DORA est en vigueur : ce que la loi européenne sur la résilience opérationnelle signifie

Le 17 janvier 2025, le Digital Operational Resilience Act de l’Union européenne — DORA — est entré en pleine vigueur. Après deux ans de transition, la réglementation n’est plus un exercice de planification. Pour les banques, les assureurs, les entreprises d’investissement, les prestataires de services sur crypto-actifs et les fournisseurs technologiques qui les servent, DORA est désormais le socle opérationnel pour exercer une activité dans le secteur financier européen.

La réglementation représente un changement fondamental dans la façon dont les régulateurs traitent le risque technologique en finance. Là où les cadres précédents traitaient le risque lié aux TIC (technologies de l’information et de la communication) comme une sous-catégorie du risque opérationnel, DORA l’érige en discipline à part entière, avec ses propres pistes d’audit, ses exigences de test et ses chaînes de responsabilité tierces. Le postulat est simple : les services financiers modernes reposent sur des logiciels, et les défaillances logicielles peuvent déclencher des crises systémiques. DORA est la réponse de l’UE à cette réalité.

Ce que couvre réellement DORA

DORA (Règlement UE 2022/2554) s’applique à un large éventail d’entités financières — plus de 22 000 organisations à travers les États membres. Le champ d’application comprend :

• Les établissements de crédit (banques, caisses d’épargne)
• Les établissements de paiement et de monnaie électronique
• Les entreprises d’investissement et plateformes de négociation
• Les entreprises d’assurance et de réassurance
• Les prestataires de services sur crypto-actifs (PSCA) enregistrés sous MiCA
• Les contreparties centrales, agences de notation et prestataires de services de communication de données

Surtout, DORA s’applique également aux prestataires tiers de services TIC — c’est-à-dire les plateformes cloud, les éditeurs de logiciels bancaires, les fournisseurs d’analyses de données et tout fournisseur technologique critique pour les entités précitées. C’est ce qui différencie structurellement DORA des réglementations financières antérieures : le fournisseur technologique n’est plus un simple prestataire. Sous DORA, il devient une entité réglementée avec ses propres obligations.

Les cinq piliers de la conformité DORA

1. Gestion du risque TIC

Les entités financières doivent maintenir un cadre complet de gestion du risque TIC — non pas un document ponctuel, mais un système vivant. Cela implique une identification continue des actifs, une classification des menaces, une évaluation des risques et des contrôles documentés. Les conseils d’administration et la direction générale sont explicitement responsables : DORA impose des structures de gouvernance qui placent la supervision du risque TIC au niveau exécutif, et non dans des silos informatiques.

2. Déclaration des incidents

DORA introduit un régime harmonisé de déclaration des incidents, assorti de délais stricts. Les incidents TIC majeurs doivent être signalés à l’autorité compétente nationale dans des délais précis : une notification initiale dans les 4 heures suivant la classification, un rapport intermédiaire sous 72 heures, et un rapport final sur les causes profondes dans le mois. La définition d’un « incident majeur » est précise — les seuils couvrent le nombre de clients affectés, l’étendue géographique, la perturbation des volumes de transactions et l’ampleur des dommages réputationnels.

3. Tests de résilience opérationnelle numérique

C’est ici que DORA relève le plus visiblement la barre. Toutes les entités dans le champ d’application doivent réaliser des tests de résilience réguliers, incluant des évaluations de vulnérabilités et des tests basés sur des scénarios. Pour les établissements financiers d’importance, DORA impose des tests de pénétration pilotés par la menace (TLPT — Threat-Led Penetration Testing) — des exercices de red team avancés menés au moins tous les trois ans. Les TLPT doivent être réalisés par des testeurs certifiés et couvrir les systèmes de production, pas seulement les environnements de test. Les résultats alimentent directement le cadre de gestion des risques et sont communiqués aux superviseurs.

4. Gestion du risque lié aux tiers TIC

Chaque entité financière doit maintenir un registre complet et actualisé de tous les contrats TIC tiers et effectuer une diligence raisonnable sur les prestataires critiques. Les contrats avec les fournisseurs TIC critiques doivent inclure des clauses spécifiques : stratégies de sortie, droits d’audit, indicateurs de performance et — surtout — le droit pour le régulateur de l’entité financière d’auditer le fournisseur. Les chaînes de sous-traitance doivent être cartographiées et surveillées. Le risque de concentration — la dépendance excessive à un seul prestataire — doit être géré activement.

5. Partage d’informations

DORA encourage explicitement — et dans certains cas exige — que les entités financières partagent des informations sur les menaces et les vulnérabilités avec leurs pairs et les régulateurs, via des dispositifs désignés de partage d’informations sur les cybermenaces. C’est un choix politique délibéré : l’UE considère la cybersécurité du secteur financier comme un problème de défense collective, et non comme un avantage concurrentiel.

Qui est vraiment concerné — y compris les entreprises hors UE

La portée territoriale de DORA s’étend bien au-delà des frontières de l’UE. Toute entreprise TIC fournissant des services à des institutions financières européennes entre dans le champ d’application si ces services sont jugés critiques. Cela a des implications directes pour les géants technologiques mondiaux.

AWS, Microsoft Azure et Google Cloud sont tous scrutés comme de potentiels prestataires tiers de services TIC critiques (CITPP — Critical ICT Third-Party Providers). Les Autorités de surveillance européennes (EBA, ESMA, EIOPA) sont habilitées à désigner des prestataires spécifiques comme CITPP, ce qui déclenche un cadre de supervision direct : l’autorité désignée peut demander des informations, mener des enquêtes et infliger des amendes — quel que soit le siège du prestataire.

