FinTech & Financial Services 05.04.2026

Un an de DORA : ce que la BaFin contrôle maintenant

8 min de lecture

Depuis janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) s’applique dans toute l’UE. Depuis son entrée en vigueur, la BaFin – l’autorité allemande de surveillance financière – a recensé plus de 600 incidents informatiques graves dans les établissements financiers. Des sanctions pouvant atteindre 1 % du chiffre d’affaires journalier mondial sont désormais possibles. La période de tolérance est révolue : 2025 marque l’année de la mise en application stricte. Toute institution présentant encore des lacunes dans sa gestion des risques informatiques s’expose à bien plus qu’une simple amende.

L’essentiel en bref

Plus de 600 incidents informatiques graves signalés à la BaFin depuis l’entrée en vigueur du règlement DORA en janvier 2025 – une tendance à la hausse. (Supervision informatique de la BaFin, 2025)
Des sanctions pouvant atteindre 1 % du chiffre d’affaires journalier mondial par infraction – ce qui peut représenter des dizaines de millions d’euros pour les grandes banques.
Obligation de signalement sous 24 heures pour les incidents informatiques critiques – de nombreux établissements n’ont pas encore adapté leurs processus de gestion des incidents.
La gestion des risques liés aux prestataires informatiques tiers constitue, selon la BaFin, le principal point faible – les établissements financiers sous-estiment leur dépendance vis-à-vis de ces fournisseurs externes.
Obligation de tenir un registre des informations : tous les prestataires informatiques doivent être recensés dans un registre structuré et déclarés à la BaFin.

Ce que DORA exige concrètement

DORA n’est ni une recommandation ni un cadre de référence. Il s’agit d’un règlement européen directement applicable dans tous les États membres. Sont concernés les banques, les assureurs, les entreprises de titres, les prestataires de services de paiement, les fournisseurs de services liés aux actifs numériques (crypto-actifs) ainsi que leurs fournisseurs informatiques critiques. Le règlement définit cinq piliers que chaque établissement doit mettre en œuvre.

● Gestion des risques liés aux TIC : Les institutions financières doivent disposer d’un cadre documenté pour identifier, protéger, détecter et rétablir leurs systèmes après un incident informatique. Cette obligation ne concerne pas uniquement le service informatique : la direction générale assume une responsabilité personnelle.

● Signalement des incidents : Tout incident informatique majeur doit être signalé à la BaFin (l’autorité allemande de surveillance financière) dans les 24 heures. Un rapport intermédiaire suit au bout de 72 heures, puis un rapport final un mois plus tard.

● Tests de résilience : Des tests réguliers de la stabilité opérationnelle numérique sont requis – allant de simples analyses de vulnérabilités jusqu’aux tests d’intrusion pilotés par des menaces (« Threat-Led Penetration Testing », TLPT) pour les établissements systémiques.

● Gestion des risques liés aux tiers : Chaque contrat avec un prestataire informatique doit inclure des clauses conformes à DORA. Des stratégies de désengagement sont obligatoires.

● Échange d’informations : Partage volontaire, mais fortement encouragé, d’informations sur les cybermenaces entre institutions financières.

Le problème

600+

incidents informatiques majeurs depuis janvier 2025
recensés par la BaFin (surveillance informatique 2025)

La conséquence

1 %

du chiffre d’affaires journalier mondial en tant qu’amende
par infraction aux exigences de DORA

Ce que la BaFin examine précisément

En février 2026, la BaFin (Autorité fédérale de contrôle des services financiers en Allemagne) a organisé un atelier consacré à la remise des registres d’information. Le message est clair : l’autorité souhaite savoir quels prestataires informatiques les établissements financiers utilisent et à quel point ils dépendent de fournisseurs individuels. Les hyperscalers du cloud tels qu’AWS, Azure et Google Cloud sont particulièrement scrutés.

Selon la BaFin, les failles les plus fréquentes constatées lors des contrôles sont les suivantes : une gestion incomplète des vulnérabilités, l’absence de stratégies de sortie vis-à-vis des prestataires informatiques et un reporting d’incidents insuffisant. De nombreux établissements ont certes défini des processus, mais ne les ont jamais testés dans des conditions réelles. Or, le règlement DORA exige précisément ces tests – et la BaFin vérifie qu’ils sont effectivement réalisés.

Particulièrement critique : le chevauchement avec la directive NIS2. Ces deux réglementations imposent une gestion des risques informatiques et un reporting d’incidents, mais avec des délais et des définitions différents. Les établissements financiers opérant dans plusieurs pays de l’UE doivent donc se conformer simultanément aux deux cadres réglementaires.

« De nombreux établissements financiers accusent encore un retard significatif en matière de gestion des vulnérabilités et d’évaluation des risques liés à leurs prestataires. »

Autorité de supervision informatique de la BaFin, discours sur la mise en œuvre de DORA, décembre 2025

Le problème des tiers

Le cœur du règlement DORA repose sur une constatation essentielle : les établissements financiers ne sont résilients que dans la mesure où l’est leur dépendance informatique la plus faible. Une panne chez un fournisseur cloud peut toucher simultanément des dizaines de banques. Un prestataire de services de paiement compromis peut déclencher une réaction en chaîne.

