La panique de janvier 2025 est bel et bien terminée. Mais pour les dirigeants les plus performants du secteur financier, le véritable travail, et les véritables récompenses, ne font que commencer. Nous analysons comment la loi sur la résilience opérationnelle numérique a fait évoluer le débat, passant de la simple prévention des amendes à la protection des revenus.
Alors que beaucoup considéraient la loi sur la résilience opérationnelle numérique (DORA) comme une contrainte réglementaire, les douze derniers mois ont révélé sa véritable fonction : elle constitue un plan directeur pour la disponibilité des services. Nous constatons aujourd’hui des preuves tangibles que les mécanismes spécifiques mis en œuvre par la DORA, à savoir des tests numériques rigoureux et une cartographie détaillée de la chaîne d’approvisionnement, ne se contentent pas de satisfaire aux exigences réglementaires. Ils permettent d’éviter des interruptions de service ayant des conséquences désastreuses sur le chiffre d’affaires.
Pour comprendre pourquoi, il faut examiner le changement culturel qui s'est produit au sein du conseil d'administration.
Les pannes qui n'ont pas eu lieu
Il est difficile de croire qu'une année entière s'est écoulée depuis l'échéance du 17 janvier. Souvenez-vous de fin 2024 : les analyses d'écart menées à la hâte, les nuits blanches passées à examiner les contrats de prestataires TIC et la course contre la montre pour cartographier les fonctions critiques.
Pour beaucoup, c'était la ligne d'arrivée. Mais pour les « gagnants » de 2025, c'était le coup d'envoi d'une nouvelle ère de défense active.
« Nombre d’organisations perçoivent la DORA comme une simple contrainte réglementaire », déclare Chris Newton-Smith, PDG d’ISMS.online. « Or, le changement le plus crucial que les entreprises devraient opérer est de se poser les bonnes questions concernant leur conformité. Trop d’entre elles se concentrent sur la question « Sommes-nous conformes ? » alors que la question plus pertinente est : « Notre conformité nous permet-elle réellement de poursuivre nos activités en cas de problème ? » »
Comme le souligne Newton-Smith, lorsqu'on change de mentalité, « la conformité cesse très vite d'être un simple exercice de formalité et devient une protection active de l'organisation ».
L’impact le plus significatif de DORA a peut-être été les « victoires invisibles », les pannes qui n’ont jamais eu lieu.
Pour comprendre l'ampleur de ce changement, il faut examiner l'état d'esprit du secteur au moment même où la réglementation est entrée en vigueur. Etienne Bouet, directeur principal du cabinet de conseil Wavestone, averti En janvier 2025, on a constaté que le secteur risquait de passer à côté de l'essentiel s'il se concentrait uniquement sur les formalités administratives.
« DORA ne doit pas être perçu comme un simple exercice de conformité », avait alors souligné Bouet. « Certes, il y a des exigences réglementaires à respecter, mais le véritable défi consiste à renforcer la résilience… la conformité seule est insuffisante si elle ne s’accompagne pas d’améliorations concrètes en matière de résilience. »
Ceux qui ont suivi ces conseils en récoltent aujourd'hui les fruits. Ces douze derniers mois, nous avons vu des organisations passer d'une simple « protection théorique », fondée sur des politiques de sécurité, à un système de défense active et impénétrable. Ce changement n'était pas facultatif. L'exigence de la loi DORA, qui imposait de démontrer comment se rétablir après une grave perturbation des systèmes d'information, a contraint les équipes à mettre leurs hypothèses à l'épreuve.
Il en résulte un paysage de systèmes capables de se rétablir. Lorsque des erreurs mineures de configuration du cloud ont affecté les processeurs de paiement en début d'année, les banques conformes à la loi DORA n'ont pas été paralysées. Leurs protocoles de redondance, testés et perfectionnés dans le cadre du pilier « tests de résilience opérationnelle numérique » de la loi DORA, se sont activés automatiquement.
Une nouvelle ère de maturité
Ce changement marque une maturation du secteur. Pendant des années, le secteur de la FinTech en particulier s'est caractérisé par une croissance rapide, souvent au détriment de la stabilité. La loi DORA a de fait imposé un débat plus mature sur la gestion des risques.
À la mi-2025, les tensions liées à cette transition étaient visibles. Recensement à l'échelle enquête Une étude publiée en juillet 2025 a révélé que six mois après la mise en place du régime, 96 % des organisations financières de la zone EMEA estimaient encore que leur résilience en matière de données « n’était pas à la hauteur ».
Cette statistique met en lumière une fracture sur le marché. D'un côté, les 96 % qui peinaient à intégrer la résilience à leurs systèmes existants. De l'autre, les entreprises agiles qui ont utilisé DORA comme modèle pour moderniser leur architecture.
