Conformité DORA et direction financière : un nouveau mandat de résilience opérationnelle numérique
Pour une direction financière, la conformité DORA n’est plus un sujet purement technique. Le règlement DORA de l’Union européenne redéfinit la résilience opérationnelle numérique comme un enjeu de pilotage financier, au même titre que la liquidité ou le BFR, avec un impact direct sur le coût du capital et la notation. Dans ce cadre, la résilience n’est plus un simple indicateur de sécurité informatique mais un déterminant de continuité d’activité, de valorisation et de confiance investisseurs.
Le règlement DORA impose aux entités financières une cartographie exhaustive des risques TIC et des dépendances critiques, que la direction financière doit intégrer dans son cadre de gestion des risques. Les entités financières doivent désormais démontrer une résilience opérationnelle numérique chiffrée, avec des scénarios de stress, des seuils d’incidents majeurs et des plans de remédiation budgétés, ce qui transforme la gestion des risques TIC en véritable gestion de risque financier. Pour un directeur financier, ignorer ces exigences revient à sous-estimer un risque de rupture opérationnelle qui peut détruire plusieurs années de marge en quelques heures.
La mise en conformité implique aussi une gouvernance claire entre DAF, RSSI et direction juridique, sous le regard d’autorités compétentes européennes et nationales. Les institutions financières doivent prouver que les décisions relatives aux services TIC critiques, aux prestataires tiers et aux tiers de services cloud sont arbitrées avec des critères financiers, de sécurité et de résilience opérationnelle alignés, et non plus dans des silos. Dans le secteur financier, cette gouvernance intégrée devient un avantage concurrentiel, car elle permet de négocier différemment les contrats, de prioriser les investissements numériques et de sécuriser les plans de croissance externe.
Dans ce contexte, la conformité DORA ne peut plus être déléguée intégralement au RSSI ou au DSI. Le DAF doit piloter un véritable cadre de gestion des risques numériques, incluant les services TIC, les risques TIC et les coûts de mitigation, avec des KPI suivis en comité d’audit. La réglementation fait ainsi basculer la résilience opérationnelle dans le champ du pilotage financier, en liant directement incidents, pertes d’exploitation, provisions et communication financière.
Les directions financières du secteur financier se heurtent toutefois à une réalité chiffrée préoccupante. Les données d’Advisori, issues d’analyses de marché réalisées en 2023 sur un panel d’institutions européennes (banques, assureurs et prestataires de services d’investissement), estiment le taux moyen de conformité DORA autour de 56 %, ce qui signifie qu’environ 44 % des entreprises financières restent en retard malgré un cadre européen directement applicable et une pression croissante des régulateurs. Ce décalage entre le texte du règlement et la mise en œuvre effective crée un risque de sanctions, mais surtout un risque de perte de confiance des contreparties et des investisseurs.
Les institutions financières les plus avancées ont compris que l’alignement DORA–direction financière est un levier de crédibilité auprès des marchés. En intégrant la gestion des risques TIC dans les rapports au conseil et dans la communication aux investisseurs, ces entités financières montrent que la résilience opérationnelle numérique est traitée comme un actif stratégique, et non comme un centre de coûts. À l’inverse, les acteurs qui restent dans une logique minimale de conformité s’exposent à voir leurs incidents majeurs amplifiés médiatiquement et financièrement.
Pourquoi 70 % du marché reste en retard : arbitrages budgétaires et complexité réglementaire
Si la mise en œuvre de DORA plafonne, c’est d’abord parce que les directions financières arbitrent entre plusieurs chantiers réglementaires simultanés. Entre la CSRD, la facturation électronique obligatoire et la réglementation DORA, le portefeuille de projets de conformité explose, alors que les équipes restent contraintes et que les budgets de transformation sont déjà engagés. Dans ce contexte, la résilience opérationnelle numérique est souvent perçue comme un sujet défensif, moins prioritaire que les obligations de reporting extra-financier ou les projets de croissance.
La complexité du règlement tient aussi à la transversalité de la gestion des risques TIC, qui touche à la fois les systèmes comptables, les outils de trésorerie, les plateformes de paiements et les services TIC externalisés. Les entités financières doivent cartographier des chaînes complètes de dépendances, incluant les prestataires tiers, les tiers de services cloud et les sous-traitants critiques, ce qui dépasse largement le périmètre traditionnel de la direction financière. Dans beaucoup d’institutions, les données nécessaires à cette cartographie sont dispersées entre achats, DSI, risques et métiers, ce qui ralentit la mise en conformité.
Les directions financières doivent aussi composer avec un empilement de textes, entre réglementation DORA, NIS 2, exigences locales de supervision et normes internes de sécurité. Cette superposition crée un risque de doublons, de zones grises et de fatigue réglementaire, qui pousse certains comités exécutifs à reporter les investissements de résilience opérationnelle. Pourtant, les exigences DORA peuvent être articulées intelligemment avec d’autres chantiers, notamment les projets de reporting extra-financier décrits dans les analyses sur la CSRD et l’ajustement du périmètre réglementaire.