DORA exige donc la tenue d’un registre exhaustif de tous les prestataires informatiques, accompagné d’une évaluation de leur criticité. Chaque contrat doit inclure des clauses relatives à l’accès aux données, aux droits d’audit, à la transparence sur les sous-traitants et aux stratégies de sortie. Par ailleurs, les Autorités européennes de surveillance (AES) superviseront directement les fournisseurs informatiques tiers jugés critiques – une première dans la réglementation financière européenne.

Pour les institutions financières de taille intermédiaire, cela signifie que chaque contrat SaaS, chaque instance cloud et chaque support informatique externe doivent être documentés et évalués. Il s’agit d’une charge considérable – mais l’alternative consiste en des amendes, voire, dans le pire des cas, la perte de leur licence.

Calendrier et priorités

Le règlement DORA (Digital Operational Resilience Act) est applicable depuis le 17 janvier 2025. Aucune période de transition n’est prévue : la BaFin (l’autorité allemande de surveillance financière) peut dès à présent effectuer des contrôles et prononcer des sanctions. Néanmoins, une hiérarchisation implicite s’opère : les établissements systémiques seront examinés en priorité, tandis que les prestataires financiers plus petits disposent d’un peu plus de temps – mais pas indéfiniment.

Principaux jalons pour 2025 et 2026 :

● Soumission du registre des informations : La BaFin collecte les registres des fournisseurs de services informatiques et les transmet aux autorités européennes de supervision (ESAs). Toute déclaration incomplète attire immédiatement l’attention.

● Obligation de tests TLPT pour les établissements systémiques : Des tests d’intrusion orientés menaces (Threat-Led Penetration Tests), conformes au cadre TIBER-EU, doivent être réalisés et documentés.

● Supervision directe des fournisseurs informatiques critiques : Pour la première fois, les ESAs superviseront directement les hyperscalers cloud et les grands prestataires informatiques.

Ce que les institutions financières doivent faire dès maintenant

La bonne nouvelle : celles qui ont déjà modernisé leur paysage informatique et mis en œuvre les exigences BAIT/VAIT (règles de l’Association allemande des banques pour la gestion des risques liés aux technologies de l’information) disposent d’une longueur d’avance. La mauvaise nouvelle : le règlement DORA va bien au-delà des exigences allemandes existantes.

Trois actions immédiates que chaque institution devrait mettre en œuvre : premièrement, réaliser une analyse d’écart entre le dispositif actuel de gestion des risques informatiques et les exigences de DORA ; deuxièmement, compléter le registre des prestataires informatiques avec une évaluation de leur criticité ; troisièmement, tester le processus de déclaration d’incidents – non pas sur le papier, mais via une simulation en conditions réelles.

DORA n’est pas un projet avec une date de fin. C’est un état opérationnel permanent. Les institutions financières qui ont compris ce principe n’investissent pas dans des projets ponctuels de conformité, mais dans des structures intégrant durablement la résilience numérique au cœur de leurs opérations quotidiennes.

Questions fréquentes

Qui est concerné par DORA ?

Tous les établissements financiers de l’UE : banques, compagnies d’assurance, entreprises d’investissement, établissements de paiement, institutions de monnaie électronique, prestataires de services liés aux actifs numériques (cryptoactifs), ainsi que leurs fournisseurs informatiques critiques. Les fintechs et néobanques entrent également dans le champ d’application de DORA.

Quels sont les montants des sanctions en cas de non-respect de DORA ?

Jusqu’à 1 % du chiffre d’affaires journalier mondial moyen – par jour, tant que l’infraction persiste. Pour une grande banque réalisant un chiffre d’affaires annuel de 10 milliards d’euros, cela représente environ 274 000 euros par jour.

Quelle est la différence entre DORA et NIS2 ?

DORA s’applique spécifiquement au secteur financier et, en tant que règlement européen, est directement applicable dans tous les États membres. NIS2, quant à elle, est une directive qui doit être transposée en droit national et couvre plusieurs secteurs. Pour les institutions financières, DORA prévaut (principe de lex specialis), mais certaines exigences de NIS2 peuvent s’appliquer en complément.

Les petits prestataires de services financiers doivent-ils aussi se conformer à DORA ?

Oui, mais le principe de proportionnalité s’applique. Les établissements de petite taille ne sont pas tenus de réaliser les mêmes tests complexes que les banques systémiques. Toutefois, les exigences de base en matière de gestion des risques informatiques, de signalement des incidents et de gestion des tiers s’imposent à tous.

Qu’est-ce que le registre des informations prévu par DORA ?

Il s’agit d’un répertoire structuré recensant tous les prestataires de services informatiques utilisés par un établissement financier. Ce registre inclut les informations contractuelles, les évaluations de criticité et les analyses de dépendance. Il doit être communiqué à la BaFin (autorité allemande de surveillance financière) sur demande et sert de base à la surveillance des risques informatiques systémiques.

Lectures complémentaires

Source de l’image de une : Pexels / Markus Winkler

Aussi disponible enAllemand · Espagnol

Aussi disponible en

Español Deutsch

Evernine Media GmbH

Tobias Massow ist Geschäftsführer der Evernine Media GmbH und Herausgeber von MyBusinessFuture. Er verantwortet die strategische Ausrichtung des Magazins und des gesamten MBF Media Netzwerks mit vier B2B-Fachmagazinen für IT-Entscheider im deutschsprachigen Raum.

Nos experts et partenaires