<div class="az-element az-container glazed" data-az-type="node|page" data-az-name="1040|body" data-az-human-readable="Ym9keSBvbiBwYWdlICYjMDM5O0xhIHNvdXZlcmFpbmV0w6kgbnVtw6lyaXF1ZSA6IHVuIG5vdXZlbCBob3Jpem9uIHBvdXIgbGEgcsOpc2lsaWVuY2UgZGVzIGJhbnF1ZXMgZXQgYXNzdXJhbmNlcyBldXJvcMOpZW5uZXMgw6AgbOKAmcOocmUgZGUgRE9SQSYjMDM5Ow==" data-az-mode="dynamic">
<div class="az-element az-section" style="" data-az-id="gbo6riqhud" data-azat-pid="gb98fuxmqt" id="gb98fuxmqt" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-text" style="" id="gbgef0fiwf"><h1 style="text-align: center;"><span style="color:#0183bf;"><strong><span style="font-size:36px;">La souveraineté numérique : un nouvel horizon pour la résilience des banques et assurances européennes à l'ère de DORA</span></strong></span><br type="_moz"></h1></div></div></div><div class="az-element az-section" style="" data-az-id="gbn7rsk91k" data-azat-pid="gbuj9m58i1" id="gbuj9m58i1" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-text" style="" id="gbgisdfeml"><p style="text-align: center;"><span style="font-size:18px;"><b>Stéphane DANIEL,</b> Sciences-Po Paris Consultant IT & Conformité (DORA, RGPD)</span><br type="_moz"></p></div></div></div><div class="az-element az-section" style="" data-az-id="gbandou99r" data-azat-pid="gbq9zj9wnl" id="gbq9zj9wnl" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-button text-center hover-style-gbql8n1jik" id="gb45tl4ycp"><a href="https://professionsfinancieres.com/sites/professionsfinancieres.com/file... type="button" class="az-button-content btn btn-default " style="margin-top:40px;color:#ffffff;border-color:#ffffff;background-color:#0183bf;" target="_blank">Télécharger l'article</a></div></div></div><div class="az-element az-section" style="" data-az-id="gbr3pzhoda" data-azat-pid="gb7vk1m72p" id="gb7vk1m72p" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><hr class="az-element az-separator" style="border: none;" id="gb111qarmc"></div></div><div class="az-element az-section" style="" data-az-id="gbp7t3m5k6" data-azat-pid="gb1jsqcnij" id="gb1jsqcnij" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-text" style="" id="gbxnyfi42f"><p style="text-align: justify;"><span style="font-size:18px;"></span><span style="color:#0183bf;"><strong><span style="font-size:18px;">Introduction : DORA comme catalyseur d'une nouvelle souveraineté opérationnelle</span></strong></span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;"></span><span style="font-size:18px;">L’entrée en vigueur du Digital Operational Resilience Act (DORA) marque un tournant majeur dans la régulation financière européenne. Alors que le secteur financier est devenu l’un des plus numérisés au monde, sa dépendance envers des infrastructures technologiques mondialisées constitue aujourd’hui un risque systémique. </span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;">Face à cette réalité, l’Union européenne ne se contente plus de renforcer des exigences techniques : elle bâtit une <strong>doctrine de souveraineté numérique appliquée à la stabilité financière</strong>. </span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;">Cette souveraineté ne cherche pas à créer des champions européens du cloud ou de l’IA, mais à encadrer, superviser et maîtriser les dépendances qui structurent les infrastructures critiques des banques et assurances. </span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;">En cela, DORA n’est pas seulement un texte de conformité : c’est un <strong>instrument stratégique de gouvernance des risques numériques</strong>, qui rééquilibre le rapport de force entre l’Europe, ses institutions financières et les géants technologiques mondiaux.