DORA, conformité et gouvernance : ce que les DSI de banques et assurances ne peuvent plus déléguer
DORA, conformité et gouvernance : ce que les DSI de banques et assurances ne peuvent plus déléguer
Pour un DSI de banque ou d’assurance, la conformité au cadre DORA n’est plus un sujet de conformité parmi d’autres. Elle redéfinit la manière dont vous pilotez les risques, la résilience et les services numériques au cœur du secteur financier, avec une pression accrue des autorités européennes et nationales. Elle impose surtout de transformer un empilement de procédures en véritable résilience opérationnelle mesurable, alignée sur les attentes de l’Autorité bancaire européenne (EBA) et de la Banque centrale européenne (BCE), telles que décrites notamment dans les orientations EBA/GL/2019/04 sur la gestion des risques TIC et de sécurité.
Le règlement DORA s’applique à l’ensemble des entités financières européennes, des grandes banques de détail aux assureurs vie, en passant par les sociétés de gestion et les prestataires de services TIC critiques. Ces entités financières doivent démontrer une gestion des risques TIC intégrée, couvrant les données, les services TIC, les fonctions critiques et les tiers, avec une traçabilité complète des incidents TIC. La conformité DORA pour les banques et les assurances devient ainsi un axe structurant de la stratégie de cybersécurité et de gouvernance IT, au même niveau que les exigences prudentielles classiques décrites dans les orientations EBA/GL/2019/04 et les rapports de stabilité financière de la BCE.
Les autorités compétentes nationales, comme l’ACPR pour les banques et assurances françaises, contrôlent désormais la mise en conformité DORA avec une granularité technique inédite. Elles attendent des DSI une articulation claire entre gestion des risques TIC, sécurité des données, résilience opérationnelle numérique et reporting d’incidents, sans se contenter de politiques générales. Dans ce contexte, la conformité DORA pour le secteur financier n’est plus un projet juridique, mais un programme d’architecture et d’exploitation, avec des arbitrages budgétaires lourds entre run, cybersécurité et build, tels que le soulignent les analyses de la BCE dans le Financial Stability Review et les travaux de l’EBA sur la résilience numérique.
Cartographier les exigences DORA : de la théorie du règlement à la réalité des risques TIC
La première erreur des DSI est de traiter le règlement DORA comme un texte supplémentaire à ranger avec les autres réglementations. En réalité, DORA impose une cartographie fine des risques TIC et des fonctions critiques, qui doit irriguer la gestion des services financiers et des services TIC au quotidien. Sans cette cartographie, la conformité reste théorique et la résilience opérationnelle purement déclarative, loin des attentes formulées dans les consultations publiques de l’EBA sur la résilience numérique et les documents de discussion relatifs à DORA.
Pour les banques et les assurances, cette cartographie doit relier chaque service métier aux actifs TIC, aux données, aux tiers et aux scénarios d’incidents TIC, en distinguant clairement les fonctions critiques et les services de support. Les exigences DORA imposent d’identifier les dépendances croisées entre systèmes, de qualifier les risques TIC par impact opérationnel et de documenter les mesures de sécurité associées, y compris les principes de Zero Trust appliqués aux accès internes et externes. Une bonne gestion des risques TIC ne se limite plus à un registre de risques, elle devient un modèle de dépendances vivantes entre processus, services TIC et prestataires critiques, exploitable pour les analyses d’impact métier et les plans de continuité, comme le recommandent les orientations EBA/GL/2019/02 sur l’externalisation.
Pour structurer ce travail, beaucoup de DSI s’appuient sur les frameworks NIST, ISO 27001 et sur des analyses de cabinets comme Wavestone ou Gartner, mais DORA exige d’aller plus loin dans la granularité opérationnelle. La cartographie doit être exploitable pour les tests de résilience, les tests d’intrusion, la gestion des incidents et le dialogue avec les autorités compétentes, pas seulement pour rassurer le comité d’audit. Pour approfondir cette approche de simplification réglementaire, une ressource utile consiste à s’appuyer sur une méthode de conformité IT simplifiée et sécurisée qui relie directement exigences, risques et décisions d’architecture, en cohérence avec les orientations EBA/GL/2019/02 et les lignes directrices EBA/GL/2017/11 sur la gouvernance interne.
