DORA est obligatoire depuis janvier : pourquoi deux tiers des institutions financières ne respectent pas les exigences

Depuis le 17 janvier 2025, DORA est un droit applicable. Le règlement européen sur la résilience opérationnelle numérique oblige plus de 22 000 entreprises financières dans l’UE à mettre en place une gestion uniforme des risques ICT. Quinze mois après son entrée en vigueur, le constat est clair : seule la moitié des établissements concernés avait atteint la conformité complète à la date limite. Le deuxième Register of Information est exigible en mars 2026 – et 46 pour cent des établissements désignent précisément cette obligation comme leur plus grand défi.

L’essentiel en bref

Ce qui distingue DORA des régulations IT précédentes

Les entreprises financières sont habituées à la régulation. MaRisk, BAIT, directives de l’EBA – la liste des cadres réglementaires pour la sécurité IT et la gestion des risques opérationnels est longue. DORA constitue néanmoins un changement de paradigme, et ce pour trois raisons.

Premièrement : Applicabilité directe. DORA est un règlement européen, pas une directive. Il s’applique directement et sans transposition nationale dans tous les États membres de l’UE. Il n’y a pas de marge d’interprétation, pas d’atténuations nationales et plus de délais de transition. Ce qui était applicable le 17 janvier 2025 l’est encore aujourd’hui. Les autorités de surveillance nationales comme la BaFin en Allemagne ou la FMA en Autriche appliquent DORA directement, sans qu’une loi de transposition nationale soit nécessaire. Pour les établissements qui travaillaient jusqu’ici principalement avec des cadres réglementaires nationaux, cela signifie un renforcement des exigences assorti d’une surveillance plus étroite.

Deuxièmement : Couverture de l’ensemble de la chaîne d’approvisionnement ICT. DORA ne se limite pas à l’établissement financier lui-même. Le règlement couvre explicitement tous les prestataires ICT tiers – fournisseurs cloud, plateformes SaaS, opérateurs de centres de données, fournisseurs de services managés. Les entreprises financières doivent évaluer, documenter et piloter les risques de l’ensemble de leur chaîne d’approvisionnement ICT. Les contrats avec les prestataires tiers doivent comporter des clauses obligatoires en matière de sécurité, de résilience et de capacité de sortie.

Troisièmement : Le Register of Information. DORA exige de chaque établissement financier un registre complet de tous les contrats de services ICT conclus avec des prestataires tiers. Ce registre doit pouvoir être présenté aux autorités de surveillance sur demande. La deuxième soumission est exigible en mars 2026. Ce qui ressemble à une obligation documentaire est en pratique un inventaire qui pousse de nombreuses organisations aux limites de leurs processus – parce qu’elles doivent pour la première fois recenser de manière exhaustive quels services ICT externes elles utilisent réellement. La difficulté est d’autant plus grande que le format et la granularité de la livraison des données sont précisément définis par des normes techniques de réglementation (RTS). Une simple liste Excel ne suffit pas.

Le déficit de conformité : 50 pour cent non prêts à la date limite

L’enquête Deloitte Wave 3 sur la mise en œuvre de DORA dresse un tableau sobre. Seuls 50 pour cent des établissements financiers comptaient sur une conformité complète à la date d’application de janvier 2025. 38 pour cent supplémentaires ont indiqué 2026 comme objectif. Les 12 pour cent restants n’avaient au moment de l’enquête aucun calendrier concret.

Cela ne signifie pas que la moitié des établissements était inactive. Beaucoup ont satisfait à des exigences individuelles – mis en place des frameworks de gestion des risques ICT, défini des processus de reporting d’incidents, effectué les premiers ajustements contractuels avec des prestataires tiers. Mais la conformité complète exige que les cinq piliers soient en place simultanément : gestion des risques ICT, gestion des incidents, tests de résilience, gestion des risques liés aux tiers et Register of Information. C’est le dispositif complet qui pose problème. Mettre en œuvre les piliers isolément ne suffit pas – DORA exige un framework intégré dans lequel tous les éléments s’articulent entre eux et sont documentés de manière vérifiable par les autorités de surveillance.

