Depuis un an, l’écosystème financier européen est en ébullition autour d’un mot devenu incontournable : DORA, pour Digital Operational Resilience Act. Adopté fin 2022 et entré en vigueur début 2023, ce règlement impose à l’ensemble du secteur – banques, assurances, mutuelles, entreprises d’investissement, établissements de paiement, sociétés de gestion, infrastructures de marché et, plus largement, l’ensemble des fournisseurs de services informatiques essentiels à ces acteurs – de se préparer à un bouleversement profond de leurs pratiques de cybersécurité et de gestion des risques.
“DORA rebat toutes les cartes du secteur”
Depuis son entrée en vigueur en janvier 2025, DORA impose un nouveau cadre aux entités financières et technologiques. L’année 2024, quant à elle, a servi de véritable phase de transition : tests, ajustements et montée en puissance. Tous les acteurs ont revu leurs dispositifs, anticipé les contrôles, reconsidéré leur dépendance aux prestataires technologiques et découvert la réalité concrète de ce règlement. Déjà, la préparation à DORA agit comme un catalyseur de mutation, révélant les forces et les faiblesses des organisations, et préfigurant les bouleversements que son application stricte va entraîner.
Ce qui frappe d’abord, c’est la profondeur du changement de culture imposé par DORA. Là où, jadis, les règles s’empilaient dans un souci de conformité formelle, le nouveau règlement invite à repenser la gestion du risque de bout en bout. Il ne s’agit plus seulement de cocher des cases ou de publier des rapports rassurants : l’enjeu est d’assurer, en toutes circonstances, la continuité des activités critiques, même en cas de cyberattaque majeure ou d’incident technique. Le ton s’est nettement durci, notamment en ce qui concerne la gouvernance des systèmes d’information, la gestion des sous-traitants, et l’obligation de tester, documenter, prouver la robustesse des dispositifs. Beaucoup d’établissements ont ainsi revu l’organisation de leurs cellules de crise, développé des plans de continuité plus réalistes et multiplié les simulations d’incidents.
“Résilience, transparence, auditabilité : les nouveaux mots d’ordre”
Mais le principal bouleversement de la période concerne sans doute la façon dont les établissements financiers appréhendent désormais la gestion du risque lié à leurs prestataires tiers. Longtemps, banques et assurances ont minimisé l’impact que pouvaient avoir, sur leur propre système d’information, les failles de sécurité, les interruptions de service ou encore la gestion défaillante des incidents chez leurs partenaires technologiques. DORA a mis en lumière cette réalité et obligé tous les acteurs à revoir de fond en comble leur cartographie des dépendances, à contractualiser chaque point critique, et à exiger de leurs fournisseurs les mêmes garanties de robustesse et de transparence que pour leurs propres équipes. Cette dynamique a d’ailleurs rebattu les cartes du marché : les donneurs d’ordre se sont montrés bien plus exigeants, poussant certains prestataires à se réorganiser, à renforcer leur documentation, à investir dans des outils de gestion des risques, sous peine de perdre des contrats essentiels. On a vu émerger de nouvelles offres de services estampillées « DORA-ready », du reporting automatisé à la cartographie dynamique des dépendances, en passant par des plateformes de gestion de crise clé en main.
Cette montée en puissance de l’exigence n’est pas sans conséquence pour les petites structures, fintech ou sous-traitants modestes, parfois désarmés face à la complexité des audits et des contrôles. Là où les grandes banques disposent de directions entières dédiées à la conformité, nombre de PME du secteur financier découvrent qu’un simple incident de sécurité, mal géré ou mal communiqué, peut désormais entraîner une sanction immédiate, voire une perte de licence. Les premières vagues de contrôles, en France comme ailleurs en Europe, ont été pédagogiques mais fermes : des rappels à l’ordre, des plans de remédiation imposés, et parfois des mises à l’index publiques en cas de manquement grave. Il est frappant de constater que les superviseurs, ACPR en France, BaFin en Allemagne, ou DNB aux Pays-Bas, partagent désormais leurs retours d’expérience pour harmoniser les pratiques et pousser tout le monde vers un niveau d’exigence supérieur.
Un autre aspect révolutionnaire du DORA réside dans la généralisation des tests de résilience opérationnelle. Si les grands groupes étaient déjà rompus à l’exercice, le règlement impose désormais à tous, quelle que soit la taille, de mener des simulations d’incident, des tests de pénétration pilotés par la menace (TLPT), et de documenter précisément chaque exercice. L’enjeu n’est plus de simuler pour la forme, mais de tirer des enseignements concrets : points de blocage, lenteur de réaction, défauts de coordination entre les métiers et l’IT, etc. Cette discipline nouvelle s’est parfois heurtée à des résistances internes, à la peur de l’échec, mais elle commence à porter ses fruits. Certaines institutions admettent désormais ouvertement leurs failles, investissent dans la formation continue, et se dotent d’outils de pilotage en temps réel qui dépassent le simple reporting réglementaire.