</span><br type="_moz"></p></div></div></div><div class="az-element az-section" style="" data-az-id="gbt2bewt6x" data-azat-pid="gb4by7j9hw" id="gb4by7j9hw" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-row row az-row--sm" style="" id="gb552w7qn3"><div class="az-element az-ctnr az-column col-sm-6" style="" id="gbjsof31sl"><div class="az-element az-text" style="" id="gbcd4mr0gi"><p style="text-align: justify;"><span style="color:#0183bf;"><strong><span style="font-size:18px;">L’enjeu est clair : une Europe qui n’est pas souveraine numériquement ne peut pas être résiliente.</span></strong></span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;"><br><strong>1. La souveraineté numérique comme nouvelle exigence prudentielle</strong></span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;"><strong></strong></span><span style="font-size:18px;"><br>Le fonctionnement quotidien des institutions financières repose de plus en plus sur des services technologiques essentiels : clouds publics, infrastructures de stockage, gestion des identités, cryptographie, annuaires, réseaux mondiaux, services API, plateformes de transfert sécurisé, solutions DevOps et IA intégrée. </span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;">Ces briques critiques sont opérées par quelques grandes entreprises internationales, principalement américaines. </span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;">Cette dépendance massive ne relève plus seulement d’un enjeu opérationnel. </span><br type="_moz"></p><p style="text-align: justify;"><span style="font-size:18px;">Elle touche au coeur même de la <strong>stabilité du système financier.</strong> Les établissements financiers, pourtant très régulés, reposent sur des technologies très peu régulées.</span><br type="_moz"></p></div></div><div class="az-element az-ctnr az-column col-sm-6" style="" id="gbzolpuggs"><div class="az-element az-image" id="gb0k5rojtz"><img class="az-image-content " src="https://professionsfinancieres.com/sites/professionsfinancieres.com/file... alt="" title="" style="width: 100%;"></div></div></div></div></div><div class="az-element az-section" style="" data-az-id="gbt6752cpw" data-azat-pid="gbt6752cpw" id="gbt6752cpw" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-text" style="" id="gbprjuw4v7"><p style="text-align: justify;"><span style="font-size:18px;">Ce déséquilibre structurel crée un risque prudentiel inédit :<br>• si un fournisseur technologique tombe,<br>• si un service cloud devient indisponible,<br>• si une technologie critique devient vulnérable,<br>• ou si un acteur dominé par une juridiction extracommunautaire subit une contrainte légale étrangère, </span></p><p style="text-align: justify;"><span style="font-size:18px;">alors une partie du système financier européen peut être fragilisée. </span></p><p style="text-align: justify;"><span style="font-size:18px;">La souveraineté numérique, dans ce contexte, n’est plus un sujet géopolitique abstrait : c’est une <strong>condition de stabilité</strong>, de continuité de service et de maîtrise des risques.</span><br><br><span style="font-size:18px;">Elle implique la capacité de l’Europe à :<br>• comprendre ses dépendances technologiques ;<br>• en cartographier les risques ;<br>• auditer les prestataires critiques ;<br>• contrôler leurs pratiques ;<br>• exiger des correctifs ;<br>• prévoir des plans de bascule réalistes ;<br>• éviter les situations de dépendance unique non réversible.</span><br><br><span style="font-size:18px;">Longtemps considérée comme une préoccupation de DSI ou de RSSI, la souveraineté numérique devient ainsi un <strong>enjeu prudentiel</strong> au même titre que la solvabilité ou la liquidité.</span></p><p style="text-align: justify;"><br></p><p style="text-align: justify;"><span style="font-size:18px;"><strong>2. DORA : la souveraineté par la résilience</strong><br><br>Entré en application le 17 janvier 2025, DORA harmonise la résilience opérationnelle de plus de vingt catégories d’entités financières.