DORA 2025 : le risque systémique s'appelle désormais la dépendance
Nous avons passé vingt ans à renforcer les pare-feu. Le premier rapport DORA montre que le point de rupture se situe désormais ailleurs : dans les dépendances que les organisations ne maîtrisent pas.
Le premier rapport annuel sur les incidents majeurs déclarés au titre de DORA vient de tomber. Son chiffre le plus commenté est frappant : 10 % seulement des incidents concernent la cybersécurité. Mais ce chiffre cache la vraie leçon de gouvernance. Ce n'est pas l'attaque qui fragilise le secteur financier européen. C'est la dépendance non pilotée aux prestataires tiers.
Le règlement DORA (Digital Operational Resilience Act) s'applique depuis janvier 2025. Il impose aux entités financières européennes un cadre harmonisé de gestion des risques numériques et de notification des incidents majeurs. Son premier bilan agrégé relance le débat sur la résilience opérationnelle, la gouvernance des risques tiers (TPRM) et la souveraineté numérique du secteur financier.
Un chiffre qui déplace le débat
En 2025, les entités soumises à DORA ont déclaré 3 383 incidents majeurs. Cela représente une moyenne de 0,18 incident par entité, soit 282 par mois à l'échelle de l'Union. La cybersécurité au sens strict ne pèse que 10 % de ce total. Le reste se répartit entre défaillances système et événements externes. Et de fait, près d'un tiers des incidents majeurs trouvent leur origine dans une défaillance imputable à un tiers — prestataire informatique, autre entité financière, ou fournisseur d'infrastructure.
Des illustrations qui rendent le risque concret
Deux illustrations suffisent à comprendre ce que ce chiffre signifie concrètement. Le 27 février 2025, une panne matérielle rarissime a rendu le système TARGET de l'Eurosystème indisponible pendant environ dix heures. Le 28 avril 2025, le blackout électrique ibérique a paralysé les terminaux de paiement en Espagne et au Portugal pendant une durée comparable. Les systèmes bancaires centraux n'étaient pourtant pas en cause. C'est la rupture des réseaux télécoms qui a coupé la chaîne entre le système central, disponible, et le point de vente, inutilisable. Dans les deux cas, l'attaque n'est pas en cause. La dépendance à une infrastructure tierce, si.
Cette dynamique n'est pas propre au secteur financier. Je l'ai moi-même observée à deux reprises dans le service public. À l'Académie de Versailles, une coupure électrique du datacenter est survenue lors de l'intervention d'un technicien. Il vérifiait les systèmes anti-incendie. Une autre fois, c'est le déclenchement du gaz d'extinction lui-même qui a provoqué un arrêt de service prolongé. En Normandie, le CRIANN a connu un incident du même ordre. Il était imputable à un prestataire externe en charge de la maintenance. Dans les trois cas comme dans les deux exemples européens, l'origine n'est ni une cyberattaque ni une défaillance logicielle. C'est un tiers intervenant sur l'infrastructure physique elle-même, hors du périmètre que l'entité pilote directement.
Ce que DORA a de commun avec le SILL — et ce qui change tout
J'ai déjà documenté cette différence à propos du Socle interministériel des logiciels libres. Un référentiel déclaratif ne contraint pas la décision ; un référentiel qui a des dents, si. DORA offre justement un contre-exemple instructif. La notification d'un incident majeur suit un calendrier précis : alerte initiale, rapport intermédiaire, rapport final dans un délai fixé. Cette obligation s'impose à plus de 20 000 entités financières européennes. Le non-respect expose à des sanctions pouvant atteindre plusieurs millions d'euros, ou un pourcentage du chiffre d'affaires annuel.
Le SILL a longtemps fonctionné comme une bibliothèque sans obligation de consultation. DORA, à l'inverse, impose la déclaration. Le résultat est un jeu de données que le régulateur n'avait jamais eu à cette échelle. C'est une cartographie agrégée des causes réelles d'incident, plutôt qu'une accumulation de retours d'expérience isolés et non comparables. C'est exactement le type de saut que le "comply or explain" néerlandais a permis pour les standards ouverts. Une recommandation devient une donnée exploitable, dès que l'écart devient visible et coûteux.
