DORA prépare-t-il suffisamment les acteurs financiers aux crises cyber ?

Luana, DORA est entré en vigueur en janvier 2025. Six mois après, quel premier bilan tirez-vous ?

Ce qui frappe, c’est d’abord l’ampleur du changement. DORA ne concerne pas seulement les grandes banques : plus de 22 000 entités financières et fournisseurs technologiques sont dans le scope en Europe. Cela inclut les établissements financiers bien sûr, mais aussi les assureurs, les fintechs, et surtout tous leurs prestataires TIC : hébergeurs, opérateurs télécoms, éditeurs de logiciels, fournisseurs cloud…

Le premier constat, c’est que beaucoup d’organisations se sont demandé : « Sommes-nous vraiment prêts ? » Cette question a provoqué un questionnement en profondeur sur la maturité réelle de leur gouvernance SSI. Et c’est là tout l’intérêt de DORA : il ne s’agit pas simplement de cocher des cases, mais de construire une résilience opérationnelle durable.

Justement, vous parlez de « résilience » plutôt que de « conformité ». Quelle différence faites-vous ?

La conformité, c’est répondre aux exigences minimales d’un texte réglementaire. La résilience, c’est la capacité à maintenir vos activités critiques face à une cyberattaque, une panne majeure ou une défaillance de prestataire.

DORA va bien au-delà d’un simple exercice de conformité : le règlement oblige les organisations à se poser les bonnes questions. Où sont mes actifs critiques ? Quelles sont mes dépendances vis-à-vis de mes fournisseurs ? Suis-je capable de détecter un incident en temps réel et de réagir efficacement ? Est-ce que mes équipes sont formées pour gérer une crise cyber ?

Ces questions structurent une véritable gouvernance SSI. Les entreprises qui se contentent de « faire le minimum » pour être conformes passeront à côté de l’essentiel. Celles qui intègrent DORA comme un cadre de transformation stratégique se donnent les moyens de devenir plus robustes, plus réactives et, finalement, plus compétitives.

Concrètement, sur quels piliers repose DORA ?

DORA s’articule autour de cinq grands piliers, qui forment ensemble un cadre cohérent pour piloter la résilience numérique :

1. La gestion des risques TIC et cyber : il faut disposer d’une cartographie des actifs, identifier les vulnérabilités, évaluer les menaces et mettre en place des mesures de protection proportionnées.
2. La notification obligatoire des incidents majeurs : tout incident ayant un impact significatif doit être signalé aux autorités compétentes dans des délais très courts. Cela nécessite des processus de détection et de remontée d’information bien rodés.
3. Les tests de résilience numérique : DORA impose de tester régulièrement vos dispositifs de sécurité et de continuité. Pour les entités les plus critiques, cela peut aller jusqu’à des tests d’intrusion avancés menés par des autorités de supervision.
4. La gestion des risques liés aux prestataires tiers : c’est un des aspects les plus structurants. Vous devez cartographier vos dépendances, évaluer la criticité de chaque fournisseur, et vous assurer contractuellement qu’ils respectent des standards de sécurité équivalents aux vôtres.
5. Le partage d’informations sur les menaces : DORA encourage les acteurs du secteur financier à collaborer et à échanger sur les vulnérabilités et les attaques observées. C’est une approche collective de la cybersécurité.

Ces piliers ne sont pas indépendants. Ils s’inscrivent dans une logique globale où chaque brique renforce l’ensemble.

Vous avez mentionné les prestataires TIC. En quoi DORA change-t-il la donne pour eux ?

C’est probablement l’un des impacts les plus structurants de DORA. Les fournisseurs technologiques deviennent des maillons essentiels de la chaîne de résilience. Jusqu’à présent, beaucoup d’entre eux n’étaient pas directement soumis à des obligations réglementaires aussi strictes. Avec DORA, c’est terminé.

En juillet 2025, les Autorités européennes de surveillance ont publié un guide sur la supervision des fournisseurs tiers critiques, les fameux CTPP (Critical Third-Party Providers). Dès 2026, des équipes d’examen conjointes – les JET – évalueront directement ces prestataires : leur maturité, leurs dispositifs de résilience, leur capacité à notifier les incidents, leur conformité contractuelle.

Pour un hébergeur, un éditeur de logiciel ou un fournisseur cloud, ne pas être « DORA compatible » devient un risque business majeur. Les appels d’offres intègrent déjà ces critères. Les contrats en cours peuvent être résiliés si le prestataire ne démontre pas sa conformité.

Mais attention : ce n’est pas qu’une contrainte. C’est aussi une formidable opportunité de différenciation. Les fournisseurs qui sauront démontrer leur conformité, obtenir des certifications comme ISO 27001 ou SOC 2, et documenter clairement leurs dispositifs de sécurité deviendront des partenaires de confiance dans un écosystème où la transparence et la sécurité sont devenues des critères de choix.

Quelles actions concrètes recommandez-vous aux fournisseurs TIC pour se préparer ?