</span><br><br></p><p style="text-align: justify;"><span style="font-size:18px;">Mais son ambition dépasse largement l’harmonisation : il opère un changement profond de doctrine. </span></p><p style="text-align: justify;"><span style="font-size:18px;">DORA introduit l’idée que la <strong>résilience numérique</strong> <strong>est une composante de la souveraineté</strong>. Une banque dépendante d’un acteur technologique qu’elle ne maîtrise pas ne peut pas garantir la continuité de ses services essentiels. </span></p><p style="text-align: justify;"><span style="font-size:18px;">Un assureur incapable de basculer son système d’information vers une solution alternative ne peut pas prétendre être résilient.</span></p><p style="text-align: justify;"><br><span style="font-size:18px;">DORA impose ainsi :<br>• une gouvernance renforcée de la résilience<br>numérique ;<br>• une articulation claire entre direction générale,<br>DSI, RSSI, risques et conformité ;<br>• des analyses d’impact BIA transverses ;<br>• des tests réguliers de continuité ;<br>• une gestion de crise plus structurée ;<br>• un suivi exigeant des incidents majeurs ;<br>• une capacité de bascule et de réversibilité<br>documentée ;<br>• un <strong>registre des TIC</strong> permettant de cartographier<br>précisément les dépendances aux prestataires.</span><br><br></p><p style="text-align: justify;"><span style="font-size:18px;">Avec DORA, l’autorité de contrôle ne se limite plus à l’analyse prudentielle classique : elle devient garante de la <strong>solidité numérique</strong> du secteur<br>financier.</span></p><p style="text-align: justify;"><br><span style="font-size:18px;">La résilience technologique devient une dimension indispensable de la résilience financière.</span></p><p style="text-align: justify;"><br></p><p style="text-align: justify;"><strong><span style="font-size:18px;">3. Encadrement des prestataires critiques : un tournant stratégique pour la résilience européenne</span></strong></p><p style="text-align: justify;"><br><span style="font-size:18px;">Lors de la conférence de l’ACPR du 25 novembre 2025, un message fort a été réaffirmé : DORA change l’équation en permettant enfin à l’Europe de superviser directement les prestataires TIC critiques qui structurent l’écosystème financier. Pour les autorités de contrôle, il s’agit d’un <strong>levier décisif</strong> pour maîtriser les risques systémiques liés à la concentration technologique.</span></p><p style="text-align: justify;"><br><span style="font-size:18px;">Le 18 novembre 2025, les Autorités européennes de surveillance ont publié <strong>la liste des 19 Critical ICT Third-Party Providers.</strong> Cette désignation,</span><span style="font-size:18px;"> fondée sur l’analyse des registres d’information, des contrats transmis par les entités financières et des critères réglementaires, couvre l’ensemble des infrastructures essentielles : cloud, data centers, télécommunications et logiciels.</span></p><p style="text-align: justify;"><br></p><p style="text-align: justify;"><span style="font-size:18px;">Dès 2026, des équipes conjointes basées à Paris et Francfort mèneront les premières investigations en coordination avec les 27 autorités nationales. L’enjeu n’est pas de limiter l’usage de ces acteurs, mais d’obtenir un niveau de résilience, de transparence et de gouvernance conforme aux attentes européennes. Ce cadre constitue une opportunité unique : sécuriser les dépendances critiques tout en renforçant la capacité des organisations à piloter leurs risques.</span></p><p style="text-align: justify;"><br><span style="font-size:18px;"><strong>Il s’agit d’une souveraineté qui s’exerce par l’encadrement et la capacité à piloter les risques, plutôt que par la création d’alternatives technologiques; une souveraineté d’influence, structurée autour d’une gouvernance renforcée.