne signifie pas pour autant que les entités ne sont plus responsables de leurs relations contractuelles avec ces entités.