Introduction

L'année 2026 représente une étape majeure dans la mise en œuvre du règlement sur la résilience opérationnelle numérique (DORA). Ces mesures constituent une réponse directe à un paysage des risques marqué par des tensions géopolitiques accrues, une augmentation des cybermenaces et une dépendance croissante vis‑à‑vis des fournisseurs tiers et de l'intelligence artificielle. Pour les gestionnaires de risques, il est essentiel d'anticiper les changements réglementaires et les nouvelles attentes des superviseurs. Cet article détaille les mesures spécifiques et les priorités annoncées par l'Autorité Bancaire Européenne (EBA) concernant la surveillance de la cybersécurité et des risques liés aux technologies de l'information et de la communication (TIC). L'objectif est de fournir un aperçu clair des actions planifiées par l'EBA et des attentes des superviseurs pour permettre aux institutions financières de se préparer efficacement.

1. La Surveillance Directe des Fournisseurs Tiers Critiques (CTPPs) : Une Nouvelle Compétence Centrale

Une priorité centrale pour l'EBA en 2026, dans le cadre de ses responsabilités DORA, est l'intensification de ses fonctions de surveillance relatives aux fournisseurs tiers critiques de services TIC (Critical ICT Third‑Party Providers - CTPPs).

1.1. Un Cadre de Surveillance Conjoint

Cette surveillance sera menée conjointement par l'EBA, l'ESMA et l'EIOPA. Ces autorités intensifieront leur surveillance commune des CTPPs qui auront été désignés en 2025. Ce cadre impliquera une coopération étroite avec les autorités compétentes de l'UE et de pays tiers, soulignant la portée mondiale de cette nouvelle surveillance. Il est attendu des superviseurs nationaux qu'ils assurent une coordination forte et efficace avec les superviseurs principaux désignés par DORA (DORA Lead Overseers).

1.2. Activités de Surveillance Spécifiques

Ces activités représentent un changement fondamental vers une supervision directe et pratique des fournisseurs technologiques par les régulateurs financiers, un nouveau paradigme pour le secteur. L'EBA réalisera plusieurs activités de surveillance spécifiques dans le cadre de DORA :

• Engagement avec les CTPPs : L'EBA engagera un dialogue direct avec les fournisseurs tiers critiques concernant leur gouvernance, leur stratégie, leur organisation et les services TIC qu'ils fournissent aux entités financières de l'UE.
• Examens Thématiques Horizontaux : Des analyses thématiques transversales des contrats et des accords de niveau de service (SLAs) conclus entre les CTPPs et les entités financières de l'UE seront menées.
• Inspections Ciblées : L'EBA prévoit de réaliser des analyses approfondies ou des inspections sur site portant sur des domaines spécifiques à haut risque au sein des CTPPs.
• Activités de Surveillance Horizontales : Ces activités incluront l'évaluation des risques et la planification de la surveillance pour 2027, ainsi que l'évaluation annuelle de la criticité des fournisseurs tiers.

1.3. Déploiement d'une Infrastructure IT dédiée

Pour soutenir ces nouvelles fonctions, des activités opérationnelles sont prévues, notamment le déploiement de solutions informatiques dédiées. Celles‑ci comprennent le système "DORA Designation of CTPPs/ Register of information" et le "Rollout of DORA Oversight systems", dont la livraison est prévue pour le premier trimestre 2026, avec un support "Hypercare" planifié pour le deuxième trimestre, signalant une période de soutien intensif post‑lancement.

2. Analyse Renforcée et Réponse Coordonnée aux Cybermenaces

Au‑delà de la surveillance des CTPPs, l'EBA renforcera sa capacité à analyser et à répondre aux cybermenaces. Cette montée en puissance est une réponse directe à un environnement de menaces de plus en plus hostile, caractérisé par une "augmentation des opérations cybermalveillantes", des "pics d'attaques par déni de service distribué (DDoS) liés à des événements géopolitiques" et des menaces provenant de "cyberattaques commanditées par des États".

Les principales activités de réponse prévues par l'EBA sont les suivantes :

• Analyse des incidents majeurs : L'EBA analysera les incidents TIC majeurs et les cybermenaces sur la base des rapports qu'elle recevra.
• Rapport annuel sur le paysage des menaces : En collaboration avec les autres autorités européennes de surveillance (AES), l'EBA analysera le paysage des menaces TIC et préparera le rapport annuel des AES sur les incidents TIC, avec une livraison prévue pour le deuxième trimestre.
• Cadre de coordination des cyber‑incidents (EU‑SCICF) : L'EBA contribuera à la mise en œuvre du cadre paneuropéen de communication et de coordination en cas de cyberincident systémique ("EU‑SCICF") afin de faciliter une réponse coordonnée. Ce mécanisme sera "opéré et maintenu" pour assurer une capacité de réponse continue.

3. Les Attentes des Superviseurs envers les Institutions Financières

L'EBA a défini des sujets clés qui feront l'objet d'une attention accrue de la part des superviseurs prudentiels. Ces derniers évalueront l'intégration technologique et la résilience globale des institutions, un thème qui couvre deux dimensions interconnectées : la gestion des risques liés aux tiers TIC et la préparation interne en matière de cybersécurité.

3.1. Gestion du Risque Lié aux Tiers TIC

Les superviseurs évalueront la solidité des cadres de gestion des risques liés aux tiers TIC, en se concentrant sur les points suivants :

• La conformité des dispositions contractuelles avec le cadre DORA.
• L'exhaustivité des registres d'information sur les contrats avec les fournisseurs tiers.
• Le suivi efficace des sous‑traitants TIC clés.
• La prise en compte complète du cadre de surveillance des CTPPs de DORA.

3.2. Préparation à la Cybersécurité Interne

Les superviseurs évalueront également la préparation des institutions en matière de cybersécurité interne, en examinant notamment :

• L'efficacité des tests et la suffisance de la gestion des incidents liés aux TIC.
• Le niveau de sensibilisation aux cyberrisques au sein de l'ensemble de l'institution.
• Le degré d'implication de l'organe de direction dans le suivi de la gestion des risques TIC.
• L'ampleur des coûts et des pertes liés aux incidents TIC pour évaluer l'efficacité des défenses mises en place.
• L'évaluation des risques TIC sur tous les systèmes informatiques existants (legacy systems).
• L'adéquation des systèmes TIC, de la gestion des risques et des cadres de gouvernance soutenant l'intégration de l'intelligence artificielle (IA).

Conclusion

Pour les gestionnaires de risques, l'agenda 2026 de l'EBA établit un double objectif clair : d'une part, la mise en place d'une surveillance directe des fournisseurs critiques (CTPPs) et, d'autre part, le renforcement des normes de résilience opérationnelle interne pour les institutions financières. Les entités du secteur doivent donc anticiper une surveillance accrue sur ces aspects spécifiques de leurs cadres de gestion des risques. Il est conseillé de traiter DORA non pas comme un simple exercice de conformité, mais comme un impératif stratégique pour construire une résilience vérifiable, qui deviendra de plus en plus un différenciateur concurrentiel dans un paysage numérique volatile.