DORA en 2026 : ce que 15 mois d'application nous ont appris

Qu'est-ce que DORA, en un paragraphe

DORA est le cadre harmonisé de l'UE pour la résilience opérationnelle numérique dans le secteur financier. Il s'applique à presque toutes les entités financières réglementées (banques, assureurs, gestionnaires d'actifs, prestataires de services de paiement, prestataires de services sur crypto-actifs, et plus encore), ainsi qu'à leurs prestataires de services TIC, même lorsque ces prestataires sont basés en dehors de l'UE. Il est entré en vigueur le 16 janvier 2023 et est devenu pleinement applicable le 17 janvier 2025. Le règlement s'articule autour de cinq piliers : la gestion des risques liés aux TIC, la déclaration des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux tiers TIC et le partage d'informations sur les cybermenaces.

Où en sommes-nous en avril 2026

Le cap des 15 mois est un point d'observation utile car plusieurs jalons du premier cycle ont maintenant été franchis.

Les premières soumissions au Registre des informations sont terminées. Les entités financières ont soumis leurs premiers Registres des informations (RoI) aux autorités nationales compétentes début 2025, les registres consolidés parvenant aux AEV d'ici le 30 avril 2025. La banque centrale néerlandaise, la BaFin allemande, les entités suisses proches de la FINMA ayant une exposition à l'UE, et d'autres ANC ont toutes maintenant achevé un cycle complet. Retour d'expérience de l'industrie, y compris de l'AFME, a été franc : les soumissions du premier cycle ont été difficiles, avec des délais fragmentés entre les ANC, des orientations incohérentes et des surprises concernant les règles de validation. Le deuxième cycle, prévu pour le printemps 2026, devrait être plus fluide mais révèle déjà que la qualité des données, et non leur collecte, est le véritable défi.

Les premiers PSCTI ont été désignés. En novembre 2025, les AES ont désigné la première tranche de Prestataires de Services Critiques en matière de Technologies de l'Information et de la Communication (PSCTI), un groupe d'environ 19 prestataires dont les services au secteur financier de l'UE sont désormais soumis à une surveillance directe au niveau de l'UE. Ces désignations ont des conséquences pratiques tant pour les prestataires (qui sont confrontés à un engagement de surveillance de l'UE, à des frais et à des obligations de déclaration formelles) que pour les entités financières (dont les registres de tiers doivent désormais refléter le statut de PSCTI, et dont les arrangements contractuels avec ces prestataires sont soumis à un examen plus approfondi).

Les règles de sous-traitance sont finalisées. Les normes techniques réglementaires sur la sous-traitance des TIC ont été finalisées en mars 2025 après une longue négociation entre les AES et la Commission européenne. Cela est important car la sous-traitance est l'endroit où se concentre la majeure partie du risque lié aux tiers, et les NTR donnent aux superviseurs une base plus claire pour poser des questions difficiles sur les chaînes de dépendance.

Le TLPT passe du stade théorique à celui de la planification. Les institutions identifiées comme étant concernées par les tests d'intrusion basés sur les menaces sont désormais engagées dans des discussions actives sur leur portée. Le TLPT n'est pas un exercice d'hygiène annuel, c'est un programme sérieux, de plusieurs mois, axé sur le renseignement, et la première vague d'institutions découvre à quel point il est sérieux.

Ce que les cinq piliers de DORA exigent réellement

Avec le recul de 15 mois, il est possible de décrire chaque pilier avec moins d'abstraction.

• ‍Gestion des risques liés aux TIC. Un cadre documenté, dont la responsabilité incombe au conseil d'administration. La responsabilité incombe à l'organe de gestion, et non au CISO. En pratique, les superviseurs veulent voir des preuves que le conseil a lu, discuté et approuvé le cadre, et que les artefacts de gouvernance (procès-verbaux de comité, approbations, registres d'escalade) le confirment.‍
• Signalement des incidents liés aux TIC. Les incidents majeurs liés aux TIC doivent être signalés à l'autorité compétente dans des délais serrés : notification initiale en quelques heures, mise à jour intermédiaire dans les 72 heures, rapport final dans un mois. Les seuils de classification constituent la partie la plus exigeante sur le plan opérationnel. En 2025 et début 2026, les superviseurs se sont particulièrement intéressés à savoir si les institutions sur- ou sous-déclaraient, et si la classification était défendable au regard des NTR.
• ‍Tests de résilience opérationnelle numérique. Un programme de tests allant des évaluations de vulnérabilité au TLPT complet pour les entités désignées. Les tests d'intrusion ne sont pas nouveaux pour les banques. Le TLPT, avec sa portée axée sur le renseignement sur les menaces et ses mécanismes d'équipe rouge, est nouveau pour la plupart, et les premiers engagements prennent beaucoup plus de temps que ce que les institutions avaient prévu.‍
• Gestion des risques liés aux tiers TIC. C'est là que la majeure partie des efforts de 2025 a été consacrée, et où la majeure partie des efforts de 2026 continuera de l'être. Le Registre des informations est l'artefact, mais le véritable travail réside dans la discipline sous-jacente : comprendre d'où proviennent les services TIC, lesquels soutiennent des fonctions critiques ou importantes, où les chaînes de sous-traitance introduisent un risque de concentration, et si les contrats contiennent réellement les clauses exigées par DORA.‍
• Partage d'informations sur les cybermenaces. Le pilier le moins contraignant en pratique, mais qui devrait se développer davantage en 2026 à mesure que les dispositifs de partage d'informations spécifiques au secteur mûriront.

