DORA 2025 : Entrée en Vigueur, Obligations et Premier Bilan

Le 17 janvier 2025 restera dans les mémoires des compliance officers européens. Ce matin-là, le règlement DORA (EU) 2022/2554 est devenu juridiquement opposable — et les entités financières qui avaient repoussé leur mise en conformité se sont retrouvées dans une situation inconfortable. Contrairement à certaines réglementations qui accordent des délais de grâce informels, DORA n'a prévu aucune période transitoire au-delà des 24 mois entre publication et application. Les entités financières devaient être conformes dès ce jour. Certaines l'étaient. Beaucoup ne l'étaient pas totalement.

Ce Qui S'est Appliqué au 17 Janvier 2025

Au 17 janvier 2025, l'ensemble des obligations du règlement DORA sont devenues juridiquement opposables. Cela comprend les exigences de cadre de gestion des risques TIC (articles 5-16), le dispositif de gestion et de notification des incidents (articles 17-23), les exigences de test de résilience opérationnelle (articles 24-27), et les règles sur les prestataires TIC tiers (articles 28-44). Aucun article du règlement n'a de date d'application différée.

Obligations Prioritaires au 17 Janvier 2025

Parmi les obligations devenues immédiatement exigibles, trois sont particulièrement critiques. Premièrement, le cadre de gouvernance : l'organe de direction doit avoir défini et approuvé la stratégie de résilience numérique. Deuxièmement, le registre des contrats TIC : un inventaire complet des contrats avec les prestataires TIC doit exister et être tenu à jour. Troisièmement, le processus de notification d'incidents : le dispositif de classification et de notification aux autorités doit être opérationnel dès le premier incident.

Les Normes Techniques Publiées en 2024

Plusieurs normes techniques réglementaires (RTS) ont été finalisées en 2024 pour accompagner l'entrée en vigueur de DORA. Les RTS sur la gestion des risques TIC (simplifiée et complète), les RTS sur la classification des incidents, les RTS sur les tests TLPT, et les RTS sur les contrats avec les prestataires TIC sont désormais applicables. Certains ITS sur le format des registres de contrats ont connu des délais de publication qui ont complexifié la conformité pour certains acteurs.

Premier Bilan : État de la Conformité en 2025-2026

Les enquêtes menées par les autorités nationales compétentes au premier semestre 2025 révèlent un tableau contrasté. La grande majorité des grands établissements (banques systémiques, grands assureurs) ont atteint un niveau de conformité substantielle — BNP Paribas, Société Générale et AXA avaient anticipé en lançant leurs programmes DORA dès 2023. En revanche, les établissements de taille intermédiaire et les fintechs affichent des lacunes plus importantes, notamment sur la cartographie des actifs TIC et la gestion contractuelle des prestataires. L'ACPR a adressé des questionnaires ciblés à plusieurs dizaines d'établissements dès mars 2025, ciblant en priorité les registres de contrats ICT tiers et les processus de notification d'incidents. La BCE, dans son rapport de supervision 2025, a identifié le risque ICT tiers comme l'une de ses trois priorités superviseurs.

Points de Friction Identifiés

Plusieurs points de friction ont émergé dans les premiers mois d'application. La renégociation des contrats prestataires TIC s'est révélée plus longue que prévu, notamment face aux grands fournisseurs cloud qui ont leurs propres modèles de clauses. La classification des incidents selon les critères DORA génère des incertitudes d'interprétation. La mise en place des tests de résilience avancés (TLPT) nécessite des ressources humaines qualifiées rares sur le marché.

Calendrier Prospectif 2025-2027

Au-delà du 17 janvier 2025, plusieurs jalons structurent le déploiement complet de DORA. Les premiers exercices TLPT pour les entités les plus importantes sont attendus pour 2025-2026. La supervision directe des tiers critiques par les autorités européennes (EBA, EIOPA, ESMA) monte progressivement en puissance. Les rapports de convergence superviseurs publiés en 2026 permettront de mesurer l'harmonisation réelle atteinte entre États membres.

Leçons des Premiers 14 Mois d'Application

Avec plus d'un an de recul depuis l'entrée en vigueur, plusieurs enseignements se dégagent. D'abord, la panne CrowdStrike de juillet 2024 — survenue quelques mois avant l'entrée en vigueur — a servi d'électrochoc pour les retardataires. Des banques qui hésitaient encore à investir dans la conformité DORA ont accéléré après avoir vu leurs systèmes paralysés par un prestataire tiers défaillant. Ensuite, la constitution des registres de contrats ICT s'est révélée un travail colossal : une banque de taille intermédiaire référence en moyenne 400 à 800 contrats ICT, dont beaucoup n'avaient jamais été centralisés. Enfin, le marché des testeurs TLPT agréés reste tendu, avec des délais d'attente de 3 à 6 mois pour planifier un test avancé.

Conclusion

L'entrée en vigueur de DORA au 17 janvier 2025 a déclenché une nouvelle ère de supervision de la résilience numérique financière en Europe. Le premier bilan montre une conformité inégale selon la taille des acteurs, sans surprise. Les régulateurs ont adopté une approche pragmatique pour les premiers mois, mais la pression de conformité va s'intensifier avec les premiers contrôles approfondis attendus en 2026.