Plusieurs chantiers doivent être menés en parallèle, et ils ne sont pas exhaustifs :

1. Documenter vos dispositifs de sécurité : il faut être capable de démontrer ce que vous faites en matière de sécurité, de résilience, de gestion des incidents. Un prestataire qui ne peut pas produire cette documentation sera écarté.
2. Obtenir des certifications reconnues : ISO 27001, SOC 2, HDS selon votre secteur. Ces labels sont devenus des prérequis pour répondre aux appels d’offres.
3. Revoir vos clauses contractuelles : vos contrats doivent intégrer les exigences DORA, notamment en matière de notification d’incidents, de droit d’audit, de réversibilité et de continuité de service.
4. Tester vos plans de continuité : avoir un PCA/PRA sur le papier ne suffit plus. Il faut le tester régulièrement, en conditions réelles, et pouvoir démontrer que vous êtes capables de maintenir la continuité de service en cas de crise.
5. Mettre en place une capacité de notification rapide : en cas d’incident, vous devez être en mesure d’alerter vos clients financiers dans des délais très courts. Cela nécessite des processus clairs et des outils adaptés.

Et du côté des entités financières, quelles sont les bonnes pratiques pour gérer leurs prestataires ?

La gestion des risques liés aux tiers est devenue un exercice de gouvernance à part entière. Les entités financières doivent désormais :

• Cartographier leurs dépendances : identifier tous les prestataires TIC, évaluer leur criticité, comprendre les chaînes de sous-traitance.
• Évaluer la maturité cyber de leurs fournisseurs : ne plus se contenter d’une clause contractuelle, mais vérifier concrètement le niveau de sécurité via des audits, des questionnaires structurés ou des certifications.
• Contractualiser les exigences DORA : droit d’audit, obligation de notification, clauses de réversibilité, pénalités en cas de non-conformité.
• Planifier des stratégies de sortie ou de résilience : que se passe-t-il si un prestataire critique fait défaut ? Il faut avoir un plan B.

Ce travail de fond est indispensable. Mais il ne doit pas être perçu comme une charge administrative. C’est une démarche qui renforce la maîtrise des risques et améliore la qualité de la relation avec les prestataires.

DORA impose aussi des tests de résilience. Qu’est-ce que cela signifie en pratique ?

Les tests de résilience sont au cœur de la logique DORA. Avoir des politiques et des procédures, c’est bien. Mais encore faut-il vérifier qu’elles fonctionnent réellement en situation de crise.

DORA impose donc des tests réguliers, qui peuvent prendre plusieurs formes selon la criticité de l’entité :

• Tests d’intrusion pour évaluer la robustesse des systèmes face à des attaques réelles.
• Simulations de crise cyber pour tester la capacité de l’organisation à réagir, coordonner et communiquer en situation d’incident majeur.
• Tests de continuité d’activité pour vérifier que les plans de secours (PCA/PRA) permettent bien de maintenir les activités critiques.

Pour les entités les plus importantes, ces tests peuvent être menés directement par les autorités de supervision, dans le cadre du TLPT (Threat-Led Penetration Testing), un exercice très exigeant qui simule des attaques sophistiquées menées par des acteurs malveillants avancés.

L’objectif n’est pas de piéger les organisations, mais de les aider à identifier leurs failles avant qu’un attaquant réel ne les exploite.

Au-delà de la conformité, vous dites que DORA peut devenir un avantage concurrentiel. Comment ?

Exactement. Les entreprises qui voient DORA uniquement comme une contrainte réglementaire passent à côté de sa véritable valeur.

Premièrement, une organisation résiliente inspire confiance. Pour un client, savoir que son prestataire financier ou technologique est capable de résister à une cyberattaque majeure, c’est rassurant. Dans un secteur où la confiance est un actif stratégique, c’est un avantage compétitif réel.

Deuxièmement, DORA pousse les organisations à structurer leur gouvernance SSI, à investir dans la formation de leurs équipes, à moderniser leurs infrastructures, à rationaliser leurs relations avec leurs fournisseurs. Tout cela contribue à améliorer l’efficacité opérationnelle, à réduire les coûts liés aux incidents, et à accélérer la prise de décision.

Troisièmement, les organisations qui démontrent leur conformité DORA se positionnent favorablement sur les appels d’offres, attirent des partenaires de qualité, et peuvent négocier de meilleures conditions avec leurs assureurs cyber.

Bref, DORA est un investissement dans la pérennité de l’entreprise. C’est une opportunité de se transformer, de monter en maturité, et de se différencier dans un marché de plus en plus exigeant.

Quel message souhaitez-vous faire passer aux organisations qui abordent DORA ?

Mon message est simple : ne faites pas de DORA un projet ponctuel. Ce n’est pas une case à cocher avant de passer à autre chose.

DORA est un cadre vivant, qui doit évoluer avec vos métiers, vos technologies et les menaces que vous affrontez. C’est un moteur d’amélioration continue. Les organisations qui intégreront cette logique dans leur ADN — celles qui feront de la résilience numérique un pilier de leur stratégie — sortiront renforcées de cette transformation.

DORA porte une ambition collective : celle d’un écosystème financier et technologique plus robuste, plus sûr, plus transparent et plus compétitif. C’est une opportunité à saisir, pas une menace à subir.

En Résumé