Le règlement européen sur la résilience opérationnelle numérique (Digital Operational Resilience Act, Dora) du 14 décembre 2022 s'applique depuis le 17 janvier 2025 à l'ensemble des acteurs du secteur financier, des banques aux assurances en passant par les infrastructures de marché. Son objectif est de renforcer la capacité des institutions à résister aux incidents informatiques.
"Cela va de la gouvernance - où les conseils d'administration et les comités exécutifs sont directement responsables de la gestion des risques - jusqu'aux pratiques techniques, comme l'analyse de risques, la continuité d'activité, la détection d'attaques et des tests avancés", résume Thomas Hutin, senior managing director à la tête du département dédié à la cybersécurité chez FTI Consulting.
Un changement d'échelle
Cette transversalité se ressent déjà dans les projets engagés. "Là où les tests ou les analyses de risques étaient concentrés dans les équipes cybersécurité, Dora pousse à les généraliser à l’ensemble des départements concernés. On change clairement d’échelle", ajoute l'expert. "Dora, ce n'est pas trois ou quatre obligations générales : on parle de plus de 450 exigences", précise-t-il.
Dans les faits, les institutions doivent donc bâtir de véritables plans de projet pour répondre point par point aux attentes du régulateur. "Le risque est de cocher des cases et d'oublier la finalité. Mais l'objectif reste bien la résilience opérationnelle, pas seulement la conformité."
La gestion des tiers, principal challenge
Le retour du terrain est clair : la gestion des tiers reste le chantier le plus complexe. Les institutions financières doivent désormais cartographier l’ensemble de leurs prestataires IT et mesurer leur niveau de sécurité. "C’est un vrai défi, quelle que soit la taille des entités", note Grégoire Lundi, senior director au sein du département dédié à la cybersécurité chez FTI Consulting et ancien coordinateur de la stratégie cyber à destination du secteur "Finances" au sein de l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Les institutions doivent cartographier l'ensemble de leur écosystème IT, identifier les prestataires critiques et s'assurer qu'ils respectent un minimum de standards de sécurité. "Renégocier les contrats avec les fournisseurs cloud, par exemple, est un exercice complexe, explique Grégoire Lundi. Cela nécessite des expertises juridiques autant que techniques. Le plus souvent, cela se fait à la date d'anniversaire des contrats."
Nouveauté majeure du texte : pour la première fois, les grands fournisseurs de cloud deviennent directement supervisés par les régulateurs financiers. En effet, dans le cadre de Dora, l'Union européenne a identifié certains prestataires technologiques comme "Critical Third-Party Providers" en raison du rôle central qu'ils jouent dans les services financiers. Leur concentration crée un risque systémique : une défaillance majeure chez un hyperscaler pourrait affecter simultanément de nombreuses institutions.
Pour limiter ce risque, une équipe conjointe de régulateurs financiers, coordonnée par l'Autorité bancaire européenne, est chargée de surveiller ces prestataires, de demander des audits et, si nécessaire, d'imposer des mesures correctives.
Des exigences proportionnées aux entités
Contrairement à d'autres normes, Dora ne repose pas sur une conformité binaire. "On ne peut pas parler de conformité stricte, car les exigences doivent être appliquées de manière proportionnée, en fonction du profil de risque, de la taille et la complexité des entités", explique Grégoire Lundi.
Les consultants constatent aussi que les exigences de tests de résilience et de notification d’incidents ne sont pas encore totalement intégrées. "Dora veut aller au-delà de simples tests unitaires. Il faut organiser de véritables exercices de crise, impliquant les équipes dirigeantes, comparables à des exercices d’évacuation incendie mais appliqués à la cybersécurité", souligne Thomas Hutin . Mais dans les faits, ces exercices sont encore souvent reportés face à d’autres priorités opérationnelles.
Même constat pour la notification des incidents : beaucoup d’établissements hésitent encore à prévenir rapidement leurs autorités de tutelle. "Il y a la peur d’avouer qu’on a été attaqué et la volonté de préserver l’image de l’entreprise. Pourtant, les régulateurs attendent que cette notification devienne un réflexe", insiste Grégoire Lundi. Les grandes institutions, déjà soumises à des obligations similaires, sont plus rodées. Mais pour les acteurs de taille moyenne ou petite, ce changement de culture est encore en cours.
La cybersécurité, l'affaire de tous
Au-delà des aspects techniques, les consultants insistent sur la dimension culturelle du texte. "C’est un effort collectif. Des départements qui n’étaient pas impliqués auparavant le deviennent. La cybersécurité doit devenir l’affaire de tous, comme la sécurité dans l’aéronautique", explique Thomas Hutin.
La plupart des institutions avancent encore avec des programmes de transformation, rarement finalisés à 100%. "On entend parfois que 5% des sociétés sont vraiment prêtes. Les 95% restantes sont encore en chantier", rapporte-t-il. Les initiatives collectives, menées dans les associations professionnelles du secteur, deviennent alors essentielles pour partager les pratiques et interpréter les exigences.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