Le manque de moyens humains qualifiés est un autre frein majeur à la mise en conformité dans les directions financières. Les profils capables de parler à la fois gestion des risques TIC, modélisation financière et sécurité numérique sont rares, ce qui limite la capacité à structurer un cadre de gestion robuste. Dans de nombreuses entités, le DAF se retrouve à piloter la trajectoire DORA avec des ressources fragmentées, en s’appuyant sur des consultants externes pour les tests de résilience et la revue des contrats de services TIC.
Les chiffres de cybersécurité rappellent pourtant que l’inaction n’est plus une option pour le secteur financier. Les fraudes au virement bancaire ont bondi de plus de 170 % en France entre 2019 et 2023 selon Cybermalveillance.gouv.fr, qui s’appuie sur les signalements d’entreprises et d’administrations, tandis que les deepfakes sont impliqués dans une part croissante des escroqueries ciblant les directions financières, ce qui transforme chaque incident en risque de pertes directes et de litiges. Dans ce contexte, la gestion des risques TIC ne relève plus seulement de la conformité, mais d’une stratégie de protection du cash et de la réputation.
Les autorités compétentes européennes et nationales commencent d’ailleurs à intégrer ces tendances dans leurs priorités de supervision. Les contrôles se concentrent de plus en plus sur la capacité des institutions financières à démontrer une résilience opérationnelle numérique mesurable, avec des tests de résilience documentés et des plans de remédiation budgétés. Pour les directions financières, ne pas anticiper ces attentes revient à subir des injonctions correctrices coûteuses, plutôt qu’à piloter proactivement la trajectoire de conformité.
Cartographie des risques, prestataires TIC et tests de résilience : le nouveau terrain de jeu du DAF
Le cœur de la conformité DORA pour une direction financière repose sur trois chantiers structurants : la cartographie des risques TIC, la gestion des prestataires TIC critiques et les tests de résilience opérationnelle. Sur la cartographie, le DAF doit exiger une vision consolidée des risques numériques qui menacent les flux financiers, les systèmes de paiement, la trésorerie et le reporting réglementaire, avec une quantification des impacts potentiels. Cette approche transforme la gestion des risques TIC en gestion de risque financier, en reliant chaque scénario d’incident à des pertes d’exploitation, des pénalités contractuelles ou des coûts de remédiation.
La gestion des prestataires TIC et des prestataires tiers devient un axe central de la résilience opérationnelle numérique, car une part croissante des services financiers repose sur des tiers de services cloud, des fintechs et des opérateurs de paiement. Les entités financières doivent revoir leurs contrats pour intégrer des clauses de sécurité, de continuité d’activité et de tests de résilience, avec des indicateurs de performance suivis par la direction financière. Dans ce cadre, la mise en conformité impose de traiter chaque prestataire financier ou technologique comme un maillon critique de la chaîne de valeur, et non comme un simple fournisseur.
Les tests de résilience et les tests de résilience opérationnelle ne sont plus un exercice ponctuel, mais un processus continu que le DAF doit intégrer dans la planification budgétaire. Les institutions financières doivent financer des scénarios d’attaques, des simulations d’incidents majeurs et des tests de bascule vers des sites de secours, avec des rapports détaillés à destination des autorités compétentes. Cette dynamique impose de lier les budgets de sécurité numérique, les investissements dans les services TIC et les objectifs de résilience opérationnelle, afin d’éviter que les arbitrages financiers ne fragilisent la sécurité.
La réglementation impacte aussi la manière de négocier et de piloter les contrats immobiliers, les infrastructures et les services critiques. Un bail professionnel ou commercial mal calibré peut par exemple limiter les capacités de redondance des sites ou compliquer la mise en place de centres de secours, ce qui doit être intégré dans le choix du cadre juridique pour les activités. Le DAF doit donc intégrer la résilience opérationnelle numérique dans l’ensemble des décisions structurantes, au-delà du seul périmètre IT.
Les exemples de terrain montrent que les entités financières qui prennent ce virage en tirent un avantage compétitif tangible. Une grande banque européenne a ainsi mis en place une équipe dédiée à DORA, rattachée à la direction des risques et à la direction financière, pour piloter la cartographie des risques TIC, la revue des contrats de services TIC et les tests de résilience. En trois ans, cette banque a réduit de 40 % le nombre d’incidents majeurs, limité à une demi-journée la durée moyenne d’interruption de service et obtenu une amélioration de sa notation de risque opérationnel, ce qui a contribué à une baisse de 15 points de base de son coût moyen de financement.
À l’autre extrémité du spectre, une PME financière a investi dans des solutions de surveillance continue pour répondre aux exigences de DORA, en les finançant via une réallocation de budgets de projets moins critiques. Les propos des praticiens confirment cette évolution des responsabilités dans les entités financières. Comme le résume Giulia Mariuz, avocate chez Hogan Lovells, « les entités financières ont été occupées à définir des rôles et responsabilités liés à la sécurité ICT ». Dans le même esprit, Giuseppe Ridulfo, responsable IS chez Banca Etica, souligne que « DORA manque d’un principe de proportionnalité pour les petites institutions », ce qui renforce le besoin d’arbitrages fins par les directions financières.
