Consultant
Le 24 septembre 2020, à Bruxelles, Valdis Dombrovskis, alors Vice-Président exécutif de la Commission européenne, déclarait à l’occasion de la présentation du Digital Finance Package : “The future of finance is digital […] but digital transformation does not come without risks.”[1] Cette déclaration annonçait déjà l’esprit du règlement européen DORA (Digital Operational Resilience Act), entré pleinement en application le 17 janvier 2025. Ce texte s’inscrit dans une ambition politique plus large : construire une souveraineté numérique européenne capable d’accompagner la transformation technologique du secteur financier tout en limitant les risques systémiques qu’elle engendre.
En effet, le numérique constitue aujourd’hui l’infrastructure invisible de la finance contemporaine : paiements instantanés, services « cloud », outils de gestion des risques, infrastructures de marché, plateformes de banque en ligne ou encore solutions de cybersécurité. L’activité bancaire dépend désormais d’un écosystème technologique dense et interconnecté. Selon la Banque centrale européenne, 30 % des budgets totaux d’externalisation des banques européennes significatives sont aujourd’hui concentrés auprès de seulement dix prestataires[2], majoritairement établis aux États-Unis, ce qui illustre une forte concentration du risque opérationnel.
Cette situation met en évidence la dépendance croissante du secteur financier envers les fournisseurs dits « TIC critiques », c’est-à-dire des prestataires technologiques dont les services sont indispensables au fonctionnement des institutions financières et dont la défaillance pourrait affecter la stabilité du système financier. Ceux-ci regroupent notamment les fournisseurs de « cloud », les éditeurs de logiciels en SaaS, les opérateurs télécoms, les prestataires de gestion des données ou encore de cybersécurité. Lorsqu’ils soutiennent certaines fonctions essentielles, ils peuvent être qualifiés de critiques. À titre d’exemple, les systèmes de paiements (virements SEPA) ou les outils de LCB-FT reposent sur des services TIC essentiels.
L’émergence d’un cadre européen unique de résilience numérique
Dans cette perspective, le règlement DORA fixe un cadre harmonisé de gestion du risque lié aux prestataires TIC. Toutefois, l’identification des prestataires critiques ou importants relève de la responsabilité de chaque entité financière, qui doit évaluer ses dépendances et mettre en place des dispositifs de contrôle adaptés.
Le risque cyber est désormais identifié comme prépondérant et systémique : selon l’ENISA, le secteur financier figure parmi les plus exposés aux cyberattaques et aux rançongiciels en Europe. La dépendance technologique des institutions financières soulève donc des enjeux qui dépassent la simple conformité informatique : elle engage la continuité des services essentiels, la protection des données et la confiance des marchés.
Cette préoccupation transparaît dans les cinq piliers du règlement :
- La gouvernance des risques TIC
- La gestion et la notification des incidents TIC
- Les tests de résilience opérationnelle numérique
- La gestion des risques liés aux prestataires tiers TIC
- Le partage d’informations sur les cybermenaces
L’objectif poursuivi est double : renforcer la résilience opérationnelle des acteurs financiers et limiter les effets de contagion systémique liés à une défaillance technologique majeure.
Concrètement, cela se traduit par l’obligation pour les établissements de notifier dans des délais contraints (notification initiale rapide, généralement sous 24h) les incidents TIC majeurs ayant un impact significatif (indisponibilité de services critiques, altération de données, etc.) à l’ACPR. Un reporting en plusieurs phases (initial, intermédiaire, final) est exigé afin d’assurer un suivi complet de l’incident.
Enfin, l’article 28 impose de tenir à jour un RoI (Register of Information), c’est-à-dire un registre exhaustif et actualisé des contrats conclus avec les prestataires TIC, incluant leurs caractéristiques et leur criticité. Ce registre doit être mis à disposition de l’autorité de supervision et transmis périodiquement ou sur demande.
Des obligations renforcées vis-à-vis des prestataires
Depuis une dizaine d’années, les établissements bancaires ont massivement recours à l’externalisation afin d’optimiser leurs coûts et accélérer leur transformation numérique.
Parmi les dispositions les plus structurantes, l’article 30 définit les exigences applicables aux contrats conclus avec les prestataires TIC. Le contrat devient ainsi un instrument central de maîtrise du risque opérationnel et de conformité réglementaire.
Les contrats doivent désormais préciser :
• La nature des services externalisés
• Les fonctions critiques associées
• Les niveaux de service (SLA)
• Les garanties de sécurité et de disponibilité
• Les modalités de continuité d’activité
• Les procédures de gestion des incidents
• Les droits d’accès, d’inspection et d’audit
Cette standardisation vise à réduire les ambiguïtés contractuelles et à renforcer la capacité de réaction en cas d’incident majeur.
L’un des points les plus sensibles concerne les droits d’audit : DORA impose que les établissements et les autorités puissent accéder aux informations nécessaires pour contrôler les prestataires. Cette exigence peut entrer en tension avec les modèles contractuels standardisés des grands fournisseurs technologiques internationaux.
Le règlement insiste également sur les stratégies de sortie et de réversibilité : les établissements doivent être capables de changer de prestataire sans interruption majeure de service. Cela vise à limiter le risque de dépendance excessive (« vendor lock-in »).
DORA consacre ainsi une responsabilisation accrue des établissements financiers, qui demeurent pleinement responsables des risques liés à leurs prestataires, y compris en cas d’externalisation.
Une dépendance aux prestataires TIC devenue structurelle
Aujourd’hui, le marché du cloud est dominé par quelques acteurs extra-européens concentrant une part importante des infrastructures financières. Cette concentration soulève des enjeux à la fois opérationnels, économiques et de souveraineté.
Cette dépendance génère plusieurs risques :
• Une concentration des fournisseurs
• Une dépendance contractuelle
• Des chaînes de sous-traitance complexes
• Des limitations des capacités d’audit
• Des vulnérabilités cyber partagées
La liste des prestataires essentiels identifiés par l’ACPR illustre cette concentration géographique. Elle met en évidence la prédominance d’acteurs américains et la forte dépendance des institutions financières européennes à leur égard, malgré la présence de plusieurs acteurs européens.
Parmi les principaux prestataires recensés figurent 8 prestataires américains sur 19 :
- Accenture plc : Ireland
- Amazon web Services EMEA Sarl : Luxembourg / USA
- Bloomberg L.P. : USA
- Capgemini SE : France
- Colt Technology Services : UK
- Deutsche Telekom AG : Germany
- Equinix (EMEA) B.V : Netherlands/USA
- Fidelity National Information Services, Inc (FIS) : USA
- Google Cloud EMEA Limited : Ireland /USA
- International Business Machine Corporation : USA
- InterXion HeadQuarters B.V : Netherlands
- Kyndryl Inc : USA
- LSEG Data and Risk Limited : UK
- Microsoft Ireland Operations Limited : Ireland / USA
- NTT DATA Inc : Japan
- Oracle Nederland B.V : Netherlands
- Orange SA : France
- SAP SE : Germany
- Tata Consultancy Services Limite : India
Si DORA constitue une avancée majeure en matière de résilience numérique, sa mise en œuvre soulève plusieurs défis concrets : les établissements doivent revoir un volume important de contrats afin d’identifier les écarts de conformité et renégocier certaines clauses, ce qui représente un chantier opérationnel et juridique significatif. Les grands fournisseurs technologiques disposent souvent d’un rapport de force favorable, limitant la capacité de négociation des établissements financiers. Cela peut compliquer la mise en conformité avec certaines exigences de DORA.
Par ailleurs, la conformité DORA nécessite une approche transversale impliquant plusieurs fonctions (juridique, IT, risques, conformité). Or, les organisations bancaires restent souvent structurées en silos, ce qui complexifie la mise en œuvre opérationnelle.
Enfin, le règlement traduit une prise de conscience majeure : dans une finance numérisée, la stabilité du système dépend désormais autant de la robustesse technologique que de la solidité financière des acteurs. À terme, DORA pourrait contribuer à rééquilibrer les relations entre institutions financières et grands fournisseurs technologiques, tout en renforçant l’autonomie stratégique de l’Europe dans le domaine numérique.
[1] Extrait de la press remarks by Executive Vice President Valdis Dombrovskis on the Capital Markets Union and Digital Finance, 24 septembre 2020 à 17h12, notes écrites du discours : wired-gov.net/wg/news.nsf/print/Press+remarks+by+Executive+VicePresident+Valdis+Dombrovskis+on+the+Capital+Markets+Union+and+Digital+Finance+24092020103800, audio officiel site de la Commission Européenne : EC Press Conference by Executive Vice President Valdis Dombrovskis, on the the Capital Markets Union and Digital Finance : Audiovisual Service – EC press conference by Executive Vice-President Valdis DOMBROVSKIS, on the Capital Markets Union and Digital Finance minutes 3.18 et 3.39.
[2] A&O Shearman : Outsourcing on the rise ECB warns of increased reliance on third party providers





Emanuela Azouzi-Popa


















Kevin Martins
Yvan Makembe
Anna Maximova

* à condition que l’ajustement des exigences de fonds propres pour risque de crédit prévu à l’article 501 bis ne soit pas appliqué.

Adrien Henry
Florence Baldo
Céline Alcouffe
Benjamin Balluais




Florence Baldo