Le Digital Operational Resilience Act (DORA) est aujourd’hui l’un des piliers de la transformation réglementaire dans le secteur financier européen. En instituant des règles contraignantes sur la résilience opérationnelle numérique, DORA impose aux institutions financières et à leurs prestataires technologiques de se préparer à résister, répondre et se relever face aux perturbations informatiques — qu’elles soient liées à des attaques, à des pannes ou à des défaillances internes.
1. Contexte et objectifs de DORA
L’Union européenne a adopté DORA pour pallier une faiblesse majeure : la dépendance croissante des entités financières aux systèmes ICT (technologies de l’information et de la communication). Cette dépendance amplifie les risques opérationnels numériques, notamment :
la cyberattaque,
les interruptions de service,
les défaillances logicielles ou matérielles,
la vulnérabilité induite par les tiers fournisseurs technologiques.
DORA vise à homogénéiser et renforcer le cadre de contrôle sur les technologies numériques dans le secteur financier, afin d’éviter les ruptures systémiques transfrontalières.
Les obligations essentielles pour les institutions financières
DORA impose plusieurs obligations structurantes, notamment :
un cadre de gestion des risques ICT (identification, classification, contrôle).
la supervision des fournisseurs tiers ICT (audit, clauses contractuelles minimales) et maintien d’un registre d’information sur les relations avec ces tiers.
la notification d’incidents ICT majeurs aux autorités compétentes selon des délais définis.
des tests de résilience opérationnelle (scénarios de stress, tests dirigés par la menace selon la criticité). l’échange d’informations sur les menaces et incidents entre entités du secteur.
un mécanisme de surveillance accru des fournisseurs critiques ICT directement par les autorités européennes.
DORA touche un large spectre d’entités : banques, sociétés d’assurance, gestionnaires d’actifs, prestataires de paiement, crypto-assets, fintechs, et bien sûr les fournisseurs ICT.
2. État d’avancement et timeline
2.1 Naissance et entrée en vigueur
16 janvier 2023 : DORA est publié au Journal officiel de l’Union européenne et entre en vigueur.
17 janvier 2025 : DORA devient applicable, c’est-à-dire que les entités concernées doivent être en conformité.
La période 2023–2025 a servi de phase transitoire pour que les institutions adaptent leurs systèmes.
2.2 Déploiements techniques et documents de normalisation
17 juillet 2024 : publication du deuxième paquet de normes techniques (RTS / règles déléguées) pour clarifier les exigences.
Les entités ont dû anticiper la création de registre d’information fournisseurs, audits internes, intégration des clauses contractuelles et tests de résilience au cours de 2023–2024.
2.3 Impacts prévus en 2026 et au-delà
Bien que la date d’application soit passée, l’impact opérationnel se déploiera durablement :
Renforcement des contrôles des tiers,
Audits réglementaires plus fréquents,
Sanctions financières possibles et mise en cause de la responsabilité des dirigeants en cas de non-conformité.
Un constat apparaît déjà, six mois après la mise en œuvre : près de la moitié des établissements déclarent avoir consacré plus d’1 million d’euros à la mise en conformité, avec des pressions internes croissantes sur les équipes.
3. Implications stratégiques et opérationnelles
3.1 Gouvernance renforcée
Sous DORA, la direction générale (Tant le mandat d’administration que les organes exécutifs) porte la responsabilité de la résilience opérationnelle. Elle doit valider les stratégies ICT, surveiller les incidents, s’assurer de la conformité et approuver les plans de test.
3.2 Gestion des fournisseurs tiers ICT
Les relations contractuelles avec les fournisseurs technologiques deviennent critiques. Les institutions doivent :
appliquer des clauses minimales de sécurité (audit, plan de sortie, reporting),
maintenir un registre d’information fournisseurs,
surveiller les risques de concentration dans l’écosystème des prestataires.
Les fournisseurs critiques peuvent désormais être soumis à une supervision directe des autorités européennes.
3.3 Hétérogénéité de maturité
Selon la taille et les ressources, les institutions financières seront à des stades variés de conformité. Les grandes banques disposent souvent de politiques de risque IT établies, tandis que certains acteurs plus petits ou fintechs peuvent éprouver des difficultés à aligner leurs processus à temps.
Ce décalage peut entraîner des coûts élevés pour rattraper le retard, notamment sur les systèmes hérités (legacy systems).
4. Retours d’expérience et tendances actuelles
À l’occasion des premières rencontres plénières organisées par les régulateurs européens à l’automne 2025, plusieurs enseignements se dégagent :
La mise en conformité a permis une meilleure coordination entre RSSI, directions des risques et juridiques.
Le coût de mise en œuvre reste élevé : certaines banques estiment y consacrer plus d’un million d’euros.
Les institutions ayant intégré DORA à leur plan de continuité (BCM) constatent une réduction des délais de réaction face aux incidents.
Les prestataires technologiques, quant à eux, adaptent leurs offres pour répondre aux nouvelles exigences contractuelles et d’audit.
Dans l’ensemble, DORA est perçu non comme une contrainte, mais comme un levier de gouvernance et de confiance. Les directions financières et les DSI y voient une occasion d’aligner stratégie, conformité et performance opérationnelle.
DORA marque une étape décisive dans la construction d’un espace financier européen plus sûr et plus résilient.
En imposant une discipline commune à tous les acteurs, la réglementation oblige à repenser la culture de la résilience numérique.
Les établissements qui s’en saisissent dès maintenant en tireront un bénéfice durable : une meilleure gestion du risque, une confiance accrue des clients, et une conformité solide face à un cadre réglementaire appelé à se renforcer encore dans les années à venir.