Les cinq choses qui se sont avérées réellement difficiles

En examinant les 15 derniers mois, certains schémas se sont répétés dans toutes les institutions, quelle que soit leur taille.

• ‍Qualité des données du Registre des informations. Les soumissions du premier cycle ont été achevées, mais les boucles de rétroaction des règles de validation et des vérifications des ANC ont révélé d'importantes lacunes en matière de qualité. Des champs de texte libre ont été utilisés là où des vocabulaires contrôlés étaient attendus. Les identifiants d'entité étaient incohérents. Les relations de sous-traitance étaient sous-représentées. Le cycle 2026 consiste, pour de nombreuses institutions, moins à construire le registre qu'à le réparer.‍
• Cartographie des fonctions critiques ou importantes. Le RdI est organisé autour des fonctions critiques ou importantes (FCI), mais la cartographie des processus métier vers les FCI et vers les services TIC de support n'est pas triviale, en particulier dans les banques universelles dotées de systèmes hérités anciens. Réussir cette cartographie est un prérequis à tout le reste.‍
• Remédiation contractuelle à grande échelle. DORA exige des clauses spécifiques dans les contrats TIC couvrant les FCI, y compris les droits d'audit, les stratégies de sortie, la transparence de la sous-traitance et les obligations de résilience. La réécriture ou l'ajout d'avenants à des milliers de contrats dans un délai de 12 à 18 mois a représenté une lourde charge juridique et opérationnelle, et la remédiation n'est pas achevée dans la plupart des institutions.‍
• Visibilité multi-cloud et multi-juridictionnelle. Les environnements hybrides et multi-cloud rendent difficile de prouver où les données sensibles sont réellement traitées et stockées à un moment donné. C'était un défi avant DORA. DORA en a simplement fait une question d'audit.‍
• Cohérence inter-réglementaire. DORA, NIS-2, le RGPD et les directives de la FINMA (pour les institutions suisses) abordent tous des domaines qui se chevauchent sous différents angles. Les institutions soumises à plusieurs régimes ont constaté qu'harmoniser les contrôles une seule fois est plus avantageux que de répondre séparément aux questions de chaque régulateur.

Ce qu'a dit Alexander Sommer, PDG de SecureSafe

« Il ne suffit plus de sécuriser sa propre infrastructure technique. Les banques et les prestataires de services financiers doivent être en mesure de prouver à tout moment comment les données sensibles sont traitées, stockées et transmises, tant en interne qu'en externe. » — Alexander Sommer, PDG, SecureSafe, cité dans Springer Professional.

Quinze mois plus tard, cette déclaration ressemble moins à un avertissement qu'à une description de la réalité de la surveillance actuelle. Prouver cela, de manière répétée et tout au long de la chaîne d'approvisionnement, est ce que DORA a intégré de manière permanente aux exigences du poste.

Ce qui est utile aujourd'hui

Le guide pratique a mûri. Pour les institutions qui rattrapent encore leur retard, ou pour celles qui se préparent au deuxième cycle de RoI, trois éléments sont constamment utiles.

• ‍Une analyse des lacunes claire. Pas une simple liste de contrôle, mais une véritable comparaison entre ce que la réglementation exige et ce que l'institution peut réellement prouver. Les lacunes constatées en 2025 étaient différentes de celles que les institutions attendaient en 2024.‍
• Une fonction de gestion des tiers rigoureuse. Gestion centralisée du RoI, modèles de contrats centralisés, classification centralisée de la criticité. Les institutions qui ont agi tôt sont maintenant celles qui rencontrent moins de difficultés lors du deuxième cycle.‍
• Des outils qui génèrent des pistes d'audit de manière incidente. Des outils de surveillance, de reporting et de réponse aux incidents qui génèrent des preuves défendables par défaut, plutôt que d'exiger la reconstruction des preuves après coup.

Comment SecureSafe soutient les opérations conformes à DORA

SecureSafe, exploité par DSwiss AG, repose sur une architecture qui s'aligne directement sur plusieurs attentes pertinentes de DORA concernant le traitement des données et documents sensibles.

• ‍Localisation des données en Suisse, sous juridiction suisse (revDSG / LPD), avec des centres de données Tier III et une triple redondance. Pour les entités financières de l'UE utilisant SecureSafe dans le cadre de contrats transfrontaliers, cela se traduit par un profil clair de tiers TIC avec des limites légales et opérationnelles définies.‍
• Chiffrement et architecture à connaissance nulle: AES-256 au repos, TLS en transit, chiffrement d'enveloppe et un modèle à connaissance nulle dans lequel le personnel de SecureSafe n'a pas accès au contenu client déchiffré pendant les opérations normales. L'accès exceptionnel est protégé par un double contrôle (approbation M-sur-N), des flux de travail juste-à-temps limités dans le temps et une journalisation immuable.‍
• Gestion des identités et des accès: Application de la MFA, SSO via SAML et OIDC, cycle de vie utilisateur basé sur SCIM, modèles d'accès RBAC et ABAC, et journaux d'audit complets prenant en charge la preuve à la demande.‍
• Assurance: Certification ISO/IEC 27001, alignement avec revDSG / LPD et RGPD, et prise en charge des exigences DORA et NIS-2 pour les institutions relevant de ces régimes.

Ces propriétés ne rendent pas une institution conforme à DORA à elles seules. La conformité est une détermination faite par l'entité financière, et non par un fournisseur. Ce qu'elles font, c'est réduire les frictions liées à la documentation claire d'une catégorie spécifique d'arrangement avec un tiers TIC dans le Registre des informations et lors des conversations d'audit.