Six mois après l’entrée en application du règlement européen DORA (Digital Operational Resilience Act), le secteur financier européen est engagé dans une transformation en profondeur de ses dispositifs de résilience numérique. Ce texte structurant ambitionne de renforcer la solidité opérationnelle des institutions financières face aux risques liés aux technologies de l’information et de la communication (TIC), dans un contexte d’exposition croissante aux cybermenaces.

Mais au-delà des obligations formelles, DORA engage surtout un changement de posture stratégique, qui appelle à sortir d’une logique de simple conformité pour inscrire la résilience numérique au cœur de la gouvernance.

Le début des travaux de mise en conformité pour les entités financières

Les travaux de Gap Analysis et de définition de feuille de route

Pour beaucoup d’entités financières, les premiers travaux ont été lancés bien avant le 17 janvier 2025, la date d’entrée en application de la réglementation DORA.

La première étape a été la phase de Gap analysis, cruciale pour identifier les écarts entre les exigences de la réglementation et les pratiques et documentations déjà en place. Cette analyse d’écart a nécessité une lecture et une analyse précise de la réglementation de la part des premiers acteurs impliqués dans le projet.

Les établissements bancaires, particulièrement exposés au regard de leur rôle systémique, ont souvent été les premiers à initier ces travaux dès la fin 2023, bénéficiant de dispositifs de contrôle IT déjà plus matures que ceux d’autres segments du secteur financier.

Les résultats du gap analysis ont mis en lumière des écarts importants sur certains volets du fait d’un manque de maturité sur les sujets de résilience numérique : système de gouvernance du risque lié aux TIC à organiser, gestion des incidents TIC à structurer, tests de résilience à formaliser, etc.

Les feuilles de routes construites à la suite de l’analyse d’écart ont permis de prioriser les actions et d’échelonner les chantiers en fonction du niveau de maturité de chaque entité financière et des points de visibilité des autorités.

Pour les entités majeures de la place financières, le Gap Analysis s’est imposé comme un exercice structuré, piloté au niveau groupe pour assurer une cohérence d’ensemble et mutualiser les enseignements entre entités.

L’embarquement des ressources

La nature obligatoire du règlement DORA et l’échéance de celle-ci a provoqué une mobilisation des ressources rapide avec parfois peu de visibilité, en particulier dans les structures les moins préparées. Les grandes entités financières, déjà rodées à la gestion de programmes réglementaires, ont pu s’appuyer sur des équipes expérimentées et des processus bien établis. À l’inverse, les acteurs de plus petite taille ont eu plus de difficulté à sécuriser les compétences clés. Pour de nombreuses entités financières l’implication des ressources est passée par un sponsoring exécutif fort, les programmes de mise en conformité étant souvent en visibilité des directions générales.

La mise en marche rapide sur les travaux de mise en conformité

Avec les premiers messages envoyés par les autorités de supervision et la peur des sanctions, la mise en conformité DORA s’est imposée comme un sujet prioritaire et cela a accéléré l’allocation de moyen financier et humain. A la fin de l’année 2024, la majorité des grandes entités financières disposaient d’un pilotage dédié, souvent intégré à leur comité de transformation ou à leur gouvernance des risques. Les premiers chantiers ont été lancé dès le début de 2024 pour les acteurs majeurs de la place, en commençant par la définition des fonctions critiques ou importantes, point central de la réglementation permettant d’appliquer un principe de proportionnalité dans les travaux.

Les entités financières ont aussi défini dans leurs feuilles de route des actions prioritaires, souvent sous forme de “quick wins” réglementaires, c’est-à-dire particulièrement visible des autorités réglementaires.

Mais qu’en est-il de la réalité sur le terrain ? Quels premiers défis rencontrent les acteurs du marché dans la mise en conformité ? Retrouvez dans le prochain article notre analyse des obstacles concrets et des leviers pour y répondre.