DORA n'est pas une réforme cosmétique. Le règlement (EU) 2022/2554 impose une transformation structurelle de la façon dont les établissements financiers gèrent leur résilience numérique. Six mois après son entrée en vigueur le 17 janvier 2025, les premières estimations chiffrent l'investissement moyen de mise en conformité à 2-5 % du budget IT annuel pour les établissements de taille intermédiaire. Pour les grands groupes bancaires, ce montant se compte en dizaines de millions d'euros.

Transformation de la Gouvernance IT

L'impact le plus immédiat de DORA concerne la gouvernance. L'article 5 du règlement impose que l'organe de direction — conseil d'administration ou directoire — définisse personnellement la stratégie de résilience numérique et en assure la supervision. Cette obligation sort la cybersécurité du seul périmètre de la DSI pour en faire une responsabilité de niveau exécutif.

Responsabilité Personnelle des Dirigeants

Le règlement DORA établit une responsabilité personnelle des membres de l'organe de direction. Ils doivent suivre des formations régulières sur les risques TIC, participer à l'évaluation du cadre de gestion et valider les décisions d'investissement en matière de résilience. Cette responsabilisation directe est nouvelle dans le paysage réglementaire financier français.

Création de Fonctions Dédiées

Beaucoup d'établissements ont dû créer ou renforcer des fonctions spécifiques : CISO (Chief Information Security Officer) avec rattachement hiérarchique élevé, responsable de la continuité d'activité numérique, et équipes dédiées à la gestion des incidents TIC. Ces créations de postes représentent un coût récurrent significatif.

Révision Complète des Contrats Prestataires TIC

Le chapitre V du règlement DORA sur les tiers prestataires TIC génère sans doute l'impact opérationnel le plus lourd. Tous les contrats avec des prestataires TIC fournissant des services critiques ou importants doivent intégrer des clauses minimales définies aux articles 30 et suivants : droit d'audit, niveaux de service garantis, plans de continuité, localisation des données, procédures de sortie. La renégociation de centaines de contrats existants représente un chantier juridique majeur.

Investissements Technologiques Imposés

DORA oblige à des investissements technologiques concrets. La cartographie complète des actifs TIC (article 8) nécessite des outils de gestion des actifs si l'établissement n'en dispose pas. La surveillance continue des systèmes (article 10) implique des solutions de détection et réponse. La sauvegarde et le chiffrement des données critiques (article 12) peuvent nécessiter des migrations d'infrastructure. Les tests de résilience avancés (chapitre IV) imposent des méthodologies et outils spécifiques.

Coût de la Non-Conformité

Au-delà des sanctions administratives (jusqu'à 10 millions d'euros ou 5 % du CA), la non-conformité à DORA expose à des risques réputationnels majeurs. Un incident cyber non géré selon les exigences DORA, notamment les délais de notification aux autorités, peut entraîner une communication de crise coûteuse et une perte de confiance des clients. Les assureurs cyber commencent également à intégrer la conformité DORA dans leurs critères de souscription.

Opportunités pour les Établissements Avancés

DORA crée aussi des opportunités compétitives. Les établissements qui investissent en avance dans leur résilience numérique bénéficient d'une meilleure posture face aux cyberattaques, d'une relation de confiance renforcée avec leurs superviseurs, et d'un avantage lors des appels d'offres publics où la conformité réglementaire devient critère de sélection. La résilience numérique devient un argument commercial auprès des grands corporates.

Conclusion

L'impact de DORA sur le secteur financier français est structurant et durable. Il ne s'agit pas d'un simple exercice de conformité documentaire mais d'une transformation réelle des processus, de la gouvernance et des investissements technologiques. Les établissements qui traitent DORA comme un projet de fond — et non comme une case à cocher — en ressortiront réellement plus résilients face aux risques numériques croissants.

Questions fréquentes

Quel est le coût moyen de conformité à DORA ?

Les estimations varient selon la taille et la maturité de l'établissement. Pour les établissements de taille intermédiaire, le coût de mise en conformité représente généralement 2 à 5 % du budget IT annuel. Pour les grands groupes, les montants peuvent atteindre 20 à 50 millions d'euros sur 2-3 ans.

DORA s'applique-t-il aux néobanques et fintechs ?

Oui. Toute entité financière agréée soumise à la réglementation financière européenne est concernée par DORA, quelle que soit sa taille. Les fintechs agréées (établissements de paiement, établissements de monnaie électronique) sont explicitement dans le champ d'application du règlement (EU) 2022/2554.