“La conformité ne suffit plus, la preuve devient la norme”
Ce virage culturel se double d’une mutation technique et organisationnelle. Dans le sillage de DORA, les établissements financiers ont massivement investi dans des solutions d’automatisation de la surveillance, de la gestion des incidents et du reporting. Les outils de SIEM (Security Information and Event Management), déjà présents chez les grands acteurs, se sont banalisés. Mais DORA pousse à aller plus loin : il faut maintenant pouvoir fournir des preuves tangibles de la gestion des risques, tracer les actions correctives, justifier la sélection des prestataires, et démontrer la résilience non seulement du système propre à l’entreprise, mais de toute la chaîne de dépendances. Cela a mis en lumière un enjeu souvent sous-estimé : la gestion de l’interopérabilité entre outils, la cohérence des formats de reporting, et la capacité à partager l’information de manière fluide entre directions métiers, IT et conformité.
En France, ce mouvement a pris une coloration particulière. Les régulateurs, conscients des spécificités du tissu économique, alternent pédagogie et fermeté. Les grands groupes bancaires ont servi de locomotive, poussant leurs partenaires et fournisseurs à monter en gamme. On a vu certaines fintech françaises choisir de se rapprocher de groupes plus solides pour mutualiser les efforts de conformité. D’autres, au contraire, misent sur l’agilité et l’innovation pour développer des solutions sur mesure capables de répondre rapidement aux exigences du régulateur. Ce dynamisme se traduit aussi par une prise de conscience accrue du rôle des fournisseurs européens, dans un contexte de souveraineté numérique qui a gagné en importance depuis le début de la décennie.
Mais tout n’est pas encore parfait. Le terrain révèle un contraste saisissant entre les grands acteurs, globalement matures, et le reste du marché, qui peine parfois à suivre le rythme effréné de la mise en conformité. L’absence d’harmonisation complète au niveau européen se fait sentir, notamment sur la question du reporting et des standards techniques à respecter. Beaucoup d’établissements regrettent la multiplication des couches de contrôle, qui finit par peser sur la réactivité et la capacité d’innovation. Il n’est pas rare d’entendre des responsables IT pointer la complexité croissante des outils, le manque de personnel qualifié, ou encore l’empilement des exigences venues de DORA, NIS2, RGPD, DSP2, qui, combinées, exigent une coordination rarement atteinte dans la réalité.
En même temps, les premiers cas concrets de sanctions commencent à marquer les esprits. L’an dernier, plusieurs institutions financières en Espagne et aux Pays-Bas ont fait l’objet de rappels à l’ordre, voire de sanctions financières, pour ne pas avoir suffisamment documenté la gestion des risques liés à leurs prestataires ou pour des défaillances dans la remontée des incidents majeurs. Ces décisions, largement relayées dans la presse spécialisée, servent de signal fort à tout le secteur : la “compliance box”, où il suffisait de déclarer des procédures sans les appliquer réellement, appartient désormais au passé. L’heure est à la preuve, à l’auditabilité, et à la capacité de démontrer, lors de contrôles inopinés, la solidité des dispositifs de résilience opérationnelle.
Du côté des prestataires technologiques, la réaction a été à la fois pragmatique et stratégique. Beaucoup ont fait évoluer leur offre pour inclure des outils de suivi et de reporting adaptés à DORA, mais tous n’avancent pas au même rythme. Les donneurs d’ordre deviennent plus sélectifs, exigeant des garanties de sécurité accrues, des certifications à jour, et une capacité à collaborer sur des exercices de crise simulée. Cette montée des exigences a créé des opportunités pour certains, mais aussi des tensions pour les plus petits, qui peinent à s’aligner sur les attentes, notamment en matière de documentation et d’automatisation des processus.
Le bilan, à ce stade, est contrasté. DORA a permis de hisser le niveau d’exigence global, d’imposer une discipline du risque plus mature, et de repositionner la question de la résilience au cœur de la stratégie des entreprises financières. Mais il reste beaucoup à faire, en particulier pour que les PME et acteurs plus modestes disposent des outils, compétences et ressources nécessaires pour franchir ce nouveau cap. Les prochains mois seront décisifs, car les contrôles devraient s’intensifier, la pression sur les délais s’accentuer, et les exigences en matière de reporting et de documentation se préciser encore. Les institutions qui auront investi dans l’humain, l’organisation et la technologie seront mieux armées pour traverser les crises à venir.
“Une mutation profonde, loin d’être achevée”
Ce que révèle la préparation à DORA, c’est sans doute la fin d’une certaine insouciance face au risque numérique. Dans une Europe qui a choisi de faire de la résilience opérationnelle un pilier de sa stratégie financière, chaque incident, chaque faille, chaque manquement devient un enjeu collectif. Loin d’être une simple contrainte administrative, DORA invite tous les acteurs à repenser en profondeur leur relation à la technologie, à l’interdépendance, et à l’incertitude. Pour beaucoup, la route est encore longue, mais le cap est désormais fixé : l’excellence opérationnelle, la transparence et l’anticipation du risque sont appelées à devenir la norme, dans un secteur où la confiance est plus que jamais l’actif le plus précieux.
