Après la mise en conformité, l’heure du contrôle.
Janvier 2025 marque une bascule discrète mais déterminante pour le secteur financier. Après deux années de préparation plus ou moins soutenues, le Digital Operational Resilience Act (DORA) entre pleinement en application.
Ce qui avait longtemps ressemblé à un horizon réglementaire flou devient soudain une réalité opérationnelle concrète : les audits commencent, et les régulateurs – à commencer par l’ACPR (l’Autorité de contrôle prudentiel et de résolution) – engagent leurs premières vagues de contrôle.
La réalité, toutefois est loin d’être homogène. Contrairement à l’impression parfois donnée, le secteur n’est pas uniformément prêt : une enquête Veeam du 17 juillet 2025 menée en EMEA (Europe Middle East & Africa) révèle que 96% d’entre elles estiment encore devoir renforcer leur résilience opérationnelle. Pour beaucoup d’acteurs, l’entrée en vigueur du règlement DORA n’est donc pas l’aboutissement d’un long travail, mais le début d’une phase plus exigeante : celle de la démonstration.
Un premier retour d’expérience : ce que révèlent les audits DORA.
Les premiers audits engagés sous l’égide de l’ACPR mettent en lumière une réalité indiscutable : Le règlement DORA n’est pas un exercice déclaratif. Les autorités attendent des preuves concrètes : journaux d’incidents, productions de tests de continuité, démonstrations de supervision des prestataires, tableaux de bord de résilience. Les échanges sont précis, structurés et orientés vers la vérification de faits tangibles.
Cette exigence place la gouvernance au premier plan. Pour les auditeurs, les différents volets du règlement DORA ne sont pas analysés isolément, mais comme les composantes d’un même dispositif. Le point d’entrée reste systématiquement le cadre de gestion des risques : c’est à partir de celui-ci que sont définies les priorités, les stratégies de résilience, les mécanismes de contrôle et les modalités de pilotage.
La cohérence attendue est donc globale. Les auditeurs cherchent à comprendre comment les risques sont identifiés et hiérarchisés, comment ces risques se traduisent en décisions opérationnelles, comment les responsabilités sont réparties et comment l’ensemble est décliné, y compris chez les prestataires critiques. Continuité d’activité, gestion d’incident, supervision des tiers et reporting ne sont pas des chantiers indépendants, mais les expressions d’une même stratégie de résilience.
Cette approche systémique met en difficulté certains établissements, en particulier ceux fortement dépendants de services cloud ou SaaS. L’audit fait alors apparaître une dépendance parfois sous-estimée, voire invisible (absence de contrat ou très lacunaire) : des prestataires identifiés comme critiques, mais dont la propre résilience opérationnelle est insuffisamment maîtrisée ou documentée. Cette dépendance, lorsqu’elle est révélée tardivement, peut s’avérer coûteuse et fragiliser l’ensemble du dispositif de résilience.
La maturité SSI (sécurité des systèmes d’informations) joue un rôle déterminant. Les organisations déjà alignées avec des référentiels de sécurité comme ISO/IEC 27001:2022, abordent l’audit avec davantage de sérénité. A l’inverse, celles qui n’ont pas anticipé certains volets fondamentaux comme la continuité d’activité, la gestion d’incidents IT, la résilience des prestataires, peuvent voir l’audit se transformer en exercice difficile voire parfois déstabilisant.
DORA : un enjeu de maturité et de crédibilité
Au-delà d’une contrainte, le règlement DORA apporte aussi l’opportunité d’aligner la sécurité, la gouvernance et les performances opérationnelles. L’expérience des premiers audits confirme une intuition forte : les organisations qui réussissent sont celles qui sont parvenues à construire un système efficace et résilient.
La conformité au règlement DORA devient un véritable marqueur de maturité et de crédibilité pour les établissements financiers. Au-delà du respect formel des exigences, les régulateurs évaluent la capacité des organisations à maîtriser l’ensemble des cinq piliers du règlement de manière cohérente et opérationnelle.
Le cadre de gestion des risques TIC en constitue le socle : il structure l’identification des fonctions critiques, la priorisation des risques et leur pilotage. Il se décline ensuite dans des dispositifs concrets de gestion des incidents, de continuité d’activité, de tests de résilience et de supervision des prestataires critiques. Ces exigences prennent forme à travers des livrables précis tels que des politiques et procédures, des cartographies, des rapports de tests, des indicateurs de résilience, des scénarios de crise et le registre des prestataires.
La capacité à structurer ces éléments, à les maintenir dans le temps et à les mobiliser en situation réelle devient un indicateur clé de maturité. Elle traduit la faculté de l’organisation à piloter sa résilience opérationnelle de manière autonome, à prendre des décisions éclairées en situation de crise et à rendre compte de ses choix de façon transparente. Dans ce cadre, la conformité au règlement DORA dépasse le seul enjeu réglementaire : elle devient un révélateur de la solidité opérationnelle et de la gouvernance des établissements financiers.
Notre accompagnement : de la conformité à l’audit
Chez EXCUBE nous accompagnons nos clients dans la mise en conformité DORA depuis la publication du Règlement (UE) 2022/2554 du parlement européen et du conseil du 14 décembre 2022. Cet accompagnement s’est progressivement enrichi au fil des chantiers menés et des premiers audits engagés, nous conduisant à structurer une approche fondée sur des convictions opérationnelles plutôt que sur une lecture strictement normative du texte. L’objectif c’est de répondre pleinement aux exigences du règlement, tout en les traduisant en dispositifs cohérents, pilotables et adaptés à la réalité de chaque organisation.
BIA, risques et résilience
Nous partons systématiquement des analyses d’impact métier (BIA) pour identifier les fonctions critiques ou importantes, véritables points d’ancrage du dispositif DORA. Ces fonctions structurent ensuite l’analyse de risques TIC et la définition des stratégies de continuité d’activité. Les PCA et PRA ne sont pas abordés comme des obligations formelles, mais comme la traduction opérationnelle d’une analyse de risques orientée fonctions critiques. Cette approche permet de sortir de dispositifs génériques et de construire des plans pertinents à l’échelle de l’entité et de ses moyens en application du principe de proportionnalité.
Gestion des tiers
Le règlement DORA impose un niveau d’exigence élevé sur la supervision des tiers, avec une charge opérationnelle significative et des responsabilités réparties entre plusieurs directions. Notre expérience montre que tenter de tout couvrir de manière uniforme conduit rapidement à des dispositifs lourds et difficiles à maintenir. Nous privilégions une approche fondée sur la criticité : identifier les prestataires réellement critiques au regard des fonctions critiques et importantes, concentrer les efforts de contrôle sur ceux-ci, et s’appuyer sur des outils adaptés pour garantir la traçabilité et la durabilité du dispositif.
Gestion d’incidents
Si le règlement DORA définit des critères de qualification d’incident majeurs, leur application directe ne tient pas toujours compte de la taille, du périmètre ou du modèle opérationnel de l’organisation. Sans cadre adapté, le risque est double : soit déclencher inutilement des dispositifs lourds, soit sous-estimer des situations critiques. Il devient donc essentiel de définir des critères internes de passage en gestion de crises, cohérents avec les seuils réglementaires, mais adaptés au contexte de l’établissement.
Notre objectif est clair : permettre aux organisations de reprendre la maîtrise de leur dispositif DORA non seulement pour être conforme, mais pour inscrire durablement la résilience opérationnelle comme clé de voûte de système d’information.
