Mise en conformité des acteurs du marché : des premiers défis observés
Si les démarches de mise en conformité ont, dans de nombreux cas, été lancées bien avant l’échéance réglementaire, le passage à une application opérationnelle du règlement DORA se révèle plus ardu que prévu.
Un cadre réglementaire encore en mouvement
La complexité de la mise en conformité DORA tient en grande partie à un environnement réglementaire encore en construction. Malgré l’entrée en application officielle du règlement le 17 janvier 2025, de nombreuses incertitudes demeurent.
Le modèle de registre d’information sur les prestataires TIC, par exemple, n’a été publié qu’en décembre 2024 (JOUE du 2 décembre, entrée en vigueur le 22 décembre), près d’un mois seulement avant la date d’application. Ce modèle impose aux entités de transmettre des informations détaillées via les portails nationaux (comme celui de l’ACPR).
Par ailleurs, un RTS majeur est toujours attendu : celui sur la sous-traitance TIC, rejeté et proposé de nouveau le 07 mars 2025 de ce RTS.
Plusieurs publications essentielles sont parues tardivement, voire restent en cours d’actualisation : la notice de l’ACPR publiée en décembre 2024, les FAQ de l’ACPR régulièrement mises à jour, ou encore celles de l’EBA. Le RTS encadrant les tests de pénétration fondés sur la menace (TLPT), transmis à la Commission le 17 juillet 2024 a quant à lui été publié le 18/06/2025. Leur évolution continue illustre pleinement la dynamique réglementaire encore mouvante autour de DORA.
Dans ce contexte, les entreprises avancent souvent à tâtons, avec un risque important de devoir revoir des livrables déjà produits. Des appels à plus de clarté juridique ont été formulés, notamment par France Assureurs – par la voix de sa présidente Florence Lustman le 24 janvier 2025 – et par Insurance Europe dès début 2024, soulignant la difficulté pour les entités à anticiper les attentes des superviseurs dans un cadre normatif encore instable.
Face à ces incertitudes, une veille réglementaire active et structurée devient indispensable pour les entités concernées afin d’ajuster leurs trajectoires au fil de l’eau, tout en limitant les effets de retour en arrière sur leurs travaux.
Une gouvernance et une coordination inter-directionnelles fragile
La transversalité de DORA en fait un chantier multidisciplinaire par excellence. Il mobilise à la fois la DSI, la conformité, les achats, les métiers, la gestion des risques, les ressources humaines…
Pourtant, l’ensemble des travaux est souvent centralisé autour des équipes IT ou cybersécurité, au risque de négliger des angles morts de conformité. Dans de nombreuses structures, les travaux restent cloisonnés, avec une implication inégale des directions.
Ce biais organisationnel reflète souvent une vision partielle de la résilience numérique, perçue comme un projet technique plutôt qu’un enjeu stratégique. Or, le règlement engage bien plus que les seules fonctions techniques : il appelle à une transformation culturelle et organisationnelle, dans laquelle chaque direction doit jouer un rôle.
L’enjeu des mois à venir sera donc de dépasser les approches fragmentées pour construire une gouvernance intégrée, reposant sur un cadre commun de pilotage, avec des rôles clairs, des circuits de validation définis et une dynamique régulière de coordination entre les parties prenantes.
Des moyens techniques et humains sous tension
Si la pression réglementaire a permis de débloquer des budgets dans de nombreuses structures, la pérennisation des efforts engagés reste incertaine. Faute d’une stratégie claire, certains projets sont menés dans l’urgence, avec des ressources limitées et peu d’articulation avec les dispositifs existants (cybersécurité, Gouvernance Risques Conformité, gestion des fournisseurs…).
Sans gouvernance transverse, le risque est de voir s’accumuler des outils ou des contrôles peu coordonnés, qui coexistent sans réelle cohérence. Ce manque d’alignement limite l’efficacité des dispositifs, alors même que DORA appelle à une approche intégrée et structurée.
Le manque de profils expérimentés constitue un autre point de tension. Les compétences recherchées sont rares et très sollicitées : techniques (résilience IT, cybersécurité) mais aussi organisationnelles (pilotage réglementaire, conduite du changement, gouvernance). Aussi la réglementation fait apparaitre le besoin de nouveaux profils : ICT Risk Management (ICTRM) et Third Party Risk Management (TPRM). Ces profils apportent en effet une expertise clé pour structurer une approche cohérente de la résilience numérique, en articulant exigences techniques, gestion des tiers et conformité réglementaire.