Les coûts ne constituent pas le principal goulet d’étranglement. 96 pour cent des établissements ont chiffré leurs coûts de conformité, la plupart se situant entre 2 et 5 millions d’euros. Pour les grands établissements, ce sont des montants gérables. Ce qui manque, ce ne sont pas les moyens, mais la capacité organisationnelle de faire avancer tous les chantiers en parallèle.

Tous secteurs confondus, un schéma se dessine : les grands établissements systémiques disposent de plus de ressources, mais font face à plus de complexité. Ils sont en outre soumis au Threat-Led Penetration Testing et directement surveillés par les autorités de surveillance européennes. Les petits établissements subissent moins de pression réglementaire, mais disposent aussi de moins de personnel spécialisé. La catégorie intermédiaire – banques régionales, assureurs spécialisés, gestionnaires d’actifs – tombe le plus souvent dans le déficit de conformité : trop grande pour les exemptions, trop petite pour des équipes DORA dédiées.

La question qui se pose pour chaque direction générale n’est pas de savoir si la conformité DORA doit être atteinte – cela ne fait l’objet d’aucune discussion. La question est de savoir si l’organisation parvient à utiliser la conformité comme un avantage stratégique plutôt que comme un simple fardeau réglementaire. Les établissements qui ont rendu leur chaîne d’approvisionnement ICT transparente et pilotable peuvent réagir plus rapidement aux perturbations, changer de prestataire plus efficacement et démontrer une plus grande résilience auprès de leurs clients et partenaires.

Où la mise en œuvre échoue : trois goulets d’étranglement

Le Register of Information. 46 pour cent des établissements financiers citent le ROI comme le plus grand défi individuel dans la mise en œuvre de DORA. La raison : beaucoup d’organisations ne savent pas intégralement quels services ICT elles utilisent. Le shadow IT et la fragmentation des circuits d’approvisionnement font que les contrats se trouvent dans différents départements, parfois sans enregistrement centralisé. Le ROI exige un niveau de granularité dans la documentation que les processus opérationnels de nombreux établissements ne permettent tout simplement pas.

Gestion des prestataires ICT tiers. DORA ne demande pas seulement un inventaire, mais une évaluation active des risques de tous les prestataires tiers ainsi que la garantie de standards de résilience contractuellement ancrés. Pour un établissement financier moyen comptant 50 à 200 prestataires ICT, c’est un projet qui mobilise simultanément les achats, le service juridique, l’IT et la gestion des risques. 39 pour cent des établissements ont affecté 5 à 7 équivalents temps plein exclusivement à la conformité DORA. Huit pour cent n’ont pas encore estimé leurs besoins en personnel.

Tests de résilience. DORA prescrit des tests réguliers de la résilience opérationnelle numérique, y compris le Threat-Led Penetration Testing (TLPT) pour les établissements systémiques. Ces tests requièrent un savoir-faire spécialisé rarement disponible en interne. La capacité de testeurs externes qualifiés est limitée, les délais de préparation sont longs. De nombreux établissements se trouvent dans la situation de connaître l’obligation de test sans disposer, ni en interne ni en externe, des ressources pour la mettre en œuvre dans les délais.

La question de la responsabilité : personnelle et lourde

DORA durcit la responsabilité à tous les niveaux. Le régime de sanctions est progressif et touche aussi bien l’institution que les personnes responsables.

Les établissements financiers peuvent se voir infliger des amendes allant jusqu’à 2 pour cent de leur chiffre d’affaires annuel mondial. Pour une banque de taille moyenne réalisant 2 milliards d’euros de chiffre d’affaires, cela correspond à une sanction potentielle de 40 millions d’euros. S’y ajoute la responsabilité personnelle : le Senior Management peut être sanctionné personnellement à hauteur de 1 million d’euros en cas de manquements avérés en matière de conformité.

