Le règlement européen DORA, désormais pleinement appliqué, redéfinit la manière dont les acteurs financiers doivent piloter leurs risques IT et encadrer leurs prestataires technologiques. Dans cette tribune, Teresa Luana Putrino Vigneron, Responsable Activité Conseil et GRC chez SysDream, analyse les implications concrètes de cette évolution et explique comment transformer cette contrainte réglementaire en véritable avantage concurrentiel.
Entré pleinement en application le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) marque une étape décisive pour le secteur financier. En fixant un cadre exigeant de gestion des risques liés aux technologies de l’information et de la communication (TIC), il dépasse la seule logique de conformité : DORA engage les entreprises à inscrire la résilience numérique au cœur de leur gouvernance et de leur stratégie. À l’échelle européenne, plus de 22 000 entités financières et fournisseurs technologiques sont concernés par la directive, illustrant l’ampleur du changement structurel en cours.
Avant de pouvoir garantir la continuité des activités face à une attaque ou une défaillance technologique, les organisations doivent disposer d’une vision claire de leurs actifs, de leurs dépendances et de leurs processus critiques. DORA impose ainsi de renforcer les fondations de la gouvernance SSI : gestion des risques, supervision des prestataires, notification des incidents et culture de la résilience. Pour un grand nombre d’acteurs des secteurs financiers et assurantiels, cette mise en conformité s’est traduite par un questionnement en profondeur : disposent-ils des ressources, des compétences et de la maturité nécessaires pour répondre aux exigences ? Ce cadre devient alors un moteur de transformation, incitant les organisations à repenser leurs priorités et à bâtir des modèles opérationnels plus solides.
La gouvernance SSI, socle de la résilience numérique
DORA s’articule autour de cinq grands piliers : un cadre de gestion des risques TIC incluant le risque cyber ; la notification obligatoire des incidents majeurs ; des tests réguliers de résilience numérique ; la gestion rigoureuse des risques liés aux prestataires tiers ; et enfin, le partage d’informations sur les menaces et vulnérabilités entre acteurs du secteur financier.
Ces piliers structurent une approche nouvelle de la sécurité : la conformité ne suffit plus, elle doit se traduire par une gouvernance pilotée et mesurable. Les entreprises les plus avancées sont celles qui intègrent DORA dans un cadre global fondé sur la cartographie des actifs, la formalisation des politiques de sécurité, la supervision des sous-traitants et la mise en œuvre de tests en conditions réelles.
Cette approche proactive permet de dépasser la logique réglementaire pour tendre vers une résilience durable. Elle place la cybersécurité au cœur de la stratégie d’entreprise et en fait un levier d’amélioration continue, de confiance et de performance.
Une mise à niveau décisive pour les fournisseurs technologiques
Les prestataires TIC (hébergeurs, opérateurs télécoms, éditeurs, intégrateurs, fournisseurs cloud) sont désormais des maillons essentiels de la chaîne de résilience.
Le 15 juillet 2025, les Autorités européennes de surveillance (ABE, EIOPA, ESMA) ont publié un guide sur la supervision des fournisseurs tiers critiques en technologies de l’information et de la communication (CTPP). Cette deuxième phase, opérationnelle en 2026, verra la mise en place d’équipes d’examen conjointes (JET) chargées d’évaluer la maturité, les dispositifs de résilience et la conformité de ces CTPP.
De leur côté, les entités financières peuvent mettre en place plusieurs initiatives, bien qu’elles ne soient pas exhaustives, pour répondre aux attentes de la directive : une documentation claire des dispositifs de sécurité, l’obtention de certifications ISO 27001 ou SOC 2, des clauses contractuelles alignées sur le règlement, des plans de continuité testés ainsi qu’une capacité à notifier rapidement les incidents.
Être « DORA compatible » devient donc un prérequis business. Les appels d’offres intègrent déjà ces critères, et les prestataires qui ne pourront pas démontrer leur conformité s’exposeront à une perte d’accès aux marchés ou à des résiliations de contrats. Mais cette exigence constitue aussi une opportunité : en démontrant leur conformité, les fournisseurs se positionnent comme des partenaires de confiance dans un environnement où la sécurité et la transparence deviennent des leviers de compétitivité.
DORA, moteur d’amélioration continue, de pérennité et levier de confiance
La gouvernance SSI devient ainsi un élément structurant de la stratégie de résilience.
Les entreprises qui aborderont cette réglementation comme un simple projet de conformité passeront à côté de sa véritable portée. Celles qui en feront un cadre vivant, capable de s’adapter aux nouvelles menaces et d’évoluer avec leurs métiers, renforceront leur gouvernance, leur image et leur pérennité.
DORA, au-delà d’être une obligation réglementaire, porte une ambition : celle d’un écosystème financier et technologique plus robuste, plus sûr et plus compétitif, où la conformité devient le socle d’une amélioration continue et d’une performance durable.
