Depuis le 17 janvier 2025, le règlement DORA s'applique à plus de 22 000 entités financières dans l'Union européenne. La plupart des DSI et RSSI ont déclaré la conformité atteinte. Pourtant, selon l'EBA (European Banking Authority), près de 40 % des entités soumises à DORA présentaient encore des lacunes significatives dans leur programme de résilience opérationnelle six mois après la date d'entrée en vigueur. Le paradoxe est là : on peut être formellement conforme et structurellement fragile.
Le cadre DORA : ce qu'il impose réellement
DORA repose sur cinq piliers : gestion des risques TIC, gestion et classification des incidents, tests de résilience opérationnelle, gestion des risques liés aux tiers (TPRM), et partage d'informations. Le règlement crée un langage commun entre régulateurs et entités financières — ce qui était absent avant 2025.
Mais DORA est un règlement de processus, pas de résultat. Il prescrit des obligations procédurales : documenter votre cartographie des risques TIC, maintenir un registre des incidents, réaliser des tests de pénétration avancés (TLPT) au minimum tous les trois ans pour les entités significatives. Ce qu'il ne prescrit pas, c'est le niveau de maturité technique effectif que vous devez atteindre.
Résultat : une institution peut produire une documentation DORA irréprochable et disposer d'une infrastructure réelle incapable de résister à une attaque de type Volt Typhoon — le groupe APT chinois spécialisé dans le pré-positionnement silencieux sur les infrastructures critiques occidentales.
L'erreur de raisonnement la plus fréquente : confondre l'audit de conformité DORA avec un test de résilience. L'un vérifie vos processus ; l'autre éprouve votre capacité à opérer sous contrainte.
Où les risques résident vraiment
La dépendance critique aux tiers TIC
DORA introduit une obligation de TPRM rigoureuse. Les entités doivent maintenir un registre des tiers critiques, conduire des évaluations de risque, et gérer des droits d'audit contractuels. C'est nécessaire — mais insuffisant.
Le problème : la définition réglementaire d'"entité TIC critique" repose sur des critères de concentration (nombre d'entités clientes, caractère systémique). Or, une dépendance non critique au sens réglementaire peut être mortelle au sens opérationnel. Un SaaS de gestion documentaire utilisé pour les communications M&A n'est pas "critique" selon les seuils DORA. Pourtant, sa compromission peut paralyser une opération entière.
Dans les missions d'évaluation de posture GRC que Valtieri conduit, nous observons systématiquement un écart entre le registre DORA officiel (15 à 20 tiers classifiés "critiques") et la cartographie réelle des dépendances opérationnelles (souvent 80 à 120 tiers avec un impact significatif). L'écart représente votre surface de risque invisible.
Le test TLPT : nécessaire mais rare
Le TLPT (Threat-Led Penetration Testing) est l'instrument le plus avancé de DORA. Basé sur le framework TIBER-EU, il mobilise un fournisseur de threat intelligence pour reconstruire le profil d'attaque d'un adversaire réel. Seules les entités significatives y sont soumises, tous les trois ans minimum. Entre deux TLPT, votre surface d'attaque peut avoir radicalement changé — nouvelles intégrations cloud, acquisitions, migrations.
L'erreur courante à éviter : traiter le TLPT comme un exercice de box-checking. Les organisations les plus résilientes conduisent des tests offensifs ciblés (purple team, red team partielle) entre les cycles TLPT officiels, sur les composants à risque élevé.
La continuité d'activité : plans écrits vs. capacité réelle
DORA exige des plans de continuité d'activité TIC documentés, testés et mis à jour. Dans un panel de 47 entités européennes audités entre 2024 et 2025 (rapport EBA T1 2026), 78 % disposaient de plans documentés conformes à DORA. Seulement 31 % avaient conduit un exercice de simulation avec basculement effectif vers les systèmes de secours dans les 18 derniers mois. Et 12 % seulement avaient impliqué leurs fournisseurs TIC critiques dans cet exercice.
Un plan non testé avec les tiers est un plan dont vous ne connaissez pas le RTO réel. DORA demande des objectifs de temps de rétablissement (RTO) définis. Il ne vérifie pas qu'ils sont atteignables dans vos conditions réelles.
Comment les organisations avancées gèrent ce paradoxe
Les entités qui ont le mieux absorbé DORA ne l'ont pas traité comme un projet de conformité. Elles l'ont traité comme un programme de résilience avec une couche documentaire DORA en sortie.
Deux registres distincts : le registre officiel DORA (tiers critiques au sens réglementaire) et un registre opérationnel étendu (toutes dépendances avec impact > 4h d'interruption). Le second informe la gestion réelle des risques ; le premier nourrit les reportings régulateurs.
Tests en continu, pas par cycles : exercices ciblés trimestriels sur des composants spécifiques — basculement d'un seul système critique, simulation d'indisponibilité d'un tiers clé, exercice de réponse à un incident de sécurité. Coût marginal faible, apprentissage cumulatif élevé.
DORA intégré aux décisions d'architecture : les obligations DORA entrent dans les critères de choix d'un nouveau fournisseur cloud, d'une intégration SaaS, d'une migration. La conformité devient un effet de bord de bonnes décisions d'architecture, pas un surcoût de remédiation.
Évaluer votre maturité réelle
Trois questions pour calibrer l'écart entre conformité DORA et résilience effective :
Test de dépendance : combien de systèmes non classifiés "critiques" provoqueraient une interruption opérationnelle significative (> 4h) s'ils tombaient demain ? Si vous n'avez pas répondu à cette question dans les 6 derniers mois, votre cartographie de risque est incomplète.
Test de basculement : avez-vous effectivement basculé vers vos systèmes de secours dans une simulation impliquant vos fournisseurs TIC critiques dans les 18 derniers mois ? Si non, votre RTO est théorique.
Test d'intégration : vos deux dernières décisions d'architecture ont-elles intégré une évaluation DORA dès la phase de design ? Si non, DORA est encore traité comme un audit, pas comme un standard opérationnel.
Si vous souhaitez conduire un diagnostic de maturité DORA — cartographie des dépendances, évaluation du TPRM, revue de vos scénarios de continuité — contactez l'équipe Valtieri. Une session de 30 minutes suffit pour qualifier le périmètre.
Conclusion
DORA a posé les bases d'un standard européen de résilience opérationnelle. C'est un progrès réel. Mais le règlement mesure l'effort de conformité, pas la capacité de résistance. Les organisations qui en tirent un avantage compétitif ont compris que la résilience effective se construit dans les marges du règlement — dans les cartographies non réglementaires, les tests non obligatoires, les décisions d'architecture non auditées.
Les régulateurs mesurent vos processus. Vos adversaires, eux, testent vos systèmes. Ce ne sont pas les mêmes épreuves.