DORA : un nouveau standard de résilience numérique pour le secteur bancaire

Face à une vague croissante de menaces informatiques, la réglementation DORA (Digital Operational Resilience Act) s’impose comme un pilier pour la stabilité du secteur financier européen, telle que définie par le règlement (UE) 2022/2554 du 14 décembre 2022 relatif à la résilience opérationnelle numérique du secteur financier (DORA).

Les rapports récents de l’Agence européenne pour la cybersécurité (ENISA) mettent en évidence plusieurs centaines d’incidents significatifs en Europe sur une période de 18 mois, incluant rançongiciels, attaques par déni de service et compromissions de prestataires, en particulier dans le secteur financier (ENISA Threat Landscape 2024 / 2025).

Entrée en application le 17 janvier 2025, DORA vise à renforcer la résilience opérationnelle numérique de toutes les entités financières (banques, sociétés de gestion de portefeuille, infrastructures de marché et entreprises d’investissement) en harmonisant les exigences au niveau de l’Union européenne.

Elle introduit un cadre harmonisé, auditable et contraignant, là où prévalaient jusqu’alors des pratiques fragmentées, comme le rappelle la documentation de la Commission européenne sur la finance numérique et la présentation officielle de DORA.

Cette réglementation impose des exigences concrètes, notamment :

• La mise en place d’une gouvernance du risque TIC (technologies de l’information et de la communication) et de contrôles internes adaptés.
• La définition claire des incidents majeurs et leur processus de signalement aux autorités compétentes.
• Un encadrement renforcé des relations avec les prestataires de services TIC, en particulier lorsqu’ils fournissent des fonctions critiques ou importantes.

1. Les défis majeurs pour les entités financières

Se conformer à DORA représente un véritable chantier organisationnel pour les établissements financiers, qui doivent adapter leurs modèles de gestion des risques, leurs systèmes d’information et leurs relations contractuelles avec les prestataires.

Parmi les principaux défis opérationnels :

• La tenue rigoureuse d’un registre des prestataires et services TIC, permettant d’identifier les services critiques ou importants et de documenter les relations contractuelles.
• La requalification des services clés pour identifier ceux dont l’interruption serait inacceptable pour la continuité des activités.
• La gestion d’un calendrier de mise en conformité dans des délais restreints, compte tenu de l’entrée en application en janvier 2025.
• La formation ciblée du personnel, ainsi que la responsabilisation de la gouvernance pour prendre des décisions conformes aux exigences de résilience opérationnelle.
• La mise en place de procédures de remontée d’incidents, de traçabilité et d’auditabilité des preuves de résilience.

La réussite de cette mise en conformité suppose une coopération étroite entre les métiers, les fonctions risques, la conformité et l’IT, ainsi qu’un budget dédié à l’adaptation des processus et des outils.

2. Prouver et pérenniser la résilience : un impératif de long terme

La réglementation DORA introduit une véritable obligation de résilience pour les entités financières, qui doivent désormais être en mesure de la démontrer. Elle harmonise les attentes de supervision pour l’ensemble du secteur, en alignant notamment les pratiques en matière de langages informatiques, d’alertes et de gestion des incidents. DORA entraîne ainsi davantage de transparence, tant du côté des entités financières que des fournisseurs, notamment via la requalification de certains services en « critiques », ce qui renforce la coopération et la participation de tous aux phases de tests.

Afin de garantir la conformité à cette norme et aux standards de la BCE, plusieurs actions doivent être mises en œuvre par les entités financières :

• Assurer une revue continue de la résilience, afin de maintenir une conformité permanente à DORA. Cela implique la mise en place d’un comité récurrent, s’appuyant sur des indicateurs concrets (actions, incidents, décisions) pour orienter de manière cohérente les politiques à mener.
• Garantir la fiabilité des données du ROI et la bonne tenue de ce registre. L’enjeu est de pouvoir présenter, lors d’un examen, des informations sécurisées et crédibles, issues d’un registre à jour, en s’appuyant sur les modèles officiels de la BCE et sur des contrôles automatiques pour garantir la mise à jour.
• Suivre la requalification de certains fournisseurs désignés comme « critiques » afin d’anticiper leur supervision directe. Les entités doivent se préparer à fournir des preuves et à ajuster leurs exigences contractuelles, notamment en étant capables de déployer un ensemble d’éléments d’examen (preuves de tests, contrats critiques ou non, etc.).
• Mettre à jour les contrats si nécessaire, en vérifiant l’effectivité des clauses clés. Il s’agit de pouvoir présenter aux autorités des clauses valides et de limiter le risque en cas de sortie d’un fournisseur, ce qui suppose d’auditer un échantillon de contrats « critiques » et d’anticiper les mises à niveau.
• Vérifier régulièrement la capacité à prévenir, détecter, répondre et reprendre les tests. Cela implique de cibler et de prioriser les fonctions essentielles, comme les paiements, afin d’éviter les doublons, et de planifier un calendrier de tests avec différentes échéances, scénarios et responsables clairement identifiés.
• Émettre des signalements (alertes, rapports) dans le respect des délais légaux, afin de disposer d’un processus clair et sécurisé et de démontrer aux autorités une gestion maîtrisée des incidents. Pour cela, il est nécessaire d’intégrer les formulaires officiels dans les outils et d’organiser des exercices dédiés.
• Former et maintenir à niveau les équipes techniques pour préserver leurs compétences. Compte tenu de la montée en complexité des outils et services, l’enjeu est de maîtriser et de pérenniser le savoir-faire, en définissant un plan de formation adapté, éventuellement articulé avec les phases de tests et faisant appel, au besoin, à des formateurs externes.

3. L’après DORA : quelles évolutions à venir ?

Depuis la publication de la version finale du Guide de la BCE relatif à l’externalisation des services en cloud vers des prestataires de ce type de services en juillet 2025, les attentes prudentielles en matière de cloud se précisent dans le prolongement de DORA.

Ce guide, relayé notamment par la Banque de France, détaille :

• La gestion du risque de concentration lorsqu’un petit nombre de grands fournisseurs cloud hébergent une part significative des services critiques des établissements.
• Les exigences de réversibilité réelle et de stratégies de sortie (exit strategies) en cas de changement ou de défaillance de prestataire.
• Le droit d’accès aux preuves techniques, aux journaux, aux rapports d’audit et aux tests, permettant aux autorités comme aux établissements supervisés de vérifier la conformité et la résilience des services externalisés.

Dans un contexte où il existe une pression croissante sur le secteur financier, avec une augmentation des attaques ciblant les services de paiement, les infrastructures de marché et les prestataires technologiques, souvent facilitées par l’usage de l’intelligence artificielle (phishing plus crédible, industrialisation des campagnes, attaques automatisées), la résilience devient un enjeu stratégique majeur.

Les établissements les plus avancés investissent désormais dans :

• Des architectures permettant la bascule multi‑région des services critiques, pour limiter l’impact d’une indisponibilité régionale.
• Des modes dégradés maîtrisés, assurant la continuité des services vitaux même en cas de panne majeure ou d’incident de sécurité significatif.
• Des capacités renforcées de détection et de réponse, avec des tests techniques réguliers malgré la rareté des profils experts en cybersécurité, s’inscrivant dans l’esprit des exigences DORA en matière de tests de résilience.