Les banques sont en première ligne du règlement DORA. En tant qu'établissements de crédit, elles cumulent les obligations les plus strictes : cadre complet de gestion des risques ICT, reporting d'incidents, tests de résilience avancés (TLPT pour les établissements significatifs), registre exhaustif des prestataires tiers, et une gouvernance ICT repensée avec la responsabilité directe du conseil d'administration.
Pour un directeur des risques ou un RSSI dans une banque, DORA n'est pas juste un texte de plus à empiler sur la pile NIS2/RGPD/DSP2. C'est un changement de paradigme dans la manière dont le risque numérique est gouverné.
Ce que DORA change concrètement pour une banque
La gouvernance ICT remonte au board
C'est peut-être la transformation la plus profonde. L'article 5 de DORA impose que l'organe de direction de l'établissement de crédit définisse, approuve, supervise et soit responsable de la mise en œuvre du cadre de gestion des risques ICT. Pas le DSI. Pas le RSSI. Le board.
En pratique, ça signifie que le conseil d'administration doit comprendre les risques ICT avec suffisamment de détail pour prendre des décisions éclairées. Un responsable conformité d'un réseau mutualiste m'a décrit le changement : "Avant, le board recevait un slide par trimestre avec un feu vert. Maintenant, il y a 45 minutes de discussion sur la posture cyber à chaque conseil. Et les administrateurs posent des questions pointues."
Ce n'est pas anecdotique. L'ACPR a indiqué dans ses priorités de supervision 2025 que la gouvernance ICT serait un axe majeur de contrôle. Les établissements où le board ne maîtrise pas le sujet s'exposent à des observations, voire des sanctions.
Le cadre de gestion des risques ICT — version bancaire
Les banques avaient déjà des obligations en matière de gestion des risques opérationnels via CRD/CRR et les guidelines EBA. DORA ajoute une couche spécifique ICT beaucoup plus prescriptive. Le cadre doit couvrir :
| Composante | Exigence DORA | Existant typique pré-DORA |
|---|---|---|
| Stratégie ICT | Alignée sur la stratégie business, approuvée par le board | Souvent déconnectée, pilotée par la DSI |
| Cartographie des actifs ICT | Exhaustive, incluant les dépendances tiers | Partielle, focalisée sur les actifs critiques |
| Protection et prévention | Chiffrement, MFA, segmentation, DLP | Variable selon la maturité |
| Détection | Capacités SOC, corrélation d'événements, threat intelligence | Souvent externalisé, pas toujours 24/7 |
| Réponse et reprise | Plans testés, RTO/RPO documentés et vérifiés | Plans existants mais rarement testés en conditions réelles |
| Apprentissage | Post-mortem systématique, amélioration continue | Aléatoire, souvent informel |
Le reporting d'incidents — 4 heures, pas une minute de plus
Pour les banques, le processus de notification des incidents ICT majeurs doit être rodé comme une mécanique suisse. La notification initiale dans les 4 heures suivant la classification n'est pas un objectif — c'est une obligation. Consultez notre article détaillé sur le reporting des incidents ICT DORA.
L'enjeu pour les banques est la qualification rapide. Un incident qui touche les services de paiement en ligne un samedi matin doit être détecté, analysé, classifié et notifié dans des délais très courts. Les équipes de permanence doivent avoir l'autorité et la compétence pour prendre ces décisions sans attendre le lundi.
L'articulation avec le reporting BCE/SSM
Les banques significatives sous supervision directe de la BCE avaient déjà des obligations de reporting d'incidents cyber via le mécanisme SSM. DORA harmonise et formalise ce processus. La bonne nouvelle : un seul canal de notification devrait suffire, l'autorité compétente nationale transmettant aux entités européennes concernées. La mauvaise nouvelle : les délais DORA sont plus stricts que les pratiques antérieures de certains établissements.
Les TLPT — le crash test des grandes banques
Les établissements de crédit significatifs sont les premiers candidats aux TLPT. En France, ça couvre les six groupes bancaires systémiques (BNP Paribas, Société Générale, Crédit Agricole, BPCE, Crédit Mutuel, La Banque Postale) et potentiellement d'autres établissements identifiés par l'ACPR.
Pour les détails méthodologiques, notre article sur les tests de résilience DORA couvre l'ensemble du sujet. Ce qui est spécifique aux banques, c'est l'ampleur du périmètre : systèmes de paiement, core banking, plateformes de trading, services de conservation, infrastructures de compensation — chaque fonction critique peut être dans le scope d'un TLPT.
