Analyse stratégique des incidents majeurs et enjeux de résilience pour le secteur financier européen

Sommaire:  Ce rapport présente un bilan détaillé des incidents majeurs liés aux TIC survenus en 2025. Publié en juin 2026 sous l'égide du règlement DORA, le document analyse plus de 3 300 incidents, principalement concentrés dans les secteurs bancaire et des paiements. Les sources précisent que si la majorité des perturbations proviennent de défaillances systémiques ou de prestataires tiers, les cyberattaques directes restent relativement limitées. L'étude souligne l'importance de la résilience opérationnelle, notant qu'une gestion efficace a permis de restreindre l'impact sur les clients malgré une forte interconnexion transfrontalière. Enfin, le rapport appelle à une meilleure harmonisation des pratiques de signalement entre les différents États membres pour renforcer la sécurité financière globale.

Introduction et Contexte Réglementaire

Le présent rapport synthétise les conclusions du rapport conjoint des Autorités de surveillance européennes (ESAs) publié le 3 juin 2026, conformément à l'article 22 du règlement DORA. Ce document (JC 2026 16) constitue la première vue d'ensemble agrégée des incidents majeurs liés aux TIC survenus au cours de l'année 2025.

Au sens de l'article 3(10) de DORA, un « incident majeur » est une perturbation TIC ayant un impact négatif élevé sur les réseaux et systèmes d'information soutenant les fonctions critiques ou importantes d'une entité financière (FE). Ce bilan marque un tournant dans la surveillance de la résilience opérationnelle numérique au sein de l'Union européenne, offrant une base de données harmonisée pour l'analyse des vulnérabilités systémiques.

Analyse Quantitative : Un Premier Bilan des Incidents en 2025

Pour l'exercice 2025, les entités financières ont signalé 3 383 incidents majeurs, soit une moyenne de 0,18 incident par entité soumise à DORA. Le volume mensuel moyen s'établit à 282 incidents, avec une activité réduite en janvier due à l'entrée en vigueur de l'obligation de signalement le 17 janvier 2025.

Répartition sectorielle et indicateurs de fréquence

L'analyse des données révèle une concentration marquée dans les secteurs du crédit et des paiements, qui représentent à eux seuls plus de 75 % des rapports.

Anomalie de données (MTI —Infrastructures de transparence financière) : Il convient de noter que le volume d'incidents élevé dans le secteur MTI ne reflète pas une faiblesse structurelle généralisée, mais provient de l'application divergente des critères de classification par une seule entité sur une période prolongée (Note 12 du rapport source).

Critères de classification : Outre l'indisponibilité des services, il est significatif qu'environ 16 % des incidents ont été classés comme "majeurs" sur la base du critère d'impact réputationnel (visibilité médiatique ou plaintes répétées), illustrant l'importance de l'image de marque dans le déclencheur du reporting réglementaire.

La Dimension Transfrontalière du Risque ICT

L'année 2025 confirme que les risques TIC sont intrinsèquement "sans frontières". Environ 31 % des incidents (soit 1 056 cas) ont eu un impact transfrontalier, dépassant les frontières de l'État membre de notification.

La sévérité géographique se répartit comme suit :

• Impact local étendu : Un tiers des incidents transfrontaliers ont affecté 1 à 2 États membres.
• Propagation systémique : 8 % de l'ensemble des incidents majeurs ont touché plus de 10 pays simultanément.

Cette interconnexion souligne la dépendance critique envers des infrastructures partagées et des services TIC communs, transformant rapidement des défaillances locales en crises européennes.

Nature et Causes Racines des Incidents

Une distinction rigoureuse doit être faite entre la typologie de l'incident (le symptôme) et sa cause racine (l'origine).

Typologies d'incidents (Symptômes)

Les défaillances de système représentent 51 % des rapports, suivies des événements externes (27 %) et des incidents spécifiquement liés aux paiements (18 %).

Analyse des causes racines (Origines)

1. Défaillance ou dysfonctionnement du système (50 %) : Lié à la complexité des infrastructures logicielles.
2. Événements externes (32 %) : Incluant les catastrophes naturelles ou pannes de réseaux tiers.
3. Défaillances de processus (19 %) : Lacunes dans la gouvernance interne ou les procédures de changement.

