DORA : Entre renforcement de la résilience numérique et défis juridiques pour le secteur financier

Adopté en novembre 2022, le Digital Operational Resilience Act (DORA) est officiellement entré en vigueur le 16 janvier 2023, avec une application complète dès le 17 janvier 2025. Issu de la stratégie de finance numérique de l’UE, il instaure un cadre réglementaire destiné à renforcer la résilience opérationnelle numérique au sein du secteur financier.

DORA impose notamment la mise en place d’une gouvernance renforcée de la cybersécurité : les entreprises visées doivent élaborer des politiques formalisées de gestion des risques informatiques, définir des plans de continuité d’activité et procéder à des tests de pénétration récurrents. Le texte prévoit également une surveillance continue des vulnérabilités, un suivi régulier des menaces émergentes et l’établissement de procédures d’escalade rapide en cas d’incident majeur. Ces obligations s’étendent jusqu’aux prestataires tiers qui traitent des données ou fournissent des services critiques, poussant les établissements à auditer et contrôler plus étroitement leurs sous-traitants.

La mise en conformité exige de nouveaux investissements, tant sur le plan technique que sur le plan humain. Les acteurs financiers devront recruter des profils spécialisés, revoir leurs architectures informatiques et, bien souvent, revoir leurs contrats de service. Les plus petites structures, confrontées à des contraintes budgétaires plus serrées, risquent de concentrer une part significative de leurs ressources sur l’alignement réglementaire, au risque de freiner certaines initiatives d’innovation. Pour les grands groupes, cette obligation de standardisation peut toutefois être perçue comme l’opportunité de rationaliser leurs processus et d’instaurer une cohérence internationale en matière de sécurité des systèmes d’information.

Des chocs juridiques potentiels apparaissent lorsque DORA se superpose à d’autres cadres législatifs déjà en place. Le RGPD, par exemple, impose de strictes obligations en matière de protection des données personnelles, et la directive NIS 2 s’applique également à la sécurisation des réseaux et des systèmes d’information. Ces textes partagent une finalité commune – la protection contre les risques numériques –, mais recèlent parfois des exigences qui peuvent s’avérer contradictoires ou redondantes. Les entreprises doivent ainsi naviguer avec prudence entre des normes qui, pour être efficaces, nécessitent une bonne coordination au niveau européen.

Par exemple, en matière de gestion des incidents cyber, DORA exige des établissements financiers une notification rapide aux autorités financières, alors que la directive NIS 2 prévoit également un signalement immédiat aux autorités nationales de cybersécurité, générant un risque de notifications multiples pour un même incident. Concernant la sous-traitance, DORA impose un contrôle accru des prestataires tiers traitant des services informatiques critiques, alors que le RGPD prévoit déjà des obligations strictes quant à la gestion des données personnelles par ces mêmes sous-traitants, créant ainsi une double responsabilité complexe à gérer pour les entreprises. Enfin, les tests réguliers de résilience prévus par DORA peuvent entrer en collision avec les exigences similaires imposées par la directive NIS 2, entraînant potentiellement des redondances et une surcharge administrative.

Cette multiplication d’exigences, si elle n’est pas accompagnée de lignes directrices harmonisées, alourdit le cadre juridique et peut générer une insécurité quant à la primauté de telle ou telle disposition.

DORA offre néanmoins un levier de confiance pour le secteur financier, en poussant les acteurs à adopter des pratiques plus robustes face à l’intensification des cybermenaces. Il encourage en effet une approche collaborative entre les entités nationales et facilite les échanges d’informations, indispensables pour anticiper et contrer les menaces globalisées. Il reste que cette ambition doit composer avec des impératifs de flexibilité et d’adaptation, faute de quoi le risque d’une conformité seulement formelle l’emportera sur la recherche d’une résilience opérationnelle véritablement pérenne.