Le 17 janvier 2025 a marqué l’entrée en vigueur du Digital Operational Resilience Act (DORA) pour plus de 22 000 institutions financières européennes. Neuf mois plus tard, il est possible de dresser un premier constat : si la promesse d’une résilience numérique harmonisée a bien déclenché une mobilisation généralisée, la réalité du terrain révèle encore des registres de fournisseurs inachevés, des contrats qu’il faut entièrement renégocier et des tests de pénétration qui n’ont jamais dépassé le stade du « proof of concept ».  Ce diagnostic ne concerne pas seulement les banques et les assurances : il touche aussi les fournisseurs technologiques  hyperscalers, éditeurs SaaS et plateformes CCaaS — dont la propre conformité devient une condition d’accès au marché.

1 | Les cinq piliers de DORA, rappel en filigrane

Le règlement s’articule autour de cinq axes complémentaires. Il impose d’abord une gouvernance formelle du risque numérique ; il exige ensuite une notification quasi immédiate – quatre heures – des incidents susceptibles d’affecter les clients ou les marchés. Troisième axe : la réalisation régulière de tests de résilience à forte valeur probante, les fameux Threat-Led Penetration Tests (TLPT). Vient ensuite la gestion contractuelle des tiers ; DORA ne se contente pas de recommander un registre, il en codifie le format et oblige les établissements à se réserver un droit d’audit sur leurs prestataires. Enfin, le texte encourage l’échange d’informations entre pairs et autorités afin de renforcer toute la chaîne de défense européenne.

2 | Neuf mois d’application : un diagnostic nuancé

Au Luxembourg, la CSSF* a interrogé 389 établissements : un seul se déclare pleinement conforme. Deux problèmes dominent : la cartographie des fournisseurs – parfois éclatée entre plusieurs directions – et l’ajout des clauses d’audit dans les contrats cloud, un exercice bien plus délicat qu’escompté lorsque le prestataire est un hyperscaler global. À l’échelle de l’Union, une enquête flash de McKinsey réalisée en mars 2025 montre qu’un tiers seulement des institutions pensent pouvoir satisfaire toutes les exigences d’ici la fin de l’année ; les tests de résilience et l’automatisation du reporting d’incidents arrivent systématiquement en queue de liste des tâches accomplies.
br> Neuf mois après, une grande partie des contrôles reste encore essentiellement « documentaire » : politiques signées, matrices de risques mises à jour, plans de continuité réécrits… mais peu de preuves en production du côté de la supply chain numérique (journaux exploitables, échantillonnages fournisseurs, scénarios de test réellement exécutés). 
br> Ce travers touche également les fournisseurs : plutôt qu’un inventaire de technologies et de certifications, les régulateurs et les clients attendent désormais une capacité à démontrer l’efficacité des mesures (évidence horodatée, traçabilité des changements, résultats de tests reproductibles).
br> Les consultants d’Ankura dressent le même constat : trois banques sur quatre renégocient en ce moment même leurs contrats cloud. Le processus est ralenti par l’hétérogénéité des superviseurs nationaux ; l’ACPR, la BaFin ou la Banco de España n’exigent ni le même niveau de détail ni le même calendrier pour les livrables, ce qui complique la tâche des groupes transfrontaliers. Bref, le chemin vers une conformité « plein régime » se poursuivra en 2026.

3 | Les pierres d’achoppement

Le premier obstacle reste la cartographie des fournisseurs critiques. Entre contrats historiques, filiales autonomes et cascade de sous-traitants non déclarés, reconstituer la chaîne de dépendance relève parfois de l’archéologie. Vient ensuite la question des droits d’audit et d’accès aux journaux : 54 % des établissements sondés par la CSSF citent les négociations avec les hyperscalers comme le frein numéro un à leur avancement.
br> Côté TLPT, la complexité se double d’un risque opérationnel trop souvent sous-estimé. Un test intrusif mal préparé peut provoquer des perturbations perceptibles — jusqu’à une dégradation de la qualité de la voix sur les canaux temps-réel et impacter la relation client. D’où la nécessité d’un cadrage commun banque–fournisseur : fenêtre de tir limitée, scénarios et critères d’arrêt, mécanismes de rollback, et environnement de test suffisamment représentatif pour éviter les faux positifs. Enfin, la fragmentation de la supervision pèse sur la gouvernance : l’absence d’un calendrier unique pousse certains groupes à gérer plusieurs feuilles de route, parfois contradictoires, au risque de diluer les efforts.