</strong></span></p><p style="text-align: justify;"><br><span style="font-size:18px;"><strong>4. 2025–2026 : la fin de l’accompagnement de l’autorité de contrôle, le début des sanctions</strong></span></p><p style="text-align: justify;"><br><span style="font-size:18px;">L’année 2025 a été celle de l’accompagnement.<br>L’autorité de contrôle a multiplié :<br>• les échanges bilatéraux,<br>• les sessions d’assistance,<br>• l’interprétation des exigences,<br>• les communications pédagogiques,<br>• les réponses aux sollicitations des établissements.</span></p><p style="text-align: justify;"><br><span style="font-size:18px;">En revanche, <strong>2026 marque un changement profond de doctrine</strong> : l’autorité passe désormais à une supervision renforcée.</span></p><p style="text-align: justify;"><br><span style="font-size:18px;">Ce changement se matérialise par l’utilisation systématique d’un outil majeur : <strong>les questionnaires</strong> <strong>DORA</strong> adressés aux établissements.</span></p><p style="text-align: justify;">4.1 Le déclenchement : la transmission du questionnaire<br>comme début du contrôle sur pièces<br>Au cours du second semestre, les banques et les<br>assurances ont dû transmette un questionnaire. Il<br>permet de savoir le niveau de maturité.<br>4.2 Analyse des réponses : un croisement systématique<br>des informations<br>L’autorité ne s’appuie plus uniquement sur les<br>déclarations des établissements. Elle réalise<br>désormais un croisement consolidé des données<br>grâce à l’IA :<br>• registres des TIC,<br>• notifications d’incidents,<br>• réponses au questionnaire,<br>• échanges bilatéraux antérieurs,<br>• analyses sectorielles et transverses.<br>Ce croisement permet d’obtenir une vision fiable<br>de la maturité réelle, au-delà de ce qui est déclaré.<br>L’autorité peut facilement détecter :<br>• des incohérences entre registre des TIC et PRA,<br>• des dépendances mal documentées,<br>• des fragilités organisationnelles,<br>• des zones d’exposition technologique,<br>• une absence de bascule réaliste,<br>• une gouvernance insuffisante.<br>4.3 Décision : une approche graduée et proportionnée<br>À l’issue de cette analyse consolidée, l’autorité<br>peut décider :<br>• de clôturer le pré-contrôle ;<br>• de formuler des observations et exiger un plan<br>d’action ;<br>• de diligenter un contrôle sur place ;<br>• de recourir à des mesures contraignantes<br>lorsqu’un risque critique menace la continuité des<br>services essentiels.<br type="_moz"></p></div></div></div><div class="az-element az-section" style="" data-az-id="gb7t5kqhan" data-azat-pid="gb7t5kqhan" id="gb7t5kqhan" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-section" style="position: relative; z-index: 2000; left: 0px; top: 0px;" data-az-id="gb8rf528dk" data-azat-pid="gbegalyfqd" id="gbegalyfqd" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-image" id="gbpfoyocnf" style="position: relative; left: 0px; top: 0px;"><img class="az-image-content " src="https://professionsfinancieres.com/sites/professionsfinancieres.com/file... alt="" title="" style="width: 100%;"></div><div class="az-element az-text" style="" id="gb435l3309"><p><br>4.4 2026 : l’entrée dans la supervision opérationnelle<br>Les échanges informels avec les autorités de<br>contrôle indiquent clairement que l’année 2025 a<br>été celle de l’accompagnement ; l’année 2026 sera<br>celle de la supervision renforcée. Les priorités de<br>contrôle seront fixées en croisant les entretiens, le<br>registre des TIC, les notifications d’incidents et les<br>questionnaires reçus. Les entités les plus à risque<br>feront l’objet de contrôles sur place.<br>Nous entrons ainsi dans un modèle de supervision :<br>• plus analytique,-<br>• plus comparatif,<br>• plus exigeant,<br>• plus structurant.