Entré en application le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) impose aux établissements financiers européens un cadre exigeant de résilience opérationnelle numérique. Banques, assurances, sociétés de gestion, prestataires de services de paiement : personne n'est épargné. Plus d'un an après son entrée en vigueur, le bilan que nous dressons auprès de nos clients du secteur financier est contrasté : si les grandes structures ont largement avancé sur leur mise en conformité, de nombreux établissements de taille intermédiaire peinent encore à boucler l'ensemble des chantiers.
📌 DORA s'applique à plus de 22 000 entités financières en Europe. Les amendes en cas de non-conformité peuvent atteindre 1 % du chiffre d'affaires mondial journalier moyen.
Pourquoi DORA change la donne
Avant DORA, la résilience numérique des acteurs financiers reposait sur un empilement de textes sectoriels, parfois redondants, parfois contradictoires d'un État membre à l'autre. DORA unifie ce cadre à l'échelle européenne et introduit une nouveauté majeure : la supervision directe des prestataires TIC critiques (cloud providers, éditeurs de logiciels stratégiques) par les autorités européennes elles-mêmes, et non plus seulement par les régulateurs nationaux. Concrètement, cela signifie que les grands fournisseurs cloud utilisés par les banques européennes peuvent désormais être audités directement par l'Autorité bancaire européenne (ABE).
Les 5 piliers de DORA à maîtriser
1. Gestion des risques liés aux TIC
Chaque entité doit disposer d'un cadre de gestion des risques informatiques documenté, révisé annuellement. Ce cadre doit couvrir l'identification, la classification et la gestion des actifs critiques, ainsi que la cartographie des dépendances. En pratique, cela implique la mise en place d'un référentiel d'actifs informationnels exhaustif : applications, infrastructures, flux de données, relié à une analyse de criticité métier. Beaucoup d'établissements découvrent à cette occasion des zones d'ombre dans leur système d'information : applications historiques non documentées, dépendances croisées entre filiales, ou encore prestataires de second rang non identifiés.
2. Gestion des incidents
DORA impose un processus structuré de détection, classification et notification des incidents significatifs. Les incidents majeurs doivent être reportés aux autorités compétentes (ACPR, AMF) selon un calendrier précis : notification initiale sous 4h, rapport intermédiaire sous 72h, rapport final sous 30 jours. Ces délais, particulièrement courts, nécessitent une automatisation poussée de la chaîne de détection et d'escalade. Nos consultants recommandent systématiquement la mise en place d'un classifieur d'incidents pré-paramétré, permettant à l'équipe SOC de qualifier rapidement la criticité d'un événement selon les critères réglementaires (nombre de clients impactés, durée d'indisponibilité, perte de données).
3. Tests de résilience opérationnelle
Les entités dites "importantes" doivent réaliser des tests TLPT (Threat-Led Penetration Testing) tous les 3 ans. Pour les autres, des tests basiques annuels suffisent. Le prestataire de test doit être certifié. Les tests TLPT s'inspirent directement du cadre TIBER-EU et nécessitent une coordination étroite entre l'équipe rouge (attaquants simulés), l'équipe bleue (défenseurs) et le régulateur, qui valide le scénario d'attaque avant son exécution. Ce type de test, plus exigeant qu'un pentest classique, mobilise généralement une équipe dédiée pendant plusieurs semaines.
4. Gestion des risques tiers
C'est probablement l'axe le plus complexe. Chaque contrat avec un prestataire de services TIC critique doit inclure des clauses spécifiques : droit d'audit, plans de sortie, localisation des données, SLA de disponibilité. Au-delà de la simple révision contractuelle, DORA impose la tenue d'un registre des prestataires TIC à jour en permanence, avec une cartographie complète des sous-traitants en cascade. Nos équipes constatent que cette obligation de transparence sur la chaîne de sous-traitance est souvent le point le plus chronophage de la mise en conformité, car elle nécessite la collaboration active de fournisseurs parfois réticents à partager le détail de leur propre écosystème.
5. Partage d'informations
DORA encourage (sans l'imposer) le partage d'informations sur les cybermenaces entre entités financières, via des accords de partage encadrés. Plusieurs places financières ont déjà mis en place des cercles d'échange sectoriels, permettant une remontée rapide d'indicateurs de compromission entre établissements concurrents. Cette dynamique, encore émergente début 2026, devrait se renforcer à mesure que les autorités encouragent ces initiatives collaboratives.
