DORA Janvier 2025 : Bilan des Premiers Mois d'Application

Six mois après l'entrée en vigueur du règlement DORA (EU) 2022/2554 le 17 janvier 2025, les premiers retours du terrain permettent de dresser un bilan nuancé de l'état de la conformité dans le secteur financier français et européen.

Avancement de la Conformité par Taille d'Entité

Les grandes banques systémiques et les grands assureurs affichent un niveau de conformité substantielle. Ils avaient commencé leurs projets DORA dès 2022-2023. Les établissements de taille intermédiaire présentent des lacunes plus marquées, notamment sur la gestion contractuelle des prestataires TIC. Les petites entités (petites mutuelles, petites fintechs) sont les plus en retard, souvent par manque de ressources dédiées.

Points de Friction Majeurs Identifiés

Plusieurs points de friction ont émergé dans les premiers mois. La renégociation des contrats prestataires TIC est plus longue que prévu, notamment face aux grands éditeurs logiciels qui disposent de peu de flexibilité contractuelle. La cartographie des actifs TIC révèle souvent une complexité insoupçonnée dans les architectures IT. La classification des incidents selon les critères DORA génère des incertitudes d'interprétation qui nécessitent des clarifications superviseurs.

Attitude des Superviseurs

L'ACPR et l'AMF ont adopté une approche pragmatique et pédagogique dans les premiers mois. Elles ont privilégié la publication de guides, l'organisation de réunions de place et les questionnaires superviseurs préalables aux inspections formelles. Les premières inspections thématiques dédiées à DORA sont annoncées pour 2025-2026. Le message est clair : la bienveillance initiale a une limite temporelle.

Conclusion

Le premier semestre 2025 a été une période de rodage. Le secteur financier a globalement pris DORA au sérieux mais l'écart entre les grands acteurs bien préparés et les acteurs plus petits reste significatif. La pression de conformité va s'intensifier à partir de 2026 avec les premières inspections formelles.