Dix-huit mois après l'entrée en vigueur de DORA le 17 janvier 2025, l'EBA Digital Operational Resilience Outlook 2026 révèle que 64 % des entités financières dans le scope n'ont pas conduit de test de récupération sur leurs systèmes ICT critiques. Ce chiffre est contre-intuitif : les entités financières sont, parmi toutes les industries réglementées, celles qui ont le plus investi dans la documentation de conformité DORA. Le problème n'est pas le volume de politiques produites — c'est que la conformité documentaire et la résilience opérationnelle sont deux états distincts. DORA rend cette distinction juridiquement conséquente.
DORA 18 mois après : ce que le règlement impose vraiment
DORA s'applique à plus de 22 000 entités financières européennes — banques, établissements de paiement, sociétés d'investissement, compagnies d'assurance, prestataires de services de crypto-actifs — ainsi qu'à leurs prestataires ICT tiers critiques désignés. Le règlement structure ses exigences autour de cinq piliers : gestion du risque ICT, déclaration des incidents, tests de résilience opérationnelle numérique, gestion du risque ICT tiers, et partage d'information.
La plupart des organisations ont concentré leurs efforts sur les deux premiers piliers — politiques de gestion du risque ICT et procédures de déclaration d'incidents — car ce sont les plus directement vérifiables lors d'un contrôle documentaire. Les sanctions pour non-conformité peuvent atteindre 1 % du chiffre d'affaires mondial journalier moyen sur une période de six mois, ce qui a naturellement orienté les priorités vers les exigences les plus visibles.
Ce faisant, la majorité des entités a créé un angle mort structurel : les piliers 3 et 4 — tests de résilience et gestion du risque tiers — sont précisément là où les risques opérationnels réels se concentrent.
Le paradoxe de la résilience : documentation ≠ capacité de récupération
DORA distingue deux niveaux de tests de résilience opérationnelle. Les tests basiques — tests de vulnérabilité, scans de sécurité, analyses des écarts — sont exigibles de toutes les entités dans le scope. Les tests avancés — les Threat-Led Penetration Tests (TLPT) — ne concernent que les entités significatives désignées par les autorités compétentes, selon des critères de taille et d'importance systémique.
L'erreur la plus fréquente est de confondre l'obligation de tests basiques avec une simple case à cocher. Un test de vulnérabilité qui ne couvre pas les scénarios de récupération réels — panne d'un fournisseur ICT critique, indisponibilité simultanée de deux datacenters, compromission d'un service cloud de concentration — n'est pas un test de résilience opérationnelle. C'est un audit de surface.
La définition DORA est plus exigeante : l'Article 24 impose que les tests de résilience couvrent les fonctions critiques ou importantes, les systèmes les supportant, et les dépendances à des tiers ICT. Un établissement qui a documenté ses RTO (Recovery Time Objectives) mais ne les a jamais testés en conditions réelles est dans une situation paradoxale : il est potentiellement compliant sur le papier mais opérationnellement fragile.
L'angle mort critique : la concentration ICT non cartographiée
Les Articles 28 à 30 de DORA traitent du risque ICT lié aux tiers — et c'est là que les organisations sous-estiment systématiquement leur exposition. La réglementation impose une cartographie exhaustive des contrats ICT, une identification des prestataires critiques, et une évaluation des risques de concentration.
Le risque de concentration ICT prend deux formes que les cartographies internes manquent régulièrement. La première est la concentration directe : dépendance à un fournisseur cloud unique pour des fonctions critiques, sans plan de sortie testé. La seconde, plus insidieuse, est la concentration indirecte — ou concentration de quatrième rang — où deux fournisseurs apparemment distincts s'appuient sur la même infrastructure sous-jacente, le même opérateur de datacenter, ou le même réseau de transit. Une panne chez AWS eu-west-1 affecte simultanément des dizaines de sous-traitants SaaS qui apparaissent comme indépendants dans votre registre des fournisseurs.