Pour les entreprises gagnantes, la fin du « développement rapide et des changements hasardeux » est désormais au cœur des préoccupations du conseil d'administration. Lors de la présentation des rapports de fin d'année, les responsables de la sécurité ne se contentent plus de lister les états de conformité. Ils mettent en avant les économies réalisées grâce à la disponibilité des systèmes, contrairement à la concurrence.
Chaîne d'approvisionnement : le « casse-tête » de l'interconnexion
Si 2024 a été l'année de la confiance accordée aux fournisseurs, 2025 et 2026 ont été celles de leur surveillance. La dépendance envers les tiers a toujours constitué un risque connu, mais la loi DORA a contraint les organisations à le quantifier.
Olaf Jonkers, responsable de la sécurité interne de la plateforme d'identité numérique itsme, avait déjà souligné ce changement de responsabilité en février 2025.
« DORA veille à ce que les fournisseurs de services TIC qui proposent des services aux institutions financières soient tenus responsables du maintien d'une gouvernance interne solide », Jonkers expliqué« C’est très important car la dépendance croissante des institutions financières vis-à-vis des fournisseurs de TIC signifie qu’une panne ou une faille de sécurité du système peut soudainement réduire leurs opérations à une fraction infime. »
L'accent mis par DORA sur la gestion des risques liés aux tiers (TPRM) dans le domaine des TIC a contraint les organisations à cartographier ces dépendances. Les équipes de sécurité ont probablement découvert qu'une fonction « critique » reposait sur un fournisseur qui dépendait lui-même d'un autre fournisseur, lequel ne disposait d'aucun plan de secours.
La cartographie initiale a été laborieuse. Mais les bénéfices opérationnels ont été considérables. Nous ne sommes plus pris au dépourvu par les défaillances de tiers. Auparavant, une panne chez un fournisseur était une excuse valable : « Ce n’est pas notre faute, c’est celle du fournisseur de cloud. » Cet argument ne passe plus auprès des clients, et encore moins auprès des autorités de réglementation. Grâce à DORA, les stratégies de sortie et les architectures multi-fournisseurs pour les fonctions critiques sont désormais la norme.
La conformité comme moteur de valeur
Dans ce monde où les échéances sont toujours serrées, le danger réside dans la complaisance. Le contexte des risques évolue quotidiennement ; si la documentation relative à la résilience reste figée, une organisation est déjà en situation de non-conformité.
Au cours de l'année écoulée, nous avons constaté que de nombreuses équipes ont rencontré des difficultés car elles ont considéré DORA comme un projet ponctuel. Elles ont créé leur registre d'informations dans Excel, l'ont classé et ne l'ont plus consulté depuis. Ces données sont désormais obsolètes.
« La priorité est de maintenir la conformité opérationnelle », conseille Newton-Smith. « Nous constatons que les cadres comme DORA apportent le plus de valeur aux entreprises lorsque leur direction dispose d'une vision en temps réel de la conformité… Cela signifie que les entreprises doivent abandonner les documents statiques et le suivi manuel au profit d'outils permettant une surveillance continue. »
Il n'est plus possible de gérer la résilience opérationnelle dynamique avec des outils statiques. Les responsables de la sécurité ont besoin d'une vision en temps réel des risques. Si le certificat de sécurité d'un fournisseur clé expire, le registre des risques doit être mis à jour immédiatement.
La résilience est source de revenus
L’ère de la « peur, de l’incertitude et du doute » (FUD) dans la vente de solutions de cybersécurité est révolue. DORA a propulsé le secteur dans l’ère de la résilience comme facteur de valeur.
Les organisations qui réussiront en 2026 ne seront pas celles qui ont tout juste obtenu leur certification en janvier dernier. Ce seront celles qui auront utilisé le cadre de référence pour renforcer leurs opérations. Elles subissent moins d'interruptions de service, gèrent les risques liés aux fournisseurs de manière proactive et dorment sur leurs deux oreilles, sachant que leurs plans de reprise d'activité sont efficaces.
Pour saisir la véritable valeur de ce changement, les dirigeants devraient consulter leurs journaux d'incidents des six derniers mois. En identifiant les incidents évités de justesse grâce aux contrôles mis en place pour DORA et en calculant le coût potentiel si ces incidents avaient dégénéré en pannes complètes, la réalité financière apparaît clairement. Ce chiffre, le coût de la catastrophe évitée, représente la véritable valeur de la conformité. L'échéance est passée, mais l'ère de la stabilité est arrivée pour ceux qui disposent des outils nécessaires pour en profiter.