Point particulièrement pertinent pour la stratégie IT : les prestataires ICT tiers critiques peuvent également être sanctionnés directement. Les Lead Overseers peuvent imposer des amendes de 1 pour cent du chiffre d’affaires mondial quotidien moyen – par jour d’infraction. Cela crée une nouvelle dynamique dans les négociations avec les fournisseurs cloud et les opérateurs de plateformes : la conformité DORA n’est plus seulement l’affaire de l’établissement financier, mais de l’ensemble de la chaîne d’approvisionnement.

Les autorités de surveillance disposent sous DORA de pouvoirs étendus : accès aux documents et aux données, inspections sur site et injonction de mesures correctives. Les États membres peuvent en outre prévoir des sanctions pénales. L’application n’est plus seulement théorique – elle a commencé. Les premiers contrôles sont en cours, les autorités de surveillance renforcent activement leurs capacités et les régimes de sanctions des États membres se concrétisent progressivement.

Ce que font les établissements pragmatiques maintenant

Les établissements qui comblent systématiquement leur déficit de conformité suivent une approche en trois phases.

Phase 1 : Prioriser le Register of Information. Le ROI est la preuve de conformité la plus visible et le principal obstacle individuel. Qui livre ici signale aux autorités de surveillance sa capacité d’action. L’approche pragmatique : ne pas attendre la perfection totale, mais démarrer avec le portefeuille de contrats existant, documenter les lacunes et présenter un plan de complétion traçable. Les autorités de surveillance évaluent la progression, pas seulement le statu quo.

Phase 2 : Échelonner les contrats avec les prestataires tiers par criticité. Les 200 prestataires ICT n’ont pas tous le même profil de risque. Les établissements qui priorisent efficacement classifient leurs prestataires par criticité et commencent l’adaptation des contrats par les prestataires Tier-1 – infrastructure cloud, systèmes bancaires centraux, systèmes de paiement. Les Tier-2 et Tier-3 suivent selon un calendrier défini. Cela réduit la charge de travail parallèle et libère des capacités pour les négociations les plus complexes.

Phase 3 : Ne pas reporter les tests de résilience. Le TLPT nécessite de l’anticipation, du personnel spécialisé et une préparation interne. Les établissements qui ne commencent la planification qu’en 2026 se heurteront à des goulets d’étranglement en matière de capacité chez les testeurs externes. La solution pragmatique : conclure dès maintenant des contrats-cadres avec des prestataires TLPT et élaborer les premières définitions de périmètre, même si les tests eux-mêmes n’interviennent que plus tard. La préparation représente la moitié de la conformité.

Sur l’ensemble des trois phases, une règle s’impose : la conformité DORA n’est pas un projet avec une date de fin, mais un modèle opérationnel permanent. Le Register of Information doit être mis à jour annuellement, les tests de résilience doivent être réalisés régulièrement et la gestion des risques ICT doit être adaptée en continu aux nouvelles menaces. Les établissements qui planifient DORA comme un projet de conformité ponctuel échoueront au prochain contrôle.

Un aspect est fréquemment sous-estimé dans les discussions sur la mise en œuvre : la dimension culturelle. DORA exige que la gestion des risques ICT soit perçue comme une responsabilité de direction. La responsabilité n’incombe pas au seul département IT, mais à l’organe de direction de l’établissement financier. Les membres du conseil d’administration doivent approuver la stratégie de risque ICT, la réviser régulièrement et en justifier l’adéquation auprès des autorités de surveillance. Cela requiert un niveau de compétence ICT au niveau de la direction qui, dans de nombreux établissements, reste à construire.

Le constat honnête : DORA n’est pas un tigre de papier. La combinaison de la responsabilité personnelle, de la responsabilité des prestataires tiers et de l’applicabilité directe en fait la régulation IT la plus efficace que le secteur financier européen ait jamais connue. Qui traite cela comme un simple projet de conformité du département IT sous-estime la dimension stratégique. DORA transforme la manière dont les établissements financiers pilotent l’ensemble de leur paysage ICT – de l’approvisionnement à la réponse aux incidents.

Questions fréquentes

Image de titre : Pexels / Christian Wasserfallen (px:7327875)