Ce que nos équipes constatent sur le terrain
Après plusieurs mois d'accompagnement de clients dans leur mise en conformité DORA, nos consultants GRC identifient trois zones de fragilité récurrentes :
- La cartographie des fournisseurs TIC est souvent incomplète ou non à jour
- Les contrats existants avec des prestataires cloud n'intègrent pas les clauses DORA requises
- Les processus de gestion d'incidents existent mais ne respectent pas les délais de notification imposés
À ces trois points s'ajoute une difficulté plus structurelle : la gouvernance transverse. DORA implique en effet la coordination de plusieurs directions habituellement cloisonnées, la DSI, les achats, la conformité, le juridique et la gestion des risques. Sans pilotage transversal clairement attribué, les chantiers avancent en silos et les incohérences s'accumulent. Nos consultants recommandent la désignation d'un responsable DORA unique, rattaché directement à la direction des risques, doté d'un mandat clair pour arbitrer entre les directions.
Le calendrier de supervision pour 2026
L'ABE et l'ESMA ont publié fin 2025 leur feuille de route de supervision pour l'année en cours. Les premiers contrôles cibleront en priorité les établissements ayant déclaré un nombre élevé d'incidents majeurs en 2025, ainsi que les acteurs n'ayant pas encore transmis leur registre d'information sur les prestataires TIC critiques. Pour les établissements de taille intermédiaire qui n'ont pas encore finalisé leur mise en conformité, l'urgence est donc réelle : un contrôle inopiné peut survenir à tout moment, et les autorités ont d'ores et dit qu'elles ne feraient preuve d'aucune tolérance excessive pour les manquements aux délais déjà passés.
Par où commencer ?
Notre recommandation : démarrez par un état des lieux des 5 piliers face aux exigences de votre autorité de supervision. Cela prend 3 à 4 semaines avec un consultant dédié, et vous permet d'établir une feuille de route priorisée et budgétisée. Cette phase de cadrage initial doit déboucher sur un plan d'action hiérarchisé selon trois niveaux d'urgence : les non-conformités exposant à un risque réglementaire immédiat, celles nécessitant un investissement structurant (refonte contractuelle avec les prestataires critiques, par exemple), et les actions d'amélioration continue à intégrer dans le cycle annuel de gouvernance des risques.
Le budget à prévoir selon la taille de l'établissement
Le coût d'une mise en conformité DORA varie fortement selon la taille et la maturité initiale de l'établissement. Pour une structure de taille intermédiaire disposant déjà d'une fonction de gestion des risques structurée, le budget de mise en conformité oscille généralement entre 200 000 et 500 000 euros, répartis entre le conseil, les outils de gestion de la chaîne de sous-traitance, et le renforcement des capacités de tests de résilience. Pour les grands établissements bancaires opérant à l'échelle européenne, ce budget peut dépasser plusieurs millions d'euros, notamment en raison de la complexité de la cartographie des dépendances entre filiales et de la multiplication des contrats à renégocier avec les prestataires critiques. Dans tous les cas, nos consultants recommandent de ne pas sous-estimer le temps nécessaire à la conduite du changement interne : la mise en conformité DORA n'est pas qu'un projet technique, c'est aussi un effort d'acculturation des équipes métiers aux nouvelles exigences contractuelles et opérationnelles.
Questions fréquentes sur l'application de DORA
Mon établissement est-il considéré comme "important" ou seulement "standard" au regard de DORA ? : La distinction repose principalement sur la taille de l'établissement (bilan, nombre de clients), sa nature systémique pour le secteur financier national, et la criticité des services qu'il propose. Les autorités de supervision publient des seuils indicatifs, mais la qualification définitive relève souvent d'une analyse au cas par cas en lien avec le régulateur compétent.
Les filiales d'un groupe non européen sont-elles concernées ? : Oui, dès lors qu'elles opèrent et fournissent des services financiers sur le territoire de l'Union européenne, indépendamment de la localisation du siège social du groupe.
Faut-il une certification spécifique pour être conforme DORA ? : Non, DORA ne prévoit pas de certification formelle comme peut l'être ISO 27001. La conformité s'évalue via les contrôles et audits menés directement par les autorités de supervision compétentes, sur la base des registres et documentations que l'établissement doit tenir à jour en permanence.
L'impact sur la relation avec les fournisseurs cloud
La mise en conformité DORA a profondément transformé la nature des échanges entre établissements financiers et fournisseurs de services cloud. Les grands hyperscalers (AWS, Microsoft Azure, Google Cloud) ont dû adapter leurs offres contractuelles standard pour intégrer les clauses spécifiques exigées par le règlement : droit d'audit renforcé, engagement sur les plans de sortie, transparence sur la localisation des données. Pour les établissements financiers qui négocient ces contrats, le rapport de force avec ces fournisseurs mondiaux reste structurellement déséquilibré : il est rare qu'un établissement, même de taille significative, puisse imposer unilatéralement des clauses sur mesure à un hyperscaler. Nos consultants accompagnent donc nos clients dans une approche pragmatique, consistant à identifier les clauses standards déjà proposées par les principaux fournisseurs cloud en réponse à DORA, et à négocier ponctuellement les écarts résiduels les plus critiques au regard du profil de risque de l'établissement.
Besoin d'un accompagnement DORA ? Nos experts GRC interviennent sous 48h.