Concrètement, un fournisseur cloud dont le siège se trouve à Seattle ou à Dublin doit démontrer ses capacités de résilience conformes à DORA aux régulateurs européens si une part significative des institutions financières de l’UE dépend de son infrastructure. La portée extraterritoriale est intentionnelle — elle comble le vide de responsabilité qui existait lorsque les banques européennes externalisaient des fonctions critiques auprès de fournisseurs hors du périmètre réglementaire européen.

État de la conformité début 2026

L’application a démarré le 17 janvier 2025, mais le paysage de conformité début 2026 reste inégal. Des enquêtes sectorielles de fin 2024 ont révélé que moins de la moitié des institutions financières de l’UE se considéraient substantiellement conformes à DORA à la date limite d’application. Les domaines les plus difficiles :

• La mise en œuvre des TLPT — trouver des testeurs certifiés, définir le périmètre des tests sur les systèmes de production, et gérer la complexité juridique des tests d’intrusion sur une infrastructure bancaire en production
• La renégociation des contrats avec les tiers — de nombreux contrats fournisseurs hérités ne contiennent pas les droits d’audit et les clauses de sortie désormais exigés par DORA ; la renégociation prend du temps et requiert du pouvoir de négociation
• Les inventaires d’actifs TIC — de nombreuses banques de taille intermédiaire ont découvert que leurs registres d’actifs étaient incomplets ou obsolètes lorsqu’elles ont tenté de construire des cartographies des risques conformes à DORA
• L’analyse du risque de concentration — le degré de dépendance des secteurs financiers de certains pays de l’UE envers quelques fournisseurs cloud a produit des constats inconfortables dans plusieurs évaluations nationales

Les régulateurs ont signalé une approche de proportionnalité — les établissements plus petits font face à des obligations allégées dans le cadre du régime simplifié de gestion du risque TIC prévu par DORA pour les entités en dessous de certains seuils. Mais la proportionnalité ne signifie pas l’exemption. Toutes les entités dans le champ d’application doivent au minimum mettre en œuvre les exigences de base.

Ce que DORA signifie pour les fournisseurs cloud et technologiques

Pour les fournisseurs technologiques, DORA transforme durablement la relation commerciale avec les clients financiers. Ces derniers exigeront désormais des clauses contractuelles qui étaient auparavant de simples points de négociation — droits d’audit, précision des SLA, délais de notification des incidents et divulgation des sous-traitants. Les fournisseurs qui résistent à ces conditions risquent de perdre des marchés dans le secteur financier européen au profit de concurrents mieux préparés à la conformité.

Le processus de désignation CITPP est l’élément à plus forts enjeux pour les grands fournisseurs. Une désignation déclenche une surveillance réglementaire directe et peut imposer des exigences opérationnelles — telles que le maintien d’une infrastructure dédiée dans l’UE ou des garanties de résidence des données — qui entrent en conflit avec l’architecture globale d’un fournisseur. Plusieurs grands fournisseurs cloud ont investi dans des régions cloud souveraines européennes en anticipation de ces exigences.

Pour les startups fintech qui construisent des produits d’infrastructure ou du SaaS B2B destinés aux banques européennes, la conformité à DORA est de plus en plus un prérequis à la vente plutôt qu’un différenciateur. Les équipes d’achat des banques intègrent désormais des questionnaires DORA dans les processus d’intégration des fournisseurs.

Étapes pratiques de mise en conformité pour 2026

Pour les organisations qui travaillent encore à une conformité complète, la séquence de priorités est la suivante :

1. Réaliser l’inventaire des actifs TIC — on ne peut pas gérer ce qu’on ne voit pas. Cartographier tous les systèmes, flux de données et dépendances tierces avant tout.
2. Classifier et enregistrer les contrats tiers — construire le registre exigé par DORA, signaler les prestataires critiques et identifier les lacunes contractuelles.
3. Établir des protocoles de classification des incidents — définir à l’avance ce qui constitue un incident majeur selon les seuils DORA. Le délai de notification de 4 heures ne peut pas être interrompu par un débat interne sur la classification.
4. Planifier et financer les TLPT — pour les établissements d’importance, cela nécessite un budget, des testeurs externes certifiés et l’approbation du conseil. Les délais pour les prestataires TLPT qualifiés s’étendent de 6 à 9 mois.
5. Mobiliser le juridique sur la renégociation des contrats — prioriser les fournisseurs les plus importants et les plus critiques. Les clauses de stratégie de sortie sont non négociables sous DORA.
6. Informer le conseil d’administration — la gouvernance du risque TIC doit être visible au niveau exécutif. Les procès-verbaux du conseil doivent documenter les briefings et décisions relatifs à DORA.

DORA n’est pas un exercice de conformité ponctuel. C’est une discipline opérationnelle continue que les régulateurs auditeront, testeront et feront respecter. Les organisations qui la traitent comme une case à cocher trouveront le cycle de supervision 2026 plus inconfortable que la date limite d’application initiale.

Questions Fréquemment Posées

Sources et lectures complémentaires

• Règlement (UE) 2022/2554 — Digital Operational Resilience Act — EUR-Lex
• Vue d’ensemble et mise en œuvre de DORA — Autorité bancaire européenne (EBA)
• Règlement unique interactif DORA — ESMA
• Prestataires tiers de services TIC critiques sous DORA — S&P Global Market Intelligence
• Conformité DORA : ce que les institutions financières doivent faire — Deloitte