Plan d’action pour DAF : de la mise en conformité minimale au pilotage stratégique
Pour sortir du statu quo, la conformité DORA côté direction financière doit être abordée comme un programme de transformation, avec des quick wins clairement identifiés. Premier levier, établir une cartographie des risques TIC centrée sur les processus financiers critiques, en priorisant les systèmes de trésorerie, de paiements et de clôture comptable, afin de concentrer les investissements de résilience opérationnelle là où le risque financier est maximal. Cette approche permet de démontrer rapidement aux autorités compétentes et aux investisseurs que la gestion des risques TIC est alignée sur les enjeux de continuité d’activité et de cash-flow.
Deuxième levier, structurer un comité de résilience opérationnelle numérique copiloté par le DAF, le RSSI et le directeur juridique, avec un mandat clair sur la gestion des prestataires TIC et des prestataires tiers. Ce comité doit valider les contrats critiques, suivre les indicateurs de sécurité et de performance des services TIC, et arbitrer les budgets de tests de résilience, en intégrant systématiquement la dimension financière. La conformité devient alors un processus de gouvernance récurrent, plutôt qu’un projet ponctuel à boucler sous contrainte de délai.
Troisième levier, intégrer la réglementation DORA dans les trajectoires de transformation et de croissance, y compris pour les projets de création d’entreprise ou de nouvelles activités. Les ressources proposées sur la structuration des stratégies financières et des leviers publics, comme celles détaillées dans cette analyse sur les stratégies financières et aides à l’entrepreneuriat, peuvent être articulées avec les exigences de résilience opérationnelle. L’objectif est de faire de la conformité un critère de sélection des projets, au même titre que le ROI ou l’impact sur le BFR.
Quatrième levier, industrialiser la gestion des incidents et des incidents majeurs, avec des procédures claires de remontée d’information vers la direction financière et les régulateurs. Chaque incident doit être analysé sous l’angle de la gestion des risques TIC, des impacts financiers et des enseignements pour renforcer la résilience opérationnelle numérique, afin de transformer la contrainte de reporting en outil de pilotage. Cette démarche permet aussi de mieux négocier avec les assureurs, en documentant la maturité du cadre de gestion des risques numériques.
Enfin, cinquième levier, positionner la conformité DORA comme un argument dans la relation investisseurs et dans les opérations de M&A. Les institutions financières capables de démontrer une résilience opérationnelle robuste, des tests de résilience réguliers et une gestion des risques TIC intégrée au pilotage financier verront leur profil de risque perçu s’améliorer, avec un impact potentiel sur le coût de financement. À l’inverse, celles qui resteront à la traîne sur la mise en conformité s’exposeront à une prime de risque accrue, que les marchés n’hésiteront pas à intégrer dans leurs valorisations.
Au final, DORA agit comme un révélateur de la maturité des directions financières face au numérique. Celles qui sauront transformer la conformité en levier de pilotage stratégique renforceront leur crédibilité, leur capacité de négociation et leur résilience face aux chocs opérationnels. Les autres continueront de subir les incidents, les sanctions potentielles et les surcoûts, dans un secteur financier où la tolérance au risque opérationnel se réduit rapidement.
Chiffres clés sur DORA et la résilience opérationnelle numérique
- Selon un baromètre Advisori publié en 2023 sur un échantillon d’institutions financières européennes, environ 44 % des entreprises financières ne sont pas encore conformes à DORA, ce qui signifie qu’à peine plus de la moitié du secteur a atteint un niveau de conformité jugé satisfaisant malgré l’applicabilité directe du règlement.
- Les mêmes analyses estiment le taux moyen de conformité DORA autour de 56 %, en agrégeant les scores de maturité par domaine (gouvernance, gestion des prestataires TIC, tests de résilience), ce qui laisse un important gisement de risques opérationnels non traités dans les entités financières de l’Union européenne.
- D’après une enquête TechRadar Pro réalisée en 2023 auprès de responsables IT et risques de la zone EMEA, 96 % des institutions financières déclarent avoir renforcé leur résilience opérationnelle numérique au cours des deux dernières années, ce qui montre une prise de conscience généralisée, mais pas toujours traduite en conformité DORA complète.
- Les rapports de cybersécurité récents indiquent une hausse continue des cyberattaques ciblant le secteur financier, avec une augmentation à deux chiffres des incidents déclarés chaque année, ce qui renforce la nécessité d’un cadre de gestion des risques TIC structuré et aligné sur la réglementation DORA.
- Les données de Cybermalveillance.gouv.fr font état d’une augmentation de plus de 170 % des fraudes au virement bancaire en France entre 2019 et 2023, illustrant l’impact financier direct des incidents numériques pour les directions financières.
- Les baromètres de sécurité numérique en France montrent que les deepfakes sont impliqués dans près d’un cas de fraude sur dix ciblant les fonctions financières, ce qui complexifie la détection des incidents majeurs et renforce le besoin de tests de résilience réguliers.