Dépendance envers les tiers : Environ 29 % des incidents majeurs trouvent leur origine dans des défaillances attribuables à des tiers. En tant que spécialiste du risque, il est crucial de préciser que ce chiffre englobe non seulement les prestataires de services TIC (Cloud, software), mais aussi d'autres entités financières et des fournisseurs d'infrastructures critiques.

Focus sur la Cybersécurité : Menaces et Techniques

Bien que médiatisées, les cyberattaques ne constituent que 10 % des incidents majeurs de 2025. Les techniques employées sont principalement :

• Attaques DDoS (33 %) : Saturation des services en ligne.
• Exfiltration ou manipulation de données (31 %) : Incluant le vol d'identité.

Ces attaques ont prédominamment ciblé le secteur du crédit, cible privilégiée en raison de la sensibilité des données et de l'échelle des services numériques. Si les mécanismes de détection actuels s'avèrent efficaces, les ESA alertent sur l'émergence de menaces sophistiquées s'appuyant sur l'intelligence artificielle générative.

Impact Opérationnel et Financier : Une Résilience sous-estimée ?

Les données de 2025 suggèrent une résilience solide du secteur, bien que l'analyse des coûts nécessite une interprétation prudente.

• Impact clients : Dans 60 % des cas, l'impact a été nul ou mineur (< 1 000 clients).
• Impact transactions : Deux tiers des incidents ont affecté moins de 1 000 transactions, voire aucune.
• Impact monétaire : 50 % des entités déclarent des coûts nuls ou inférieurs à 1 000 EUR.

Analyse critique du risque : Cette apparente faiblesse des coûts financiers est jugée suspecte par les autorités. Elle reflète des pratiques de reporting incorrectes, notamment l'omission du temps de travail du personnel dédié à la résolution de l'incident (pourtant requis par la Q&A 2025_7439). Cette sous-évaluation constitue un risque en soi, masquant le coût réel de la non-résilience.

Études de Cas : Les Événements Majeurs de 2025

Deux événements illustrent parfaitement la propagation des risques systémiques :

1. Panne TARGET2 (Février 2025)

Le 27 février, un dysfonctionnement matériel rarissime d'un composant de stockage a rendu T2 et T2S indisponibles pendant 8 à 10 heures. L'incident a provoqué une interruption partielle d'une heure du système TIPS (TARGET Instant Payment Settlement). Les conséquences ont été notables sur le dénouement des transactions, avec des retards critiques dans le versement des salaires et des pensions au sein de certaines communautés.

2. Blackout de la Péninsule Ibérique (Avril 2025)

Le 28 avril 2025 à 12h30 CEST, une panne majeure du réseau électrique a frappé l'Espagne et le Portugal pendant 10 heures. Si les datacenters bancaires ont basculé sur générateurs, la rupture des réseaux télécoms a paralysé les terminaux de paiement (POS), dont les batteries se sont épuisées ou qui ont perdu toute connectivité, empêchant les achats quotidiens des clients malgré la disponibilité théorique des systèmes centraux des banques.

Conclusion et Perspectives de Surveillance

Ce premier exercice de reporting DORA permet de dégager des axes prioritaires pour 2026 :

• L'interconnexion transfrontalière exige une coordination accrue entre autorités de surveillance.
• La gestion des risques tiers (TPRM) demeure le maillon faible, impliquant près d'un tiers des incidents.
• La qualité des données financières doit impérativement s'améliorer : la sous-estimation systématique des coûts nuit à la juste allocation des ressources de résilience.
• Perspectives 2026 : Le déploiement de nouveaux outils de reporting IT et de mécanismes de validation automatisés permettra de fiabiliser les indicateurs de coûts et de fréquence.

En somme, si le secteur financier a démontré sa capacité à absorber les chocs en 2025, le cadre harmonisé de DORA s'avère indispensable pour passer d'une résilience réactive à une posture de sécurité proactive.