Entités essentielles, importantes et prestataires critiques : organiser la gouvernance DORA sans alourdir le run
DORA introduit une distinction structurante entre entités financières dites essentielles, entités importantes et prestataires TIC critiques, qui impacte directement votre gouvernance IT. Les banques systémiques, les grands assureurs et certains acteurs de services financiers sont classés comme entités essentielles, avec des exigences DORA renforcées en matière de tests de résilience et de gestion des risques TIC. Les entités importantes restent soumises au règlement, mais avec une intensité de supervision et de tests plus proportionnée, comme le détaillent les documents de mise en œuvre publiés par la Commission européenne et les communications conjointes EBA-ESMA-EIOPA.
Pour un DSI, cette classification n’est pas un détail juridique, elle conditionne la profondeur des tests de résilience opérationnelle numérique, la fréquence des tests d’intrusion et le niveau d’exigence sur la gestion des tiers TIC. Les prestataires de services TIC critiques, comme certains fournisseurs de cloud ou d’infrastructures de paiement, entrent eux aussi dans le champ du règlement DORA, ce qui impose un registre détaillé des tiers, des services fournis et des fonctions critiques supportées. La gestion des risques liés aux tiers ne peut plus être déléguée aux achats ou au juridique, elle devient un pilier de la gouvernance IT et de la cybersécurité, en cohérence avec les attentes de la BCE sur la gestion des prestataires importants et les orientations EBA/GL/2019/02.
Dans ce contexte, le rôle de la DSI dans la gestion de la conformité doit être repensé comme un pilotage transverse, en lien étroit avec le RSSI, le CDO et la direction des risques. Une analyse approfondie du rôle central de la DSI dans la conformité montre que la gouvernance efficace repose sur un trio CIO–CISO–CDO, plutôt que sur un DSI isolé face aux exigences réglementaires. Cette approche collégiale permet de traiter la conformité DORA pour les banques et assurances comme un levier de transformation numérique sécurisée, et non comme une simple contrainte documentaire, en s’alignant sur les bonnes pratiques de gouvernance IT décrites par l’EBA, l’ENISA et les retours d’expérience de grands groupes financiers européens.
Tests de résilience, TLPT et Zero Trust : passer de la conformité papier à l’« operational resilience » mesurée
Le cœur technique de DORA, celui qui bouscule vraiment les DSI, réside dans les exigences de tests de résilience opérationnelle numérique. Les entités financières essentielles doivent mettre en place des tests de résilience avancés, de type TLPT (Threat Led Penetration Testing), qui combinent tests d’intrusion, scénarios d’attaque réalistes et validation des plans de continuité. Ces tests de résilience ne sont plus optionnels, ils deviennent un langage commun entre DSI, RSSI et autorités compétentes, dans la lignée des cadres de tests menés sous l’égide de la BCE (par exemple TIBER-EU) et de la Banque d’Angleterre.
Pour les banques et les assurances, cela signifie organiser un programme pluriannuel de tests de résilience couvrant les fonctions critiques, les services TIC exposés et les principaux tiers, avec une priorisation basée sur la gestion des risques TIC. Les tests d’intrusion doivent être complétés par des tests de résilience en charge, des simulations d’incidents TIC majeurs et des exercices de bascule vers des environnements de secours, en intégrant les principes de Zero Trust dans les architectures cibles. Par exemple, un scénario TLPT typique peut viser un système de paiement critique, avec une équipe rouge simulant une attaque ciblée sur un fournisseur cloud, et une équipe bleue testant la capacité de détection, de confinement et de reprise en moins de deux heures, conformément aux seuils de tolérance à l’impact définis par la direction des risques.
