DORA Banque 2026 : Obligations ACPR, Risques TIC et Conformité

Le secteur bancaire est au coeur du règlement DORA (EU) 2022/2554, applicable depuis le 17 janvier 2025. Un an après l'entrée en application, le bilan 2026 révèle un secteur en pleine structuration : l'ACPR a publié plusieurs instructions de supervision, les premiers incidents déclarés au titre des articles 17-23 remontent aux régulateurs, et le régime de notification en 4 heures pour les incidents majeurs est désormais opérationnel. Quand ION Group, prestataire technologique pour les marchés de dérivés, a été frappé par le ransomware LockBit en janvier 2023, des traders d'ABN Amro et d'Intesa Sanpaolo ont dû revenir au papier pour confirmer leurs positions. Ce genre d'incident n'est plus une exception — c'est le quotidien du risque cyber bancaire. Les établissements de crédit, banques universelles, banques en ligne, néobanques et établissements de paiement constituent la catégorie d'entités la plus nombreuse et la plus scrutée par les superviseurs.

Quelles banques sont soumises à DORA en 2026 ?

Toutes les entités bancaires agréées selon la directive CRD IV/V sont dans le champ d'application du règlement DORA. Cela inclut sans exception les établissements de crédit (banques universelles, banques mutualistes, caisses d'épargne), les établissements de paiement agréés, les établissements de monnaie électronique, et les succursales d'établissements de pays tiers établies dans l'UE. Le principe de proportionnalité de l'article 4 du règlement DORA module les exigences selon la taille et le profil de risque. En France, on dénombre environ 340 établissements de crédit et 210 établissements de paiement concernés, supervisés par l'ACPR (au niveau national) et la BCE via le Mécanisme de Supervision Unique pour les groupes significatifs.

Banques systémiques : exigences renforcées

Les banques systémiques — établissements d'importance systémique mondiale (G-SIB) et nationale (O-SIB) — font l'objet d'exigences renforcées dans le cadre DORA. Elles sont soumises aux tests de pénétration TLPT obligatoires tous les 3 ans au plus, à un niveau de reporting plus détaillé auprès de l'ACPR et de la BCE, et sont scrutées en priorité dans les programmes d'inspection superviseurs. BNP Paribas, Crédit Agricole, Société Générale, BPCE et Crédit Mutuel-CIC font partie de cette catégorie en France.

Petites banques et microentités

Les microentreprises financières bénéficient d'un régime simplifié sur certains articles du règlement DORA. Concrètement, les petites banques (notamment certaines banques coopératives locales) peuvent adopter un cadre de gestion des risques TIC simplifié au sens de l'article 16 du règlement, moins formalisé que le cadre complet de l'article 6. Le seuil d'application du régime simplifié est fixé par les normes techniques de l'EBA publiées en 2024.

Cadre de gestion des risques TIC : obligations détaillées

Le chapitre II du règlement DORA (articles 5 à 16) impose aux banques un cadre complet de gestion des risques TIC. Ce cadre doit être documenté dans une politique de gouvernance approuvée par le conseil d'administration ou le directoire. Il doit couvrir l'identification et la classification de tous les actifs TIC, les mesures de protection et prévention, les capacités de détection des anomalies, les plans de réponse et de rétablissement, et les mécanismes d'apprentissage après incident. La première année d'application (2025) a vu l'ACPR conduire une série d'inspections ciblées sur la gouvernance TIC des banques de taille moyenne, avec des constats récurrents sur la maturité de la cartographie des actifs et le caractère formel des plans de continuité.

Cartographie des actifs TIC

L'article 8 du règlement DORA impose une cartographie complète et tenue à jour de tous les actifs TIC supportant les fonctions critiques ou importantes. Pour une banque de taille intermédiaire, cela peut représenter plusieurs milliers d'actifs : serveurs, applications, bases de données, équipements réseau, postes de travail. La cartographie doit identifier les interdépendances et les chemins de risque critiques. Les superviseurs exigent en 2026 que cette cartographie soit machine-readable (export structuré) pour permettre des inspections automatisées.

Plans de continuité et de rétablissement

L'article 11 du règlement DORA exige des plans de continuité des activités TIC et des plans de réponse et de rétablissement. Pour les banques, ces plans doivent couvrir les scénarios de crise les plus plausibles : cyberattaque, panne majeure d'infrastructure, défaillance d'un prestataire cloud critique. Les objectifs de temps de rétablissement (RTO) et de point de rétablissement (RPO) doivent être définis par processus métier et testés au moins annuellement en conditions réelles ou quasi-réelles.