L'Article 29 impose aux entités de documenter leur exposition aux prestataires ICT tiers et d'évaluer leur substituabilité. Ce travail exige une profondeur d'analyse que les registres contractuels standards ne permettent pas : il faut remonter la chaîne de dépendances jusqu'aux composants d'infrastructure réels, pas seulement aux parties contractantes directes. Les entités qui ont réalisé cet exercice découvrent systématiquement des concentrations non anticipées.
Trois scénarios que votre plan ne couvre probablement pas
L'expérience des premières revues DORA menées en 2025–2026 par les autorités nationales compétentes fait apparaître trois catégories de lacunes récurrentes dans les plans de résilience.
La panne du fournisseur ICT critique pendant les heures de pointe. La plupart des plans de continuité testent la récupération en conditions nominales. Très peu testent la récupération lorsque l'incident survient le troisième jour ouvré du mois — jour de masse de paiements pour les établissements de crédit — ou lors d'un pic de volumétrie. Le RTO affiché dans la documentation est généralement calculé sur des volumes moyens.
La compromission simultanée de deux systèmes non liés. DORA n'impose pas de tester uniquement des scénarios unitaires. L'Article 25 évoque explicitement la capacité à "réagir et récupérer rapidement des perturbations liées aux TIC". Les audits détectent régulièrement que les tests couvrent des pannes isolées, jamais des défaillances corrélées qui, en pratique, représentent les incidents les plus coûteux.
L'activation du plan en l'absence des personnes clés. Votre plan de résilience a des responsables nommés. Ces responsables ont des congés, des arrêts maladie, des départs. Un plan non testé sans ses titulaires habituels a une probabilité élevée de dysfonctionnement lors d'un incident réel. L'Article 11 de DORA impose des politiques de continuité d'activité qui fonctionnent au-delà des individus — pas seulement des organigrammes de crise.
Comment évaluer votre maturité opérationnelle — pas documentaire
La distinction entre maturité documentaire et maturité opérationnelle est le point de départ d'une évaluation DORA réaliste. Quatre questions permettent de situer votre organisation rapidement.
Avez-vous testé vos RTO sur vos fonctions critiques au cours des 12 derniers mois, en conditions de charge réelle ? Si la réponse est non, votre RTO est une cible, pas une capacité vérifiée. Votre cartographie ICT descend-elle jusqu'aux composants d'infrastructure de vos sous-traitants de rang 2 et 3 ? Si elle s'arrête aux contrats directs, votre analyse de concentration est incomplète. Votre dernier exercice de simulation a-t-il impliqué la direction — pas seulement les équipes techniques ? DORA engage la responsabilité des organes de direction (Article 5). Et enfin : connaissez-vous le délai de notification d'incident majeur DORA applicable à votre entité, et en quoi il diffère de votre délai RGPD ?
Presidio intègre nativement la gestion du risque ICT tiers et la traçabilité des tests de résilience dans son module GRC — voir notre analyse sur la gouvernance des tiers et la cartographie des risques supplier. Pour un diagnostic de maturité DORA en 30 minutes : contactez-nous.
Conclusion
DORA a transformé la résilience opérationnelle d'un objectif de bonne pratique en exigence réglementaire contraignante. Un an et demi après son entrée en vigueur, le constat est net : les entités qui ont investi dans la documentation ont progressé sur la conformité apparente. Celles qui ont investi dans les tests et la cartographie des dépendances ont progressé sur la résilience réelle.
Trois insights à retenir : la conformité DORA documentaire et la résilience opérationnelle sont deux états distincts — les contrôles 2026 évalueront les deux. La concentration ICT est systématiquement sous-estimée dès que l'analyse s'arrête aux contrats directs. Et les RTO non testés en conditions réelles sont des hypothèses, pas des engagements.
Les organisations qui progresseront le plus vite sont celles qui traitent DORA comme un programme de résilience, pas comme un exercice documentaire. La distinction est opérationnelle avant d'être réglementaire.