Les DSI qui réussissent cette transition s’appuient souvent sur des référentiels comme le concept d’operational resilience développé au Royaume-Uni, ou sur des pratiques issues du Resilience Act américain, tout en les adaptant au contexte européen. Ils articulent les exigences DORA avec les frameworks NIST et ISO 27001, en intégrant les tests de résilience dans le cycle de vie des projets et non comme un audit ponctuel. Pour structurer cette gouvernance, l’analyse du trio CIO–CISO–CDO montre comment répartir clairement responsabilités, budgets et décisions d’architecture autour de la résilience opérationnelle, en s’inspirant des retours d’expérience publiés par la Banque d’Angleterre (par exemple CP29/19) sur les scénarios de perturbation grave.
Incidents TIC, données et reporting : transformer la conformité DORA en levier de pilotage
DORA impose un cadre strict de gestion et de notification des incidents TIC, qui dépasse largement les pratiques historiques de nombreuses banques et assurances. Les DSI doivent mettre en place des processus de détection, de classification et de remontée des incidents, avec des seuils clairs pour les incidents majeurs à notifier aux autorités compétentes. Cette exigence transforme la manière dont vous collectez, consolidez et exploitez les données opérationnelles de sécurité, en cohérence avec les orientations EBA/GL/2017/10 sur la notification des incidents majeurs dans les services de paiement.
Pour être conforme, un établissement du secteur financier doit disposer d’un référentiel unique des incidents TIC, relié aux services TIC, aux fonctions critiques et aux tiers concernés, avec une capacité de reporting consolidé. Les données issues de la cybersécurité, de la supervision applicative et de la production doivent être croisées pour alimenter une gestion des risques TIC en temps quasi réel, plutôt qu’un reporting trimestriel figé. Concrètement, une procédure de notification DORA efficace prévoit par exemple une détection initiale en moins de 15 minutes, une qualification de l’incident en moins de deux heures, une décision de notification réglementaire dans la journée et un rapport initial transmis à l’autorité compétente dans les délais prévus, puis enrichi par des rapports intermédiaires et finaux.
Les DSI les plus avancés utilisent ces obligations pour renforcer leur gouvernance des données opérationnelles et justifier des investissements dans des solutions de Security Information and Event Management ou de Data Lake orienté résilience. Ils transforment le reporting réglementaire en tableau de bord de pilotage, capable de mesurer la résilience opérationnelle, la qualité des services financiers et l’efficacité des mesures de sécurité. Au final, la conformité cesse d’être un coût subi pour devenir un langage commun entre IT, métiers et régulateurs, au service d’une meilleure maîtrise du risque, comme le soulignent plusieurs études de Forrester, par exemple « The State Of Enterprise Breaches » et « The Total Economic Impact Of Security Program Optimization ».
Risque tiers, services TIC critiques et arbitrages budgétaires : où placer le curseur pour 2026
La gestion du risque tiers TIC est probablement le volet le plus sous-estimé de DORA dans les comités de direction. Les banques et les assurances ont massivement externalisé des services TIC critiques, du cloud aux plateformes de paiement, sans toujours disposer d’un registre exhaustif et à jour des dépendances. DORA impose désormais un registre structuré des tiers, des services fournis et des fonctions critiques supportées, avec une analyse de risques TIC associée, en cohérence avec les orientations EBA/GL/2019/02 sur l’externalisation et les attentes de la BCE sur les prestataires de cloud importants.
Pour un DSI, cela signifie renégocier certains contrats de services TIC, intégrer des clauses de tests de résilience, de tests d’intrusion coordonnés et de reporting d’incidents TIC, tout en conservant une capacité interne de pilotage. Les exigences DORA en matière de gestion des risques liés aux tiers imposent aussi de définir des scénarios de sortie et de réversibilité, ce qui remet en question certains modèles d’externalisation trop dépendants d’un seul fournisseur. La résilience opérationnelle ne peut plus être entièrement déléguée, même lorsque les services financiers sont opérés par des prestataires critiques, comme l’illustrent les analyses de l’ENISA dans le « ENISA Threat Landscape for Cloud and 5G » et les rapports annuels sur les incidents liés au cloud.