<br>DORA devient une régulation vivante, pilotée en<br>continu par l’autorité.<br>5. Gouverner la dépendance :<br>la nouvelle discipline prudentielle<br>Pour être conforme à DORA, un établissement doit<br>démontrer qu’il maîtrise la totalité de sa chaîne de<br>dépendances technologiques. Cela implique :<br>a) Une cartographie exhaustive des dépendances<br>critiques<br>Avec un registre des TIC structuré, actualisé et<br>gouverné.<br>b) Des scénarios de bascule réalistes<br>Pas théoriques, mais opérationnellement crédibles.<br>c) Des tests réguliers<br>PRA, BIA, exercices de crise, Red Team, TIBER,<br>table-top multi-entités.<br type="_moz"></p><p>d) Une gouvernance unifiée<br>Associer direction générale, risques, DSI, RSSI,<br>conformité, juridique.<br>Il s’agit d’un véritable changement de modèle : on<br>passe d’un système où l’IT soutient la stratégie, à<br>un système où l’IT conditionne la continuité, donc<br>la stratégie elle-même.<br>Conclusion : une souveraineté<br>d’encadrement du numérique,<br>pas de substitution<br>Avec DORA, l’Union européenne se dote d’une<br>véritable doctrine de souveraineté numérique<br>appliquée au secteur financier.<br>Il ne s’agit pas de créer artificiellement des<br>substituts européens aux géants technologiques<br>mondiaux, mais de reprendre le contrôle sur les<br>dépendances critiques.<br>La solidité d’un établissement dépend désormais<br>autant de sa maîtrise des risques numériques que<br>de son bilan ou de ses ratios prudentiels.<br>La souveraineté numérique devient un nouveau<br>pilier de stabilité financière, et DORA en est la<br>pierre angulaire.<br>Si l’Union européenne n’est pas productrice de ces<br>technologies, elle en devient l’architecte prudentiel<br>pour en assurer la résilience, lieu d’expression<br>d’une souveraineté renouvelée.<br type="_moz"></p></div></div></div></div></div><div class="az-element az-section" style="" data-az-id="gb594pxwpx" data-azat-pid="gbffpxuh8k" id="gbffpxuh8k" data-azb="az_section"><div class="az-ctnr container" data-azcnt="true"><div class="az-element az-row row az-row--sm" style="" id="gb6680vipa"><div class="az-element az-ctnr az-column col-sm-2" style="" id="gbpmhyxjk0"><div class="az-element az-image" id="gbe3t7ycle"><img class="az-image-content " src="https://professionsfinancieres.com/sites/professionsfinancieres.com/file... alt="" title="" style="margin-right: -150px; width: 150px; height: 150px;"></div></div><div class="az-element az-ctnr az-column col-sm-8" style="" id="gb7p1ehmjc"><div class="az-element az-text" style="" id="gbxheb5l6f"><h2><strong><span style="font-size:20px;"><span style="color:#0183bf;">Stéphane DANIEL</span></span></strong><br type="_moz"></h2><p><span style="font-size:18px;">Sciences-Po Paris Consultant IT & Conformité (DORA, RGPD)</span></p></div></div><div class="az-element az-ctnr az-column col-sm-2" style="" id="gb62wzwwco"></div></div></div></div><style><!-- .hover-style-gbql8n1jik:hover .az-button-content { color:#ffffff !important;border-color:#0183bf !important;background-color:#0183bf !important;} --></style>
</div>
![https://professionsfinancieres.com/sites/professionsfinancieres.com/file...](https://professionsfinancieres.com/sites/professionsfinancieres.com/files/glazed-builder/Article%2012%20-%20Illustration.png?fid=8656"){kind=link}
![https://professionsfinancieres.com/sites/professionsfinancieres.com/file...](https://professionsfinancieres.com/sites/professionsfinancieres.com/files/glazed-builder/Article%2012%20-%20Illustration%202.png?fid=8657"){kind=link}
![https://professionsfinancieres.com/sites/professionsfinancieres.com/file...](https://professionsfinancieres.com/sites/professionsfinancieres.com/files/glazed-builder/Photo%20Ambroise%20FAYOLLE%20carr%C3%A9_5.png?fid=6468"){kind=link}