La réglementation DORA impose dès 2025 un tournant majeur dans la gestion des risques numériques pour les acteurs financiers européens.
En janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) entrera en vigueur. Ce texte ambitieux entend renforcer la résilience opérationnelle des entités financières face aux risques liés aux technologies de l’information et de la communication. Une révolution réglementaire qui s’annonce décisive dans un contexte de cybermenaces croissantes et d’interconnexions numériques toujours plus denses. Notre partenaire LockSelf revient sur cette petite révolution numérique.
Né dans le sillage de la stratégie numérique européenne, DORA ne se contente pas de fixer des règles générales : il impose un cadre strict, unifié et contraignant à l’ensemble des acteurs financiers de l’Union européenne. Banques, compagnies d’assurance, gestionnaires d’actifs mais aussi fintechs ou prestataires de services informatiques critiques sont concernés. L’objectif : garantir que chaque maillon de la chaîne soit capable de prévenir, détecter, résister et se remettre d’un incident numérique majeur. Cette volonté d’harmonisation répond à une urgence : celle de restaurer la confiance dans un écosystème économique fragilisé par les cyberattaques et les défaillances techniques.
La crise sanitaire a agi comme un catalyseur. Elle a poussé le secteur financier à s’appuyer massivement sur les outils numériques, exposant davantage les systèmes à des risques systémiques. En réponse, la Commission européenne a proposé en septembre 2020 le règlement DORA, adopté fin 2022, et désormais en phase d’implémentation dans tous les États membres. Le compte à rebours est lancé.
« DORA vient formaliser une exigence de cybersécurité qui était encore trop souvent traitée comme un simple enjeu IT, alors qu’elle constitue aujourd’hui un risque stratégique de premier plan », souligne LockSelf, éditeur de solutions de cybersécurité, dans son livre blanc. L’approche de DORA repose sur cinq piliers fondamentaux : la gouvernance des risques TIC, la gestion des incidents, les tests de résilience, la surveillance des tiers fournisseurs et la transparence réglementaire. Chacun de ces piliers exige une documentation rigoureuse, des processus clairement établis et une capacité de réponse éprouvée.
L’un des points les plus novateurs — et sensibles — de DORA réside dans l’élargissement de la responsabilité des entreprises aux prestataires externes de services numériques. Désormais, un incident survenant chez un fournisseur cloud ou un partenaire IT stratégique peut entraîner la responsabilité directe de l’établissement financier client. Cette mesure vise à combler un vide juridique longtemps décrié par les régulateurs, en plaçant la chaîne de sous-traitance sous surveillance active des autorités compétentes, telles que l’EBA, l’EIOPA et l’ESMA.
« La résilience opérationnelle devient une obligation, pas une option » — un virage réglementaire sans précédent pour les établissements financiers européens.
Pour se conformer à DORA, les entreprises doivent avant tout réaliser une cartographie complète de leurs systèmes d’information critiques. Cette cartographie ne doit pas rester théorique : elle doit être vivante, mise à jour en temps réel et intégrée aux mécanismes d’alerte. En cas d’incident majeur, la capacité de l’organisation à identifier rapidement les ressources impactées conditionne sa survie. LockSelf recommande notamment de centraliser et chiffrer l’ensemble des données sensibles, tout en assurant une traçabilité complète des accès et des échanges.
Autre exigence centrale : la mise en place d’un plan de continuité d’activité et de reprise après sinistre (PCA/PRA) efficace. Ces plans, longtemps relégués à des audits sporadiques, doivent désormais être testés régulièrement et validés par des scénarios réalistes, allant de la panne technique au cyber-sabotage. La simulation devient un outil de résilience à part entière.
Le signalement des incidents constitue aussi une pierre angulaire du dispositif. Toute entité concernée devra notifier dans des délais très courts (24 heures dans certains cas) les autorités compétentes en cas d’événement cyber significatif. L’idée n’est pas seulement de réagir, mais d’anticiper l’effet domino d’une attaque sur le reste de l’écosystème. Cette logique de transparence s’inscrit dans une dynamique européenne de partage d’information, notamment à travers le réseau EU-CyCLONe.
La relation avec les prestataires tiers est également bouleversée. Les contrats devront désormais inclure des clauses précises sur la sécurité, la résilience et l’auditabilité des services fournis. Et pour les fournisseurs jugés critiques, un registre central sera mis en place au niveau européen. En clair, les entreprises ne peuvent plus ignorer le niveau de cybersécurité de leurs sous-traitants : elles doivent le maîtriser.
« DORA s’attaque au maillon faible de la cybersécurité : la chaîne de sous-traitance numérique, trop longtemps laissée dans l’ombre. »
Dans ce contexte, les solutions de cybersécurité comme celles proposées par LockSelf prennent une importance stratégique. Gestion des accès, coffre-fort numérique, chiffrement bout en bout, traçabilité des actions : autant d’outils qui deviennent indispensables pour démontrer sa conformité. Mais au-delà des outils, c’est la culture de la cybersécurité qui doit évoluer. La résilience ne se décrète pas, elle s’organise au quotidien, avec l’implication des directions générales, des équipes IT, mais aussi des métiers.
La Banque de France, via son portail eSURFI, a déjà publié des lignes directrices précises pour la collecte et l’analyse des informations liées à DORA. Ces orientations doivent permettre une meilleure uniformisation des pratiques, mais elles mettent aussi en lumière l’ampleur de la tâche. Pour de nombreux établissements, se mettre en conformité implique une refonte complète de leur gouvernance numérique. C’est un effort de long terme, qui nécessitera des moyens humains, techniques et budgétaires conséquents.
Certaines voix s’élèvent pour pointer le risque de surcharge réglementaire, notamment pour les petites structures financières. Si DORA prévoit une certaine proportionnalité, les exigences restent élevées, et le calendrier serré. Les sanctions en cas de non-conformité ne sont pas encore entièrement définies, mais les autorités ont d’ores et déjà annoncé leur volonté de faire preuve de fermeté.
DORA s’inscrit dans une tendance plus large de l’Union européenne, déjà à l’œuvre avec le RGPD pour les données personnelles, le NIS2 pour la cybersécurité des infrastructures critiques ou encore le projet CRA (Cyber Resilience Act). L’Europe entend affirmer sa souveraineté numérique et protéger son système financier face à des menaces qui ignorent les frontières.
À neuf mois de l’échéance, le secteur financier européen entre dans une phase d’ajustement décisive. Pour réussir cette transition, les entreprises doivent non seulement investir dans la technologie, mais aussi dans la formation, l’analyse des risques, la gouvernance et le dialogue avec les autorités. L’enjeu est immense : il ne s’agit pas seulement de respecter une norme, mais de bâtir une économie numérique résiliente, digne de la confiance des citoyens.
