Ce que révèle le premier rapport d'incident DORA sur le risque de concentration dans le secteur financier de l'UE

Pour les programmes TPRM mis en œuvre dans le cadre de la DORA, la concentration des risques liés aux tiers n'est plus une préoccupation purement théorique. Les premières données annuelles sur les incidents montrent qu'il s'agit d'une caractéristique structurelle de l'organisation même du secteur.

Ces données figurent dans le premier rapport annuel des autorités européennes de surveillance établi dans le cadre de la directive DORA, publié le 3 juin 2026, aux côtés d’une conclusion qui a suscité beaucoup plus d’attention : les deux tiers des 3 383 incidents majeurs enregistrés cette année-là n’ont entraîné aucune perturbation, ou seulement des perturbations mineures, pour les clients et les transactions. Le risque de concentration qui sous-tend ces résultats constitue toutefois la conclusion la plus significative.

Les défaillances de tiers ont été à l'origine de près d'un incident sur trois

Les autorités de surveillance européennes (ESA) soulignent qu’une seule défaillance d’un tiers peut donner lieu à des signalements d’incidents dans des dizaines d’établissements simultanément, car ces derniers ont recours au même prestataire. Le rapport qualifie ce phénomène d’« effet multiplicateur ». Les professionnels parlent quant à eux de « risque de concentration » : il s’agit de la situation où une même exposition se répartit entre plusieurs entreprises sans qu’il existe de mécanisme coordonné permettant de la gérer conjointement.

Cette concentration reflète la structure du secteur. L’analyse réalisée en 2024 par la BCE sur les registres d’externalisation, à partir des données de fin d’année 2023, a révélé que plus de 30 % du budget total d’externalisation des grandes banques de l’UE est alloué à seulement 10 prestataires, dont la plupart ont leur siège social en dehors de l’UE. La moitié de l’ensemble des dépenses d’externalisation critiques est concentrée sur seulement 30 prestataires. Cette répartition est restée stable au fil des différentes années couvertes par la collecte de données de la BCE. Les décideurs politiques européens ont commencé à réagir : le paquet de mesures sur la souveraineté technologique présenté par la Commission en juin 2026 vise à réduire la dépendance de l’Union à l’égard des fournisseurs de services cloud, de puces électroniques et de logiciels non européens. Mais la mise en œuvre de ces mesures s’inscrit dans une démarche s’étalant sur plusieurs années ; par conséquent, le risque de concentration que les établissements signalent aujourd’hui est en grande partie celui qu’ils devront gérer pendant un certain temps encore.

Quels sont les fournisseurs tiers considérés comme essentiels par la DORA ?

En novembre 2025, les AES ont publié la première liste officielle des 19 prestataires tiers critiques dans le domaine des TIC au titre de la directive DORA. Cette liste comprend Amazon Web Services, Microsoft, Google Cloud, Bloomberg, LSEG Data and Risk, IBM, Fidelity National Information Services, Oracle, SAP, Accenture, Capgemini, Deutsche Telekom, Equinix et Tata Consultancy Services. Ces prestataires sont désormais soumis à la surveillance directe des autorités de surveillance européennes : évaluations de la gouvernance, obligations de signalement des incidents et examen minutieux des dispositifs de résilience qu’ils mettent en œuvre pour leurs clients du secteur financier.

Cette désignation donne une forme réglementaire à ce que les données sur l’externalisation avaient déjà mis en évidence. Une part importante des services financiers de l’UE repose sur un petit nombre de plateformes partagées, et la portée complète des obligations des tiers au titre de la DORA s’étend désormais à l’identification des fonctions critiques hébergées sur l’infrastructure désignée, ainsi qu’aux exigences que cette dépendance impose au programme propre à chaque entreprise.

Les mesures de confinement renforcent la résilience au niveau des entreprises, et non l'exposition à l'échelle du secteur

Lorsque des incidents se sont produits en 2025, les entités financières ont généralement été en mesure de les détecter et de les isoler avant qu’ils n’affectent les clients à grande échelle. Les deux tiers des 3 383 incidents n’ont entraîné aucune perturbation ou seulement des perturbations mineures. Les autorités de surveillance européennes (ESA) attribuent ce résultat à une détection rapide, à une réponse efficace et à des mesures de confinement, et les données corroborent cette analyse.

Les défaillances corrélées ne s’inscrivent pas dans ce cadre. En avril 2025, le réseau électrique espagnol a connu une panne d’environ 10 heures, qui a également touché le Portugal. Les centres de données des banques ont fonctionné grâce à leur alimentation de secours ; les agences ont perdu leur connexion, les terminaux de point de vente se sont déconnectés et les clients de toute la région n’ont pas pu joindre leurs banques. Les mesures de préparation qui avaient fait leurs preuves au niveau de l’entreprise n’ont pas permis d’empêcher une perturbation provenant de l’extérieur.

La liste CTPP formalise cette dynamique en matière de risques liés aux TIC. Lorsqu’AWS ou Azure subissent une panne majeure, comme cela a été le cas pour chacun des principaux fournisseurs de cloud au moins une fois en 2025, la résilience interne des banques prises individuellement devient un facteur secondaire. L’exposition évolue à la vitesse de l’infrastructure partagée.

DORA et la première carte réglementaire de la concentration des TIC

Le registre des exigences en matière d’information de DORA a fourni pour la première fois aux autorités de régulation des données contractuelles concrètes, agrégées à grande échelle, concernant l’ensemble du secteur financier de l’UE. La liste des entités désignées au titre du CTPP a été établie à partir de ces données, ce qui en fait la première cartographie officielle, à l’échelle de l’ensemble du secteur financier de l’UE et fondée sur des données factuelles, illustrant la répartition réelle de la concentration dans le domaine des TIC.

Avant la mise en place de DORA, les autorités de régulation disposaient d'une vue d'ensemble du risque de concentration en termes agrégés. La BCE avait mis en garde contre ce risque dans plusieurs lettres d'information consacrées à l'externalisation, et les données relatives à la concentration budgétaire étaient collectées depuis 2022. Pour obtenir une cartographie précise, il fallait que les entreprises communiquent leurs dispositions contractuelles réelles en matière de TIC sous une forme permettant aux autorités de régulation de les agréger à l'échelle du secteur.

C'est le processus de désignation du CTPP qui a permis d'élaborer cette carte. Les autorités de régulation se sont appuyées sur les registres transmis pour identifier les prestataires présentant une importance systémique au sein du secteur, et la liste qui en résulte constitue la première reconnaissance officielle, fondée sur des données contractuelles réelles, du fait que le risque opérationnel du secteur est largement déterminé par des interdépendances.

L'examen réalisé par la BCE en 2024 a révélé que, selon les propres déclarations des banques, 12 % des contrats d'externalisation critiques des grandes banques n'étaient pas conformes aux exigences en vigueur, et que 60 % de ces contrats n'avaient pas fait l'objet d'un audit au cours des trois dernières années. Les établissements entrant dans la phase de surveillance active du cadre DORA (Directive sur la surveillance des activités d'externalisation) considèrent cette lacune comme un risque de surveillance en cours.

Ce que les superviseurs de la DORA examinent en 2026

Les institutions les mieux préparées pour l'année 2026, date à laquelle la DORA entrera en vigueur, sont celles dont les cadres de gestion des risques liés aux tiers reflètent la concentration réelle de leur portefeuille de fournisseurs, et dont les programmes de suivi de ces risques s'appuient sur une évaluation continue de l'exposition plutôt que sur une évaluation ponctuelle.

Votre programme de gestion des risques liés aux fournisseurs (TPRM