Les limites déjà visibles de l'obligation de déclarer
Toutefois, l'obligation de déclarer n'est pas encore l'obligation de corriger. Les autorités elles-mêmes reconnaissent des pratiques de notification hétérogènes entre secteurs et juridictions. Environ 15 % des incidents notifiés en 2025 n'avaient pas encore reçu de rapport final au moment de la clôture de l'analyse. La moitié n'ont déclaré aucun coût direct, ou un coût jugé négligeable. Les autorités elles-mêmes invitent à manier ce chiffre avec prudence : le temps de travail mobilisé sur un incident échappe souvent à la comptabilisation. C'est là aussi que se niche une part de la dette d'opportunité. Le temps passé à éteindre l'incendie n'est jamais du temps passé à transformer le système d'information.
La dépendance ne se corrige pas par la déclaration seule : le défi de la gestion des risques tiers (TPRM)
C'est là que le parallèle avec ma thèse sur la dette numérique de l'État rejoint le constat des autorités européennes de surveillance. Décrire un incident, même dans le mois qui suit, ne réduit pas la dépendance qui l'a produit. Le rapport DORA identifie lui-même la gestion des risques tiers comme le maillon le plus faible du dispositif. Près d'un tiers des incidents majeurs en portent la trace. La supervision européenne des prestataires critiques reste à faire vivre, et la qualité des données sur les coûts réels demeure perfectible.
La leçon vaut autant pour le secteur financier que pour l'administration publique. Obliger à déclarer est une étape nécessaire. Mais ce n'est pas encore piloter la dépendance elle-même. Un registre des prestataires tiers critiques — les fournisseurs critiques au sens de DORA — doit devenir un instrument de gouvernance, pas un simple inventaire. C'est le même passage que j'appelle, pour le SILL, du catalogue à la doctrine contraignante : rendre l'écart coûteux, pas seulement visible. Toute la question de la dépendance numérique du secteur financier se joue dans ce passage de la donnée à la décision.
Ce qui reste à construire
Le premier rapport DORA a le mérite de la franchise. Il ne cherche pas à minimiser le volume d'incidents : il le contextualise. Et il pointe sans détour vers la dépendance aux tiers comme angle mort principal. Les autorités annoncent, pour 2026, un croisement plus systématique entre les incidents déclarés et le registre des prestataires critiques. C'est précisément le pas qui manquait au SILL pendant treize ans : relier l'instrument de connaissance à l'instrument de décision.
Vers une gouvernance de la dépendance
Tant que ce croisement n'est pas opérationnel, DORA aura produit une chose précieuse : une photographie fidèle du risque. Il manquera encore l'obligation qui en découle logiquement, celle de réduire, contrat par contrat, la dépendance qu'elle vient de mesurer. Pendant longtemps, la cybersécurité consistait à protéger le système d'information contre les attaques extérieures. DORA révèle un changement de paradigme. Les infrastructures deviennent plus robustes. Mais les chaînes de dépendance, elles, deviennent plus fragiles.
Le prochain défi des DSI ne sera donc plus seulement de sécuriser leurs systèmes. Il faudra aussi gouverner l'ensemble de l'écosystème dont ils dépendent : fournisseurs critiques, sous-traitants, infrastructures partagées. C'est probablement la principale leçon de DORA 2025. La déclaration n'est pas la gouvernance. Elle en est la condition préalable.
Références
— ESAs (EBA, EIOPA, ESMA), premier rapport conjoint sur les incidents majeurs liés aux TIC au titre de l'article 22 du règlement DORA, publié le 3 juin 2026 (JC 2026 16).
— IT Social, « Premier rapport DORA : sur 3 383 incidents majeurs en 2025, la cybersécurité ne pèse que 10 % » : itsocial.fr
— Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA), applicable depuis le 17 janvier 2025.
Jacky Galicher — consultant, ancien DSI de l'académie de Normandie et ex-responsable SI à Versailles
Publié le 5 juillet 2026
Cet article prolonge, sur le terrain du secteur financier européen, la thèse développée dans la série sur la dette numérique de l'État : la gouvernance de la dépendance compte plus que la défense périmétrique.
- Article connexe : Le SILL ou la dette numérique invisible de l'État
- Sources : rapport ESAs sur DORA 2025, règlement (UE) 2022/2554, IT Social.