Notification des incidents : délais stricts et procédures

Le chapitre III du règlement DORA impose aux banques un processus de notification des incidents TIC majeurs à l'ACPR. La notification initiale doit intervenir dans les 4 heures suivant la classification de l'incident comme majeur selon les critères de l'article 18. Un rapport intermédiaire doit être transmis dans les 72 heures. Un rapport final est attendu dans le mois suivant la résolution de l'incident. Le non-respect de ces délais constitue en soi une violation du règlement DORA et peut déclencher une procédure de sanction. En 2025, l'ACPR a reçu plusieurs centaines de notifications initiales, dont une partie significative reclassées en incidents non majeurs après analyse. Le critère de classification reste un point d'attention pour 2026 : les banques doivent calibrer leur matrice de gravité pour éviter à la fois la sur-notification (dilution du signal) et la sous-notification (risque de sanction).

Incidents réels : pourquoi DORA est vital pour les banques

Les incidents cyber dans le secteur bancaire ne sont pas théoriques. En juillet 2024, la panne CrowdStrike a paralysé des systèmes bancaires dans le monde entier après une mise à jour défectueuse — illustrant le risque de dépendance à un prestataire unique. En 2016, la Banque centrale du Bangladesh a perdu 81 millions de dollars via une compromission de son accès SWIFT. En France, la Caisse des Dépôts a subi en 2023 une tentative d'intrusion qui a mobilisé ses équipes pendant plusieurs semaines. Ces incidents montrent que le cadre DORA n'est pas une contrainte bureaucratique mais une nécessité opérationnelle.

Le coût réel d'un incident cyber bancaire

Selon le rapport IBM Cost of a Data Breach 2024, le coût moyen d'une violation de données dans le secteur financier atteint 6,08 millions de dollars — le deuxième secteur le plus touché après la santé. Pour une banque française de taille intermédiaire, un incident majeur peut représenter 2 à 5 % du résultat net annuel en coûts directs (remédiation, notification, amendes) et indirects (perte de confiance clients, dépréciation boursière). L'investissement dans la conformité DORA est, en comparaison, un coût de prévention largement inférieur au coût de l'incident.

Tests de résilience : du basique au TLPT

Le chapitre IV du règlement DORA structure les tests de résilience en deux niveaux. Les tests de base (évaluations de vulnérabilité, tests de pénétration classiques, scénarios de continuité) s'appliquent à toutes les banques au moins annuellement. Les tests TLPT (Threat-Led Penetration Testing) sont réservés aux établissements d'importance significative et doivent être conduits par des testeurs externes qualifiés selon le cadre TIBER-EU au moins tous les 3 ans. Pour 2026, les premières campagnes TLPT conduites dans le cadre DORA livrent leurs enseignements : coût moyen par campagne 350 000 à 800 000 euros, durée totale 6 à 10 mois, scope couvrant typiquement 8 à 12 fonctions critiques.

Gestion des prestataires TIC : le registre obligatoire

L'article 28 du règlement DORA impose aux banques de maintenir un registre complet de tous les contrats avec des tiers prestataires TIC. Ce registre doit recenser non seulement les contrats directs mais aussi les sous-traitants et les chaînes de dépendances. Il doit être transmis aux superviseurs sur demande et faire l'objet d'une déclaration annuelle agrégée. La banque reste responsable de la résilience même lorsque des fonctions critiques sont externalisées. L'EBA a publié en 2024 le format standardisé du registre (ITS 2024/14) et la première remontée obligatoire s'est tenue en mars 2025, avec consolidation européenne par les ESAs pour identifier les prestataires tiers critiques.

Rôle de l'ACPR dans la supervision DORA

En France, l'ACPR est l'autorité compétente principale pour superviser l'application de DORA dans le secteur bancaire. Elle dispose de pouvoirs d'enquête, d'injonction et de sanction pouvant atteindre 10 % du chiffre d'affaires annuel pour les personnes morales. L'ACPR s'appuie sur les orientations publiées par l'EBA et participe aux collèges de superviseurs pour les groupes transfrontaliers. Elle peut également déléguer à la BCE certaines missions de supervision pour les groupes soumis au Mécanisme de Supervision Unique. En 2025-2026, la Commission des sanctions de l'ACPR n'a pas encore prononcé de sanction publique au titre de DORA, mais plusieurs dossiers sont en cours d'instruction.

Conclusion

Le règlement DORA transforme profondément les obligations des banques françaises en matière de résilience numérique. Un an après son entrée en application, le bilan 2026 montre un secteur qui a intégré la logique de notification en 4 heures, déployé les premières campagnes TLPT, et structuré ses registres de prestataires — même si la maturité varie fortement entre les grands groupes et les établissements de taille intermédiaire. La panne CrowdStrike de juillet 2024 a montré qu'un seul logiciel défaillant peut paralyser le système financier mondial. DORA invite les établissements bancaires à repenser leur relation à la technologie : non comme une boîte noire gérée par la DSI, mais comme un actif stratégique dont la résilience est une responsabilité collective de l'ensemble de l'organe de direction. Les banques qui l'auront compris auront un avantage compétitif réel — tant en crédibilité auprès des superviseurs qu'en confiance client.