Accueil
Actualités
DORA : ce que les premiers chiffres de l'ACPR révèlent sur l'écart entre conformité déclarée et conformité réelle


#CYBERSÉCURITÉ

DORA : ce que les premiers chiffres de l'ACPR révèlent sur l'écart entre conformité déclarée et conformité réelle



Le règlement DORA est entré en application le 17 janvier 2025. Dix-huit mois plus tard, l'ACPR a publié deux documents qui dressent un état des lieux précis du secteur financier français : une présentation officielle d'octobre 2025 et un webinaire de janvier 2026 qui croise les réponses au questionnaire transsectoriel envoyé aux entités financières avec les données opérationnelles issues des premières remises réglementaires.

La lecture conjointe de ces deux documents est riche d'enseignements. Elle révèle un écart significatif entre ce que les entités déclarent en matière de conformité et ce que les indicateurs objectifs montrent réellement. Cet écart n'a rien d'anormal à ce stade de la mise en œuvre d'un règlement complexe ; il devient en revanche un sujet pour 2026, année que l'ACPR a explicitement qualifiée d'« année de supervision » après une année 2025 d'accompagnement.

Un point de départ : la majorité des entités ne se sont saisies du sujet qu'en 2024 ou 2025

Le premier constat de l'ACPR, formulé dans le webinaire du 23 janvier 2026, est sans détour : « la majorité des répondants ne se sont saisis de la mise en conformité à DORA qu'en 2024 ou 2025, ce qui explique le retard constaté dans les plans d'actions ». Ces plans n'ont par ailleurs « pas toujours été adoptés par les plus hautes instances ».

Ce premier point conditionne tout le reste. Un règlement de cette ampleur, qui touche à la fois la gouvernance des risques TIC, la gestion des incidents, les tests de résilience et la maîtrise des prestataires critiques, ne se met pas en œuvre en douze mois. Les entités qui ont commencé sérieusement en 2024 ou plus tôt sont aujourd'hui dans une dynamique d'amélioration continue. Les autres rattrapent un retard de cadrage qui se voit sur l'ensemble des indicateurs.

Pilier par pilier : un niveau de conformité hétérogène et bien en-deçà des déclarations habituelles

Le questionnaire ACPR couvre les quatre piliers fondamentaux de DORA. Les chiffres de fin 2025 traduisent une réalité que peu d'acteurs revendiqueraient publiquement.

Pour le secteur bancaire, la conformité totale au cadre de gestion des risques liés aux TIC concerne seulement 13 % des établissements. Le taux monte à 27 % pour la classification et le reporting des incidents — pilier qui a été le plus rapidement adressé, sans doute parce qu'il était le plus visible. En revanche, la gestion du risque d'externalisation reste le maillon faible avec seulement 4 % des banques totalement conformes, et 48 % seulement partiellement conformes ou moins.

Pour le secteur de l'assurance, le tableau est encore plus marqué. Sur la gestion du risque d'externalisation, 65 % des organismes étaient encore partiellement conformes ou moins fin 2025, et seulement 2 % totalement conformes. Le pilier « cadre de gestion des risques TIC » montait à 7 % de conformité totale.

Ces chiffres ne sont pas dramatiques en soi : ils décrivent une trajectoire de maturation normale pour un règlement entré en application un an plus tôt. Ils deviennent en revanche stratégiques quand on les met en regard des indicateurs opérationnels du Registre d'Information.

Le Registre d'Information : 84 % de remises, mais 39 % seulement de traitements aboutis

L'un des chiffres les plus parlants du bilan ACPR concerne la première remise du Registre d'Information (RoI) au printemps 2025. 84 % des entités ont effectué une remise sur OneGate, ce qui est un taux honorable au regard du caractère inédit et complexe de l'exercice. Mais seulement 39 % de ces RoI ont pu être traités au niveau européen, après transmission aux Autorités Européennes de Surveillance.

L'écart entre les deux chiffres est révélateur. Une remise effectuée mais non traitable n'apporte rien au superviseur. L'ACPR explique cet écart par plusieurs facteurs : un calendrier resserré, des règles de validation modifiées en cours de période, un format de remise inhabituel (xBRL-CSV encapsulé dans une enveloppe XML, encodée en base 64), une « appropriation parfois sous-estimée du côté des remettants » et une « faible participation observée à l'exercice de dry-run ».

En clair, beaucoup d'entités ont produit un RoI pour respecter formellement l'échéance, sans avoir construit la gouvernance interne et l'outillage technique permettant que ce RoI soit exploitable. La collecte 2026, qui s'est ouverte le 1er janvier et se clôt le 31 mars, sera un indicateur très direct de la maturité acquise en un an.

Notification d'incidents : des délais réglementaires « encore rarement respectés »

Le règlement délégué (UE) 2025/301 impose des délais stricts : un incident classé majeur doit être notifié au plus tard 4 heures après cette classification, et au plus tard 24 heures après sa détection. Le constat de l'ACPR à six mois de reporting est clair : ces délais « sont encore rarement respectés ».

Deux chiffres complémentaires éclairent ce point. D'une part, dans 63 % des cas, l'incident était déjà clos au moment de la notification initiale — autrement dit, l'entité avait fini de gérer la crise avant même de la déclarer. D'autre part, l'ACPR relève la « prise en compte erronée des mesures compensatoires mises en place après détection d'un incident dans l'évaluation des critères de classification » : un incident doit être classifié indépendamment de ce qu'on a fait pour l'atténuer, ce que beaucoup d'entités ne font pas.

