Le 3 juin 2026, les trois Autorités européennes de surveillance (l’EBA pour la banque, l’ESMA pour les marchés et l’EIOPA pour l’assurance) ont publié leur premier rapport conjoint sur les incidents informatiques majeurs déclarés au titre du règlement DORA. Le chiffre central donne le ton : 3 383 incidents TIC majeurs recensés dans le secteur financier de l’Union européenne pour la seule année 2025. C’est la première photographie complète du risque opérationnel numérique européen depuis l’entrée en application de la réglementation DORA, le 17 janvier 2025.
Ce rapport marque un tournant. Pour la première fois, les superviseurs disposent de données harmonisées et obligatoires sur les pannes, cyberattaques et défaillances de prestataires qui frappent banques, assureurs, plateformes de paiement et gestionnaires d’actifs. Pour les entités françaises supervisées par l’ACPR et l’AMF, le message est clair : la tolérance réglementaire informelle s’achève. Cet article décortique les chiffres, l’analyse des superviseurs, l’impact marché et ce qui attend les directions financières et techniques d’ici 2027.
DORA : 3 383 incidents TIC majeurs déclarés en 2025
Le rapport recense exactement 3 383 incidents informatiques majeurs sur l’ensemble des secteurs financiers de l’UE en 2025. Rapporté au nombre total d’entités assujetties à la réglementation DORA, cela représente environ 0,18 incident majeur par entité. Le chiffre paraît modeste, mais il faut le lire pour ce qu’il est : un plancher de référence, établi durant la toute première année de déclaration obligatoire. Beaucoup d’établissements ont passé 2025 à apprendre à qualifier, classer et notifier un incident « majeur » au sens de DORA, ce qui sous-estime probablement le volume réel.
L’ESMA résume la portée du document dans son communiqué du 3 juin : environ un tiers des 3 383 incidents majeurs déclarés ont eu un impact transfrontalier, touchant des clients ou des infrastructures dans plusieurs États membres. Cette dimension transfrontalière est le cœur du problème que DORA cherche à traiter. Une panne chez un hébergeur cloud ou un prestataire de paiement ne s’arrête pas à une frontière nationale, et la supervision fragmentée d’avant 2025 laissait des angles morts entre régulateurs.
Le rapport insiste sur un point contre-intuitif : la majorité des incidents ne sont pas des cyberattaques. Les défaillances de systèmes, erreurs de configuration, problèmes de mise en production et pannes matérielles dominent largement le tableau. La part directement liée à la cybersécurité reste minoritaire, autour de 10 % des cas selon l’analyse des superviseurs. Autrement dit, le risque opérationnel numérique européen tient aujourd’hui davantage à la fragilité des chaînes techniques qu’à la malveillance externe. C’est précisément la logique de la réglementation DORA, qui traite la résilience comme un tout, et non comme un simple problème de sécurité informatique.
Le secteur bancaire concentre la majorité des incidents
La ventilation sectorielle est sans surprise mais instructive. Le secteur du crédit, c’est-à-dire les banques, concentre la plus grosse part des incidents déclarés, devant les prestataires de services de paiement. Cette concentration s’explique mécaniquement : les banques exploitent les systèmes les plus complexes, les volumes de transactions les plus élevés et les chaînes de sous-traitance les plus étendues. Plus la surface technique est large, plus la probabilité d’une défaillance majeure augmente.
Les assureurs et les acteurs des marchés financiers déclarent proportionnellement moins d’incidents, mais le rapport met en garde contre toute interprétation hâtive. Un volume faible peut refléter une meilleure résilience, ou simplement une maturité moindre dans la détection et la qualification des incidents. Les superviseurs notent que 2025 a été une année d’apprentissage, où les seuils de déclaration ont été appliqués de manière inégale d’un secteur et d’un pays à l’autre.
| Indicateur (rapport ESAs 2025) | Valeur | Lecture |
|---|---|---|
| Incidents TIC majeurs déclarés | 3 383 | Premier exercice complet sous DORA |
| Incidents par entité assujettie | ~0,18 | Plancher de référence à surveiller |
| Incidents à impact transfrontalier | ~1 sur 3 | Justifie la supervision européenne |
| Part liée à la cybersécurité | ~10 % | Le risque est d’abord opérationnel |
| Incidents liés à un tiers | ~1 sur 3 | Le risque prestataire devient central |
| Secteur le plus touché | Crédit (banques) | Surface technique la plus large |
Le risque tiers : un incident majeur sur trois vient d’un prestataire
La donnée la plus stratégique du rapport concerne les prestataires. Environ un tiers des incidents majeurs trouvent leur origine chez un tiers : fournisseur de services cloud, éditeur de logiciel, opérateur d’infrastructure ou autre entité financière. Cette concentration valide la crainte exprimée depuis des années par les régulateurs européens : la dépendance du secteur financier à une poignée de géants technologiques crée un risque systémique.
