Bilan opérationnel de l'ACPR sur la mise en œuvre de DORA
Bilan opérationnel et perspectives de supervision
Sommaire : Le règlement DORA est entré en phase opérationnelle le 17 janvier 2025, transformant la résilience numérique en exigence prudentielle centrale pour les institutions financières européennes. L'ACPR joue désormais un rôle de supervision active, en accompagnant les acteurs tout en renforçant ses contrôles.
Le premier bilan met en évidence environ 200 incidents majeurs signalés, dont 60 % impliquent des prestataires TIC, révélant une forte dépendance aux tiers informatiques. Les erreurs internes et défaillances non malveillantes restent les principales causes d'incidents, tandis que la qualité des notifications atteint 80 % de conformité.
L'ACPR a également finalisé l'identification des prestataires TIC critiques au niveau européen, ouvrant la voie à une surveillance coordonnée avec les autorités européennes. Toutefois, l'évaluation de 175 entités montre une maturité encore inégale : certaines organisations manquent de plans d'action structurés et considèrent encore DORA comme une contrainte réglementaire plutôt qu'un levier stratégique.
À partir de l'été 2025, des tests d'intrusion réalistes (TLPT) seront lancés. Pour 2026, les priorités porteront sur la gouvernance TIC, la maîtrise de l'externalisation, les risques liés aux cryptoactifs, l'IA et l'intégration des enjeux ESG dans la gestion des risques numériques.
1. Introduction : Le passage à la phase opérationnelle
Le 17 janvier 2025 marque une rupture stratégique pour l'écosystème financier européen avec l'entrée en vigueur effective du règlement DORA. Ce pivot déplace le curseur de la simple mise en conformité textuelle vers une phase d'opérationnalisation rigoureuse. Dans ce cadre, l'ACPR assume un rôle de supervision active, orientant ses ressources vers l'accompagnement des entités dans la structuration de leur résilience numérique, tout en exerçant une vigilance accrue sur la qualité de l'exécution des nouvelles obligations prudentielles.
2. Analyse des incidents et notifications : Premier état des lieux
La première année de collecte de données par l'ACPR offre une cartographie révélatrice de la vulnérabilité cyber du secteur. L'analyse des notifications met en exergue des points de vigilance majeurs pour les Risk Managers :
- Volume de notifications : Environ 200 incidents majeurs ont été signalés à l'Autorité.
- Vecteurs de menace : Si l'origine malveillante ne représente que 15 % des cas, le risque d'erreur interne ou de défaillance systémique non intentionnelle reste prépondérant.
- Risque de concentration tiers : 60 % des incidents impliquent un prestataire de services informatiques (TIC). Ce chiffre confirme une concentration de risque critique sur la chaîne d'approvisionnement numérique, nécessitant une réévaluation des dépendances stratégiques.
- Qualité déclarative : Le taux de conformité des notifications aux critères réglementaires s'établit à 80 %. Malgré une assimilation rapide des seuils de déclaration, des marges de progression subsistent dans la précision technique des rapports initiaux.
3. La gestion du risque tiers et l'identification des prestataires critiques
La maîtrise des interdépendances est au cœur du dispositif DORA. L'ACPR a finalisé une collecte exhaustive des registres d'informations auprès des entités supervisées, visant à répertorier l'intégralité des relations contractuelles TIC.
Le transfert de ces registres aux Autorités européennes de supervision (AES) a constitué une étape décisive : ce processus a permis d'identifier formellement les prestataires de services informatiques jugés « critiques au niveau européen ». Cette identification n'est pas une simple formalité administrative mais le socle d'un nouveau modèle de surveillance directe. L'ACPR est désormais pleinement intégrée aux travaux de supervision de ces acteurs critiques, garantissant une convergence européenne face aux risques systémiques induits par l'externalisation.
4. Évaluation de la conformité et maturité des entités
L'évaluation menée par l'ACPR via un questionnaire transsectoriel auprès de 175 entités révèle un écart notable entre l'intention réglementaire et la maturité opérationnelle réelle.
Les conclusions mettent en lumière des lacunes structurelles : plusieurs entités ne disposent toujours pas de plans d'actions formalisés, traduisant un déficit d'organisation et de procédures spécifiques pour ancrer la résilience numérique dans la durée. Ce manque de préparation indique que la conformité est encore perçue par certains comme une contrainte formelle plutôt que comme un levier de stabilité.
Pour tester la robustesse des acteurs les plus significatifs du marché, l'ACPR initiera à l'été 2025 les tests d'intrusion fondés sur la menace (TLPT - Threat-Led Penetration Testing). Ces exercices, conduits dans des conditions réelles, suivront un cycle de surveillance triennal pour garantir une résilience dynamique face à l'évolution des vecteurs d'attaque.
5. Programme de travail 2026 : Axes prioritaires de supervision
Pour 2026, l'ACPR adopte une approche proportionnée, ciblant prioritairement l'opérationnalisation des cadres de gestion.
Axes de Surveillance |
|
Opérationnalisation DORA | Focus sur la gestion des incidents, la mise en place des cadres TIC et l'adéquation de la gouvernance aux exigences de contrôle interne. |
Maîtrise de l'externalisation | Vérification de la conformité contractuelle et audit de la dépendance aux tiers ; application de la "Value for Money" dans la qualité des services externalisés. |
Innovation et Intégrité | Finalisation de la Recommandation 16 du GAFI sur la transparence des paiements crypto et mise en œuvre des conclusions sur la certification des smart contracts. |
Durabilité et Risques ESG | Intégration des enjeux de durabilité dans la gouvernance des risques informatiques, en cohérence avec les orientations de l'ABE. |
6. Évolution institutionnelle : La nouvelle Direction (DIDRIT)
Afin d'aligner ses capacités d'audit sur les mutations technologiques, l'ACPR a structuré la Direction de l'innovation, des données et des risques technologiques (DIDRIT).
Le nouveau « service de surveillance des risques technologiques » (SRT) joue un rôle pivot de contrôle transverse. Sa mission est de traiter la convergence des risques numériques : il assure non seulement le suivi de DORA mais prépare également la supervision du règlement sur l'Intelligence Artificielle (IA Act). Une attention particulière est portée aux « systèmes d'IA à haut risque » (évaluation de solvabilité, tarification en assurance santé), où la résilience opérationnelle et l'éthique algorithmique deviennent indissociables.
7. Conclusion
L'ambition de l'ACPR pour 2026 est de stabiliser une gestion des risques proactive, où la résilience numérique est traitée comme un pilier de la solidité prudentielle. La qualité de la gouvernance et l'efficacité réelle des fonctions de contrôle interne seront les indicateurs clés de la maturité des institutions financières françaises face à un paysage de menaces en constante mutation.
Source : Rapport annuel 2025 de l'ACPR.