Ces deux constats traduisent une difficulté structurelle. La notification d'incident sous DORA n'est pas une formalité administrative post-crise ; c'est une obligation à intégrer dans la gestion de l'incident elle-même, en temps réel. Cela suppose des procédures, des rôles clairement attribués (qui décide qu'un incident est « majeur » au sens DORA ?), et un outillage qui permet de remplir et transmettre la notification dans les délais imposés. Beaucoup d'entités fonctionnent encore avec des processus calibrés sur l'ancien régime, où la notification se faisait à froid.

La gouvernance comme angle mort

Le chiffre qui interpelle le plus dans le questionnaire ACPR concerne la composition des organes de surveillance. 50 % des banques déclarent ne disposer d'aucun administrateur compétent sur les sujets informatiques au sein de leur conseil de surveillance. Le chiffre monte à 40 % pour les organismes d'assurance.

Or DORA fait de l'organe de direction le responsable ultime du cadre de gestion des risques TIC. L'article 5 du règlement est explicite : « l'organe de direction de l'entité financière définit, approuve, supervise et est responsable de la mise en œuvre de tous les arrangements concernant le cadre de gestion du risque lié aux TIC ». Cette responsabilité est personnelle et engage la responsabilité individuelle des administrateurs.

Une banque dont le conseil de surveillance ne compte aucun administrateur formé aux sujets IT n'est pas en mesure d'exercer cette responsabilité dans des conditions satisfaisantes. C'est un sujet de gouvernance qui dépasse la cybersécurité et qui touche à la composition même des organes dirigeants.

À cela s'ajoute la fréquence à laquelle les sujets informatiques sont évoqués : « trimestriellement » pour la majorité des banques, mais « annuellement » pour 44 % des assurances. Dans un environnement où les attaques majeures se mesurent en heures et où les vulnérabilités critiques sont exploitées en jours, un point annuel au conseil ne suffit plus.

Les trois priorités officielles de l'ACPR pour 2026

L'ACPR a clairement annoncé que 2026 marquait le passage de l'accompagnement à la supervision. Trois thématiques feront l'objet d'initiatives ciblées et de contrôles auprès des établissements concernés :

  • L'amélioration du processus de gestion des incidents, ce qui inclut le respect effectif des délais de notification, la qualité du remplissage des champs obligatoires, et l'intégration des notifications dans le cadre global de gestion des risques.
  • L'évaluation du cadre de gestion des risques TIC, avec une attention particulière sur la formalisation des politiques, l'identification de la fonction de contrôle dédiée, et la traçabilité des arbitrages.
  • La revue de conformité à DORA des contrats TIC, qui est probablement le chantier le plus lourd. C'est aussi celui où le secteur a le plus de retard, comme le montrent les chiffres ci-dessus.

L'ACPR mentionne par ailleurs une attention renforcée sur la complétude des rapports narratifs annexés aux remises réglementaires (rapport de contrôle interne pour la banque, RSR pour l'assurance), avec une exigence particulière sur la description du profil de risque, du système de gestion des risques et de l'identification de la fonction de contrôle du cadre de gestion du risque TIC.

Ce que ces chiffres impliquent concrètement pour les RSSI

L'écart entre conformité déclarée et conformité réelle n'est pas un signal d'alarme, mais un point d'attention sérieux. Les inspections ACPR de 2026 vont porter prioritairement sur les sujets où le secteur est le plus en retard, et sur des éléments mesurables : taux de respect des délais de notification, qualité des RoI transmis, complétude des rapports narratifs, formalisation des dispositifs de gestion des risques.

Trois actions paraissent particulièrement prioritaires pour les six mois qui viennent, sans préjuger des situations spécifiques :

D'abord, fiabiliser la production du Registre d'Information plutôt que de simplement remettre quelque chose dans les délais. Cela signifie tester en environnement de homologation, structurer une gouvernance de la donnée TIC en interne, et traiter le RoI comme un outil opérationnel intégré à la gestion du risque d'externalisation, pas comme une obligation administrative annuelle.

Ensuite, réviser les procédures de notification d'incident pour intégrer les délais DORA dès la phase de détection, et clarifier qui dans l'organisation prend la décision de classification « majeur » au sens du règlement délégué (UE) 2024/1772. Cette décision conditionne le déclenchement du compte à rebours de 4 heures.

Enfin, poser la question de la compétence IT au niveau du conseil. Cela peut passer par la formation d'administrateurs existants, par le recrutement d'un administrateur disposant de cette compétence, ou par la mise en place d'un comité spécialisé. L'absence de réponse à cette question est un risque non seulement réglementaire, mais aussi opérationnel en cas de crise majeure.

La période 2025-2027 reste une période d'apprentissage collectif sur DORA, pour les entités comme pour les superviseurs. Les chiffres de l'ACPR ne décrivent pas un secteur en défaut, mais un secteur en cours de maturation, avec des acteurs en avance et d'autres en rattrapage. La différence entre les deux catégories tiendra moins à la qualité des dispositifs déployés qu'à la rigueur avec laquelle ils sont intégrés au pilotage quotidien.