Dans un contexte où le budget run reste incompressible et où la cybersécurité et la conformité obtiennent des hausses au détriment du build, chaque euro investi doit renforcer à la fois la sécurité, la conformité et la flexibilité d’architecture. Les DSI qui réussissent cette équation utilisent DORA comme un levier pour rationaliser le portefeuille de services TIC, réduire les redondances et concentrer les investissements sur les fonctions critiques réellement différenciantes. La bonne question n’est plus « combien coûte la conformité », mais « quels risques résiduels j’accepte encore sur mes tiers critiques et mes services essentiels », en s’appuyant sur les indicateurs de tolérance à l’impact définis dans les cadres d’operational resilience de la Banque d’Angleterre et les publications de la BCE sur la continuité des services.
Aligner DORA, Zero Trust et stratégie IT : faire de la conformité un avantage compétitif
Au-delà des obligations, DORA offre une occasion rare de réaligner stratégie IT, cybersécurité et attentes des métiers dans le secteur financier. Les DSI de banques et d’assurances qui prennent ce virage utilisent les exigences DORA pour accélérer l’adoption de principes Zero Trust, la modernisation des architectures et la rationalisation des services TIC. Ils transforment la digital operational resilience en argument de confiance auprès des clients, des partenaires et des régulateurs, dans un contexte où la BCE et l’EBA insistent sur la transparence vis-à-vis des incidents majeurs et des perturbations significatives.
Concrètement, cela passe par une feuille de route de mise en conformité qui articule gestion des risques TIC, modernisation des données, automatisation des tests de résilience et renforcement de la sécurité des accès. Les exigences DORA deviennent alors des critères de priorisation des projets, au même titre que le ROI métier ou la réduction des coûts d’exploitation, avec des indicateurs clairs de résilience opérationnelle. Les entités financières qui adoptent cette approche peuvent démontrer une operational resilience supérieure, tout en simplifiant leur paysage applicatif et en réduisant la surface d’attaque, comme le montrent plusieurs études de Forrester sur les organisations « security by design » et les bénéfices économiques de la cyber-résilience.
Pour un CIO aguerri, l’enjeu n’est plus de cocher les cases du règlement DORA, mais de construire une gouvernance IT où la conformité, la sécurité et la performance opérationnelle tirent dans le même sens. Les retours d’expérience de grands groupes français comme BNP Paribas, Crédit Agricole ou AXA montrent que les programmes les plus efficaces sont ceux qui intègrent DORA dès la conception des architectures cibles, plutôt que de l’ajouter en surcouche. Au final, la vraie mesure de succès ne sera pas le nombre de pages de politiques, mais la capacité à éviter l’incident critique du lundi matin qui met à l’arrêt tout un réseau d’agences, scénario régulièrement évoqué dans les exercices d’operational resilience de la Banque d’Angleterre et les stress tests de la BCE.
Chiffres clés sur DORA, la résilience et les risques TIC dans le secteur financier
- Selon les rapports de l’Autorité bancaire européenne sur les incidents majeurs dans les services de paiement (par exemple EBA/REP/2021/26 et les rapports annuels antérieurs), plus de 60 % des incidents TIC majeurs déclarés par les banques européennes sont liés à des défaillances de prestataires tiers, ce qui confirme le poids du risque tiers dans la résilience opérationnelle.
- Une étude de la Banque centrale européenne sur les dépenses IT dans les grandes entités financières, publiée dans le Financial Stability Review (édition 2020 et mises à jour ultérieures), indique qu’en moyenne 15 à 20 % du budget IT des grandes entités financières est désormais consacré à la cybersécurité et à la conformité, avec une part croissante dédiée aux exigences de résilience numérique.
- D’après les analyses de Forrester sur les programmes de cyber-résilience (par exemple « The State Of Enterprise Breaches » et « The Forrester Wave: Cybersecurity Incident Response Services »), les organisations ayant mis en œuvre des programmes structurés de tests de résilience et de tests d’intrusion réguliers réduisent de 30 à 40 % la durée moyenne de leurs incidents TIC critiques.
