Sébastien LESCOP, Directeur Général de Cloud Temple
Imaginez : du jour au lendemain, une cyberattaque bloque l’accès à vos données clients. Ou encore, une décision de justice américaine rend vos portefeuilles d’investissement accessibles à Washington. Ces scénarios ne relèvent plus de la fiction. Ils traduisent une réalité : perte de continuité d’activité, fuite de données critiques, atteinte à la réputation. Autant de risques qui, pour un acteur de la finance, peuvent se chiffrer en centaines de millions d’euros, et en perte durable de confiance et de crédibilité.
DORA, bien plus qu’un règlement
C’est dans ce contexte qu’entre en scène le Digital Operational Resilience Act, ou DORA. Depuis le 1er janvier, ce règlement européen impose à l’ensemble du secteur financier d’être capable de résister à de tels chocs numériques. Beaucoup y voient une contrainte supplémentaire. C’est une erreur. DORA n’est pas une simple règle de conformité, c’est une assurance-vie numérique et un levier d’autonomie stratégique.
Les menaces ne sont pas théoriques. Les exemples abondent. En 2014, l’attaque contre JPMorgan a compromis les données de 83 millions de clients, l’une des plus grandes fuites bancaires de l’histoire. En 2017, une branche de BNP Paribas a été touchée par un ransomware mondial qui a perturbé ses opérations. Plus récemment, en 2024, la fuite touchant Viamedis et Almerys a exposé les données de près de 33 millions d’assurés, l’incident le plus massif jamais connu en France. Et à ces attaques s’ajoutent les pressions juridiques. Car, ne l’oublions pas, via son arsenal législatif, Washington impose aux fournisseurs américains de lui remettre, le cas échéant, leurs données même si elles sont hébergées en Europe. Ces cas rappellent que le risque n’est pas une hypothèse éthérée mais une réalité déjà vécue.
Ce que DORA exige, c’est la capacité de résister à ces crises : cyberattaques, pannes massives, dépendance excessive à un fournisseur unique. En clair, être certain que les données critiques qui garantissent la continuité de l’activité restent sous contrôle en toutes circonstances. Pour la première fois, une réglementation financière place le cloud au cœur de la résilience opérationnelle. Et derrière cette évolution, une promesse : permettre aux acteurs européens de reprendre la main sur leurs infrastructures et leurs données, sans dépendre aveuglément des hyperscalers américains.
DORA, une opportunité business et stratégique
Mais comment traduire DORA en actes concrets ? C’est là qu’intervient la qualification SecNumCloud, délivrée par l’Agence nationale de la sécurité des systèmes d’information. On pourrait la résumer ainsi : le label cinq étoiles du cloud de confiance en Europe. Les fournisseurs qualifiés SecNumCloud offrent des infrastructures conçues pour réduire les risques, simplifier la conformité et sécuriser les données là où elles comptent vraiment.
Derrière les sigles, ce sont des trajectoires très tangibles. Prenons l’exemple du groupe CCF. Cette banque qui évolue sur un marché concurrentiel et qui doit respecter un niveau de conformité exigeant a fait le choix de migrer vers l’environnement SecNumCloud piloté et géré par Cloud Temple. Ce choix a permis d’assurer une continuité opérationnelle en migrant l’ensemble des workload en neuf mois tout en réduisant les coûts.
À l’autre extrême, citons la Banque de France et sa filiale BDF-Gestion avec laquelle nous travaillons. Ici, la notoriété est maximale et l’exposition au risque également. Pour cette institution, la moindre faille pourrait avoir des conséquences systémiques. Leur choix a donc été limpide : confier l’intégralité de leur système d’information à une infrastructure SecNumCloud. Une évidence pour garantir la sécurité de leurs outils de travail et anticiper les futures exigences de DORA.
Ces deux histoires illustrent une même réalité. Il n’existe pas un modèle unique, mais un fil conducteur. Qu’il s’agisse d’un acteur de banque de détail en quête d’agilité ou d’une institution centrale exposée à tous les regards, la régulation devient un levier stratégique dès lors qu’elle s’appuie sur les bons partenaires. Et la confiance, loin d’être un frein, se révèle être le moteur de l’innovation.
DORA, une solution pour contrer les risques engendrés par l’IA
Un autre élément bouleverse désormais la donne : l’intelligence artificielle. Tous les métiers financiers – de l’analyse de risque au back-office, de la conformité au conseil client – vont bientôt tourner sur des IA qui ne vivent que de données. Ces IA collecteront, trieront et exploiteront l’intégralité des informations sensibles. Autrement dit, l’exposition au risque ne fera qu’augmenter. La question n’est plus seulement de stocker les données, mais de savoir où et sous quelle juridiction tourneront ces IA. Car une intelligence artificielle entraînée sur des données critiques chez un fournisseur soumis à des lois extraterritoriales représente un risque direct pour l’autonomie stratégique. DORA et SecNumCloud deviennent donc, dans ce contexte, les garants d’une IA de confiance pour la finance européenne.
Au-delà de la conformité, c’est un choix de société. Se doter de champions du numérique, c’est limiter la dépendance vis-à-vis de puissances étrangères, mais aussi créer de l’emploi en France, dans un secteur en hyper-croissance, au cœur même de toutes les activités financières – et de plus en plus, de leurs usages en intelligence artificielle. En investissant dans cette voie, l’Europe peut conjuguer trois objectifs : protéger son autonomie de décision, sécuriser la continuité de ses activités critiques et capter la valeur économique et les emplois d’un secteur stratégique.
Soyons clairs : toutes les données n’ont pas vocation à être hébergées en mode SecNumCloud. Mais celles qui portent la continuité de l’activité doivent l’être. Car sans contrôle sur les données critiques, il n’y a ni résilience, ni autonomie stratégique. DORA offre aujourd’hui une opportunité historique : transformer une exigence réglementaire en avantage compétitif. À l’ensemble du secteur financier de s’en saisir.
L’Europe ne gagnera pas la bataille du cloud en copiant les GAFAM. Elle la gagnera en traçant sa propre voie : celle d’un numérique sûr, régulé, protecteur… et ouvert à l’IA de confiance.
Directeur Général de Cloud Temple