Un RSSI d'une banque de détail m'expliquait le défi logistique : "Notre TLPT couvre 12 fonctions critiques réparties sur 4 prestataires cloud et 3 datacenters. La coordination seule — avant même de commencer les tests — a nécessité 6 mois de préparation."
Le registre des prestataires ICT — un chantier colossal pour les banques
Une banque universelle de taille intermédiaire travaille typiquement avec 200 à 400 prestataires ICT. Les grands groupes bancaires en comptent parfois plus de 1 000. Constituer un registre conforme aux RTS pour un tel volume est un projet à part entière.
Le piège le plus fréquent : penser que le registre se limite aux "gros" prestataires — cloud, core banking, éditeur de PCA. Faux. DORA couvre TOUS les prestataires ICT, y compris le fournisseur de votre solution de visioconférence, votre plateforme de signature électronique, votre outil de gestion des habilitations. Chacun doit figurer dans le registre avec le niveau de détail exigé par les RTS.
DORA et DSP2 — la double contrainte pour les services de paiement
Les banques qui fournissent des services de paiement sont soumises à la fois à DORA et aux exigences de la directive sur les services de paiement (DSP2/DSP3). Les obligations de sécurité forte du client (SCA), de monitoring des transactions et de reporting des incidents de sécurité se chevauchent partiellement avec DORA.
L'approche recommandée : utiliser le cadre DORA comme socle et mapper les exigences DSP2 spécifiques en complément. Les obligations de notification d'incidents DSP2 (via les RTS EBA) sont absorbées par le cadre harmonisé de DORA.
Les spécificités des banques de petite taille
Toutes les banques ne sont pas des groupes systémiques. Les établissements de crédit de petite taille bénéficient du cadre simplifié de l'article 16 de DORA — sous conditions. Le cadre simplifié allège les exigences de documentation et de processus mais maintient les obligations fondamentales.
Concrètement, une banque privée de 150 employés n'aura probablement pas à conduire de TLPT. Mais elle devra quand même disposer d'un cadre de gestion des risques ICT proportionné, tenir un registre de ses prestataires, et être capable de notifier un incident majeur dans les délais.
Checklist de conformité pour les banques
| Domaine | Action | Statut à vérifier |
|---|---|---|
| Gouvernance | Le board a approuvé le cadre de gestion des risques ICT | PV du conseil |
| Gouvernance | Un membre du board est identifié comme référent ICT | Organigramme |
| Risques ICT | Cartographie complète des fonctions critiques | Document validé |
| Risques ICT | Politique de sécurité ICT conforme aux RTS | Politique à jour |
| Incidents | Processus de classification et notification opérationnel | Procédure testée |
| Incidents | Équipe de permanence formée et habilitée | Planning + formation |
| Tests | Programme annuel de tests de résilience planifié | Plan de test |
| Tests | TLPT en cours ou planifié (si significatif) | Contrat prestataire |
| Tiers ICT | Registre d'informations constitué et maintenu | Registre à jour |
| Tiers ICT | Contrats revus (clauses article 30) | Revue juridique |
| Continuité | PCA/PRA testé et conforme aux exigences DORA | Rapport de test |
FAQ — DORA pour les banques
L'ACPR a-t-elle publié des guidelines spécifiques pour les banques françaises ?
L'ACPR s'appuie principalement sur les RTS/ITS des AES et les guidelines EBA. Elle a publié des communications spécifiques sur ses attentes en matière de supervision DORA, notamment dans son rapport annuel et ses lettres de fin d'exercice. Pas de guidelines "françaises" au-delà du cadre européen.
Les succursales de banques de pays tiers établies en France sont-elles concernées ?
Oui, dans la mesure où elles sont agréées et supervisées par l'ACPR. DORA s'applique aux établissements de crédit tels que définis par le CRR, ce qui inclut les succursales d'établissements de pays tiers autorisées dans l'UE.
DORA remplace-t-il les exigences de l'arrêté du 3 novembre 2014 (ACPR) ?
DORA ne remplace pas formellement l'arrêté, mais ses exigences en matière de risque ICT vont au-delà. Les banques doivent se conformer aux deux, DORA constituant le standard le plus élevé sur les aspects qu'il couvre.
Pour les banques, DORA n'est pas une révolution — c'est l'aboutissement d'une décennie de renforcement des exigences de résilience numérique. Mais c'est la première fois que toutes ces exigences sont rassemblées dans un cadre unique, directement applicable, avec une supervision coordonnée au niveau européen. Les établissements qui l'ont compris investissent au-delà de la conformité — ils en font un avantage concurrentiel.