4 | Zoom sur les fournisseurs CCaaS – Du canal client à la critique réglementaire

Parce qu’elles gèrent les conversations voix, chat ou vidéo entre une banque et ses clients, les plateformes CCaaS manipulent des flux temps réel qui relèvent clairement de la fonction « customer interface » identifiée comme critique par DORA. Dès lors, ces prestataires deviennent juridiquement des ICT third-party service providers soumis aux mêmes exigences que les hébergeurs cloud.
br> Concrètement, leurs contrats doivent intégrer un droit d’audit raisonnable, des SLA alignés sur les Recovery Time et Recovery Point Objectives réglementaires, ainsi qu’une clause de notification d’incident inférieure à quatre heures. La transparence est également de mise : localisation des données, composition de la chaîne de sous-traitance et conformité aux critères de souveraineté tels que les a définis le Clusif doivent être documentées et mises à jour dès qu’un changement intervient.
br> Plus que jamais, la clé est la preuve. Un CCaaS « DORA-ready » sait produire à la demande des évidences horodatées : exports de logs immuables injectables dans le SIEM client, pistes d’audit consolidées, résultats de tests avec méthodologie et étendue clairement décrites, et non un simple inventaire de fonctionnalités.
br> Cette logique de démonstration continue compte autant pour les établissements que pour les fournisseurs : elle conditionne la confiance, l’assurabilité et, in fine, l’accès aux marchés régulés.
br> Enfin, les parcours de certification (SecNumCloud aujourd’hui, EUCS demain) doivent être pensés comme des trajectoires : alignement progressif des workloads clés, priorisation des canaux sensibles (voix prioritaire), et communication transparente des jalons aux clients.

5 | Organiser le tandem finance- -CCaaS

La suite se jouera en deux temps. D’ici à la fin septembre, l’objectif est de finaliser une cartographie croisée banque-CCaaS et de classer les flux – paiement, KYC, service client – selon leur criticité. L’automne devra voir la signature d’avenants contractuels intégrant une annexe DORA, un plan d’audit et un runbook d’incident partagé. Avant la fin de l’année, les premières campagnes TLPT dédiées aux canaux voix temps réel devront être menées de façon conjointe, incluant un scénario DDoS sur SIP.
br> En 2026, l’ambition passera par une certification conjointe, avec un alignement du CCaaS sur EUCS ou SecNumCloud, et l’intégration des métriques de résilience numérique dans le reporting ESG – parce que, désormais, la qualité de service client et la confiance numérique s’inscrivent toutes deux dans la lettre S de « Social ».
br> Neuf mois après l’échéance, la conformité ressemble encore à un iceberg : beaucoup d’actions se jouent sous la ligne de flottaison et les preuves tangibles restent rares.
br> La voie la plus efficace passe par une feuille de route itérative banque–fournisseur : d’abord éclaircir la cartographie croisée et les obligations contractuelles, ensuite éprouver ensemble (sur un périmètre réduit) des TLPT centrés sur les canaux temps réel, enfin industrialiser la production d’évidences et l’auditabilité
br> Les plateformes CCaaS, cœur battant des parcours clients, ont l’occasion de transformer cette obligation en avantage concurrentiel, à condition d’embrasser pleinement la lettre et l’esprit du règlement et de prouver, régulièrement, simplement, opérationnellement, que la résilience est bien au rendez-vous.
br> Bertrand Deroubaix, Risks, Quality & Security Director, membre du CESIN

ARTICLES SIMILAIRESPLUS DE L'AUTEUR