- Les rapports de l’ENISA sur les incidents de cybersécurité dans le secteur financier européen (tels que le « ENISA Threat Landscape » 2021–2023) montrent que plus de la moitié des incidents de cybersécurité impliquent une compromission de données ou une indisponibilité de services TIC, ce qui renforce la nécessité d’une digital operational resilience robuste.
- Les retours d’expérience publiés par la Banque d’Angleterre sur l’operational resilience, notamment dans les documents de consultation CP29/19 et les rapports ultérieurs, indiquent qu’un scénario de panne majeure non préparé peut coûter plusieurs dizaines de millions d’euros à une grande banque, entre pertes d’exploitation, pénalités et remédiation.
FAQ sur DORA, la conformité et la résilience opérationnelle pour les DSI
Quelles sont les principales obligations de DORA pour une banque ou une assurance
DORA impose une gestion intégrée des risques TIC, des exigences de résilience opérationnelle numérique, un cadre strict de gestion des incidents TIC et un contrôle renforcé des prestataires de services TIC critiques. Les banques et les assurances doivent cartographier leurs fonctions critiques, mettre en place des tests de résilience réguliers et organiser un reporting structuré vers les autorités compétentes. La conformité implique aussi une gouvernance claire entre DSI, RSSI, direction des risques et métiers, en s’alignant sur les orientations EBA/GL/2019/04, EBA/GL/2019/02 et les attentes de la BCE en matière de gouvernance IT et de continuité d’activité.
Comment prioriser les investissements DORA dans un budget IT contraint
La priorisation doit partir de la cartographie des fonctions critiques et des risques TIC les plus élevés, en ciblant d’abord les services financiers essentiels et les tiers critiques. Les investissements à privilégier concernent la détection et la gestion des incidents TIC, les tests de résilience, la sécurisation des accès et la gouvernance des données opérationnelles. Il est souvent plus efficace de rationaliser certains services TIC redondants pour financer ces chantiers que de chercher des économies marginales sur la cybersécurité, comme le confirment plusieurs études de Forrester sur l’optimisation des budgets de sécurité et la valeur métier de la cyber-résilience.
Quelle est la différence entre DORA et les cadres existants comme ISO 27001 ou NIST
ISO 27001 et NIST fournissent des référentiels de bonnes pratiques en matière de sécurité de l’information et de gestion des risques, mais ils ne sont pas spécifiquement conçus pour le secteur financier européen. DORA est un règlement contraignant qui cible directement les entités financières, avec des exigences précises sur la résilience opérationnelle numérique, les tests de résilience et la gestion des tiers TIC. En pratique, beaucoup de DSI utilisent ISO 27001 et NIST comme socle, puis complètent avec les exigences spécifiques du règlement DORA et les orientations EBA/GL/2019/04 sur les risques TIC et de sécurité.
Comment organiser les tests de résilience exigés par DORA
Les tests de résilience doivent être planifiés dans un programme pluriannuel, en commençant par les fonctions critiques et les services TIC les plus exposés. Ils combinent tests d’intrusion, simulations d’incidents TIC majeurs, exercices de bascule et validation des plans de continuité, avec une implication forte des métiers. Les résultats doivent être documentés, partagés avec les autorités compétentes lorsque nécessaire et intégrés dans la gestion des risques TIC et la feuille de route d’architecture, en cohérence avec les pratiques de TLPT promues par la BCE (TIBER-EU) et la Banque d’Angleterre, ainsi que les recommandations de l’ENISA sur les exercices de cyber-crise.
Quel rôle joue la gestion du risque tiers dans la conformité DORA
La gestion du risque tiers est centrale, car une part importante des incidents TIC majeurs provient de prestataires de services TIC critiques. DORA impose un registre détaillé des tiers, des services fournis, des fonctions critiques supportées et des clauses contractuelles liées à la résilience et à la cybersécurité. Les DSI doivent piloter activement ces relations, organiser des tests de résilience avec les prestataires et prévoir des scénarios de sortie pour limiter la dépendance à un seul fournisseur, en s’appuyant sur les orientations EBA/GL/2019/02 sur l’externalisation et les analyses de l’ENISA sur les risques liés au cloud et aux chaînes d’approvisionnement TIC.