C’est exactement la raison pour laquelle la réglementation DORA introduit un régime de supervision directe des prestataires tiers critiques. Les fournisseurs jugés essentiels au fonctionnement du système financier européen sont désormais placés sous la surveillance directe des Autorités européennes de surveillance, avec des pouvoirs d’inspection, de demande d’information et de recommandation. Un hyperscaler cloud qui héberge les systèmes critiques de centaines de banques n’est plus une boîte noire contractuelle : il entre dans le périmètre du superviseur.
Pour les directions des risques, la conséquence est concrète. Le registre d’information DORA, qui cartographie l’ensemble des contrats avec les prestataires TIC, devient l’outil central de pilotage. Une entité qui ne sait pas précisément quels services critiques reposent sur quel fournisseur ne peut ni évaluer son exposition ni prouver sa conformité. La chaîne d’externalisation, longtemps traitée comme un sujet d’achats, devient un sujet de stabilité financière.
Pourquoi la réglementation DORA change la donne en 2026
La réglementation DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est applicable depuis le 17 janvier 2025. Elle impose un cadre unifié de résilience opérationnelle numérique à plus d’une vingtaine de catégories d’acteurs financiers : banques, assureurs, entreprises d’investissement, plateformes de crypto-actifs, prestataires de paiement, gestionnaires de fonds et bien d’autres. Le texte repose sur cinq piliers : gestion du risque TIC, notification des incidents majeurs, tests de résilience, gestion du risque lié aux tiers, et partage d’informations sur les cybermenaces.
Le rapport du 3 juin 2026 est la première matérialisation du deuxième pilier, la notification. Et il agit comme un révélateur. Avant DORA, chaque régulateur national collectait ses propres données selon ses propres définitions, rendant toute comparaison européenne impossible. Désormais, un incident majeur répond à des critères harmonisés de seuil, de durée, de nombre de clients touchés et d’impact économique. C’est cette standardisation qui permet, pour la première fois, d’agréger un chiffre comme les 3 383 incidents.
L’enjeu de 2026 n’est plus l’entrée en vigueur, mais le passage à l’application stricte. Les superviseurs nationaux, ACPR et AMF en tête pour la France, disposent maintenant d’un point de référence chiffré. Une entité qui déclarerait zéro incident là où ses pairs en déclarent plusieurs devra s’expliquer. L’asymétrie de déclaration devient un signal de supervision à part entière.
L’analyse des experts : un plancher, pas un plafond
Les superviseurs eux-mêmes invitent à la prudence sur l’interprétation du chiffre. Dans son communiqué, l’ESMA souligne que le total de 3 383 incidents « ne traduit pas une faiblesse structurelle » du secteur, mais reflète le premier exercice d’un système de déclaration standardisé. Le rapport prévient explicitement contre toute comparaison directe avec 2024, faute de cadre obligatoire unifié l’année précédente.
« Le chiffre de 2025 est une ligne de base, pas un verdict », analyse un responsable de la conformité DORA dans une grande banque française interrogé sur le rapport. « Ce qui comptera, c’est la trajectoire en 2026 et 2027. Une hausse pourrait signifier de meilleures déclarations, pas plus d’incidents. C’est tout le piège de cette première année. »
Du côté des autorités, l’EBA met l’accent sur la gestion du risque lié aux tiers comme priorité de supervision. La part d’un tiers des incidents imputables à des prestataires confirme que la maîtrise de la sous-traitance technique est le maillon faible. L’ESMA, de son côté, alerte sur l’horizon : malgré une part cyber limitée à environ 10 % en 2025, le secteur doit se préparer à l’usage par les attaquants d’outils dopés à l’intelligence artificielle, susceptibles de faire grimper le volume et la sophistication des incidents au-delà de la base 2025.
« La déclaration obligatoire crée une boucle de retour vertueuse », observe une analyste spécialisée en risque opérationnel financier. « Pour la première fois, un régulateur peut voir qu’un même prestataire cloud apparaît dans des dizaines d’incidents transfrontaliers. Cette visibilité, on ne l’avait jamais eue à l’échelle européenne. »
DORA face à NIS2 et au Cyber Resilience Act
DORA ne vit pas seule. Elle s’inscrit dans un arsenal réglementaire européen qui s’est densifié entre 2024 et 2026. Trois textes structurent désormais la cyber-résilience du continent, avec des périmètres distincts mais des recoupements croissants. Comprendre qui fait quoi est devenu un exercice à part entière pour les équipes conformité.
La directive NIS2 vise les opérateurs de services essentiels et importants dans un large éventail de secteurs, de l’énergie à la santé. Le Cyber Resilience Act, lui, cible la sécurité des produits numériques tout au long de leur cycle de vie, des objets connectés aux logiciels. DORA, enfin, est le texte le plus prescriptif et sectoriel : il s’applique uniquement à la finance, mais avec une granularité bien supérieure, allant jusqu’à la supervision directe des fournisseurs cloud.
| Texte | Périmètre | Entités visées | Sanction maximale | Statut 2026 |
|---|---|---|---|---|
| DORA (UE 2022/2554) | Résilience numérique de la finance | Banques, assureurs, paiement, crypto, fonds | Mesures correctives et astreintes par les autorités nationales | Applicable depuis le 17/01/2025 |
| NIS2 | Cybersécurité des secteurs essentiels | Énergie, santé, transport, numérique, etc. | Jusqu’à 10 M€ ou 2 % du CA mondial | Transposition en cours dans plusieurs États |
| Cyber Resilience Act | Sécurité des produits numériques | Fabricants de matériels et logiciels connectés | Jusqu’à 15 M€ ou 2,5 % du CA mondial | Obligations échelonnées jusqu’en 2027 |
Le risque de chevauchement est réel. Une banque qui développe sa propre application mobile peut relever de DORA pour sa résilience opérationnelle, et potentiellement du Cyber Resilience Act pour le produit lui-même. Les directions juridiques passent une part croissante de leur temps à cartographier ces frontières. C’est l’un des coûts cachés de la cyber-régulation européenne : sa cohérence d’ensemble se paie en complexité de mise en conformité.
Le régime de sanctions de la réglementation DORA
Le rapport du 3 juin n’égrène pas de sanctions individuelles pour 2025, et pour cause : la première année a été traitée par les superviseurs dans une logique d’accompagnement plutôt que de répression. Mais le cadre de sanction de la réglementation DORA est en place et il est dissuasif. Les autorités nationales compétentes peuvent imposer des mesures correctives, des astreintes périodiques et des sanctions administratives proportionnées à la gravité du manquement.
Pour les prestataires tiers critiques placés sous supervision européenne directe, le règlement prévoit des astreintes pouvant atteindre une fraction quotidienne de leur chiffre d’affaires mondial, appliquées jusqu’à la mise en conformité. L’objectif n’est pas la punition ponctuelle, mais la contrainte continue : un fournisseur qui refuse de coopérer voit la pression financière s’accumuler chaque jour. C’est une logique inédite pour des acteurs habitués à négocier les termes de leurs contrats en position de force.
En France, l’ACPR pour le secteur bancaire et assurantiel et l’AMF pour les marchés disposent des pouvoirs de contrôle et de sanction. Les deux autorités ont signalé tout au long de 2025 que la phase d’indulgence serait limitée dans le temps. Le rapport européen leur fournit désormais l’étalon comparatif qui leur manquait pour identifier les retardataires et les écarts de déclaration.
Impact marché : la résilience devient un poste budgétaire
L’effet le plus tangible de la réglementation DORA se lit dans les budgets. La mise en conformité a mobilisé des ressources considérables sur 2024 et 2025 : refonte des processus de gestion d’incidents, déploiement d’outils de détection, audit de l’ensemble des contrats fournisseurs, programmes de tests de résilience avancés. Pour les grands groupes, le chantier se compte en dizaines de millions d’euros et en centaines d’équivalents temps plein mobilisés.
Ce déplacement de la dépense profite directement à un écosystème : éditeurs de plateformes de gouvernance du risque, cabinets de conseil en conformité, fournisseurs de tests d’intrusion et de simulation d’attaque, assureurs cyber. Le marché européen de la cybersécurité, qui s’oriente vers les 95 milliards de dollars selon les projections du secteur, est porté en partie par cette vague réglementaire. DORA transforme une dépense subie en avantage concurrentiel pour ceux qui savent en faire un argument de confiance.
Pour les prestataires cloud, l’impact est plus ambivalent. La supervision directe ajoute une charge de conformité et expose à des inspections, mais elle crée aussi une barrière à l’entrée. Un hyperscaler capable de démontrer sa conformité DORA dispose d’un argument commercial décisif face à des concurrents plus petits. La réglementation, censée réduire la concentration du risque, pourrait paradoxalement renforcer la position des plus gros acteurs.
L’angle français : l’ACPR et l’AMF en première ligne
La place financière de Paris est l’une des plus exposées d’Europe à la réglementation DORA. Elle concentre un grand nombre d’établissements bancaires d’importance systémique, de sociétés de gestion et d’acteurs des paiements. Pour ces entités, le rapport européen sert d’aiguillon. Il rend visible la performance relative de chaque marché national en matière de déclaration et de gestion des incidents.
L’ACPR a fait de la résilience opérationnelle numérique un axe prioritaire de ses contrôles. L’autorité examine la qualité des registres d’information, la robustesse des plans de continuité et la maîtrise de la sous-traitance critique. L’AMF, pour sa part, surveille les infrastructures de marché et les sociétés de gestion, dont la dépendance aux prestataires technologiques est particulièrement forte. Les deux régulateurs s’appuient sur l’ANSSI pour l’expertise technique sur les menaces.
Le contexte national renforce l’urgence. La France a connu une série d’incidents de grande ampleur en 2025 et 2026, du piratage du registre FICOBA à la cyberattaque visant l’agence des titres sécurisés. Ces épisodes, bien que situés hors du strict périmètre financier de DORA, nourrissent une prise de conscience politique. La résilience numérique du secteur financier est désormais perçue comme une question de souveraineté autant que de conformité.
Le facteur intelligence artificielle dans les incidents 2026
La part cyber des incidents 2025 reste minoritaire, mais les superviseurs regardent déjà 2026 avec inquiétude. L’irruption de l’intelligence artificielle dans l’outillage des attaquants change l’équation. Des campagnes d’hameçonnage générées automatiquement, des codes malveillants adaptatifs et des attaques d’ingénierie sociale à grande échelle abaissent le coût et augmentent la portée des offensives. L’ESMA alerte explicitement sur ce risque dans son analyse du rapport.
Le paradoxe est que l’IA est aussi un outil défensif majeur. Les établissements financiers déploient des systèmes de détection comportementale, de corrélation d’alertes et de réponse automatisée. La course oppose désormais une IA offensive à une IA défensive, et la base de référence de 3 383 incidents servira d’étalon pour mesurer qui prend l’avantage. Si le volume explose en 2026, l’hypothèse d’une vague d’attaques industrialisées par l’IA deviendra difficile à écarter.
Cette dynamique recoupe une préoccupation plus large du secteur : la dépendance croissante à des modèles d’IA souvent hébergés chez les mêmes prestataires cloud déjà critiques. Une défaillance ou une compromission d’un fournisseur de modèles pourrait cumuler risque tiers et risque cyber, exactement le type de scénario systémique que DORA cherche à anticiper.
Cinq prédictions pour la résilience numérique européenne
À partir des données du rapport et de la trajectoire réglementaire, cinq évolutions se dessinent pour les dix-huit mois à venir.
- Hausse mécanique des déclarations en 2026. À mesure que les processus mûrissent, le nombre d’incidents déclarés devrait dépasser nettement les 3 383 de 2025, sans que cela signifie une dégradation réelle de la sécurité.
- Premières sanctions visibles. La phase d’accompagnement s’achève. Attendez-vous à des mesures correctives publiques, voire des sanctions, contre des entités aux déclarations anormalement basses ou aux registres d’information lacunaires.
- Concentration accrue du risque cloud. La supervision directe des prestataires critiques pourrait renforcer les plus gros fournisseurs, au détriment de la diversification recherchée.
- Convergence DORA, NIS2 et CRA. Les régulateurs travailleront à réduire les chevauchements, mais la charge de conformité cumulée restera élevée pour les acteurs à cheval sur plusieurs textes.
- L’IA comme variable décisive. La part cyber des incidents, autour de 10 % en 2025, augmentera si les attaques industrialisées par l’IA tiennent leurs promesses offensives.
Ce que les entités financières doivent faire maintenant
Pour les directions concernées, le rapport n’est pas un document d’archive mais une feuille de route. La priorité immédiate est la fiabilité du registre d’information DORA. Une cartographie incomplète des prestataires critiques expose à la fois au risque opérationnel et au risque de sanction. Vient ensuite la qualité du processus de notification : savoir qualifier un incident comme majeur, le déclarer dans les délais et documenter la chaîne de décision.
Le troisième chantier est celui des tests de résilience. La réglementation DORA prévoit des tests avancés, fondés sur des scénarios de menace réalistes, pour les entités les plus significatives. Ces exercices ne sont pas une formalité : ils révèlent les dépendances cachées et les points uniques de défaillance que l’analyse documentaire seule ne détecte pas. Les établissements qui les abordent comme un investissement, et non comme une contrainte, en sortent plus solides.
Enfin, le partage d’information sur les menaces, cinquième pilier souvent négligé, prend de l’importance. Les entités qui participent activement aux dispositifs de coordination, comme le cadre européen de coordination des incidents systémiques en préparation, disposeront d’une longueur d’avance sur les menaces émergentes. La résilience est devenue un sport collectif.
Contexte historique : de la crise de 2008 à DORA
La réglementation DORA n’est pas née dans le vide. Elle prolonge une logique enclenchée après la crise financière de 2008, lorsque les régulateurs ont compris qu’un maillon faible pouvait propager une défaillance à tout le système. Pendant quinze ans, l’attention s’est portée sur le risque financier : fonds propres, liquidité, effet de levier. Le risque opérationnel numérique restait traité en marge, dans des annexes techniques.
Les grandes pannes bancaires de la fin des années 2010 et le bond des cyberattaques durant la décennie suivante ont changé la perception. Une banque solvable mais incapable d’exécuter une transaction parce que son cloud est tombé présente un risque systémique au même titre qu’une banque insolvable. DORA acte ce basculement : la continuité opérationnelle numérique devient un objectif prudentiel à part entière, supervisé avec la même rigueur que les ratios financiers.
Le rapport du 3 juin 2026 est, à cet égard, un document fondateur. Il fournit la première mesure objective d’un risque longtemps resté qualitatif. Les 3 383 incidents ne sont pas qu’une statistique : ils sont la preuve que le risque opérationnel numérique est mesurable, agrégeable et donc, enfin, pilotable à l’échelle du continent.
Questions fréquentes sur la réglementation DORA
Qu’est-ce que la réglementation DORA exactement ?
DORA, pour Digital Operational Resilience Act (règlement UE 2022/2554), est un texte européen applicable depuis le 17 janvier 2025. Il impose un cadre unifié de résilience opérationnelle numérique à l’ensemble du secteur financier de l’UE, autour de cinq piliers : gestion du risque TIC, notification des incidents, tests de résilience, maîtrise du risque tiers et partage d’informations sur les menaces.
Combien d’incidents ont été déclarés en 2025 ?
Le rapport conjoint des Autorités européennes de surveillance, publié le 3 juin 2026, recense 3 383 incidents informatiques majeurs dans le secteur financier de l’UE pour 2025, soit environ 0,18 incident par entité assujettie. C’est la première mesure harmonisée du risque opérationnel numérique européen.
La majorité des incidents sont-ils des cyberattaques ?
Non. Selon le rapport, la part directement liée à la cybersécurité reste minoritaire, autour de 10 %. Les défaillances de systèmes, erreurs de configuration et pannes techniques dominent. C’est précisément pourquoi DORA traite la résilience comme un sujet global, au-delà de la seule sécurité informatique.
Quelles sanctions prévoit la réglementation DORA ?
Les autorités nationales compétentes, l’ACPR et l’AMF en France, peuvent imposer mesures correctives, astreintes et sanctions administratives. Les prestataires tiers critiques sous supervision européenne directe s’exposent à des astreintes calculées sur leur chiffre d’affaires mondial, appliquées quotidiennement jusqu’à mise en conformité.
Quelle est la différence entre DORA et NIS2 ?
NIS2 couvre la cybersécurité d’un large ensemble de secteurs essentiels (énergie, santé, transport). DORA est exclusivement sectoriel et financier, mais beaucoup plus prescriptif, allant jusqu’à la supervision directe des fournisseurs cloud critiques. Une même entité peut relever des deux textes selon ses activités.
Que doivent faire les entreprises françaises dès maintenant ?
La priorité est de fiabiliser le registre d’information DORA, qui cartographie tous les contrats avec les prestataires TIC, puis de solidifier le processus de notification des incidents et de mener des tests de résilience réalistes. La phase d’accompagnement réglementaire s’achève en 2026, place à l’application stricte.
Related Coverage
- NIS2 France : 15 000 entités, la CJUE saisie [2026]
- Cyber Resilience Act : 15 M€ d’amende [2026]
- Ransomware en Europe : +44,5 % de victimes [2026]
- Cybermenace 2025 : l’ANSSI traite 1 366 incidents [2026]
- FICOBA piraté : 1,2 million de comptes exposés [2026]
- Cyberattaque Commission européenne : 340 Go volés [2026]
Sources et références externes : communiqué ESMA du 3 juin 2026, Autorité bancaire européenne (EBA), texte du règlement DORA sur EUR-Lex, ACPR (Banque de France), Autorité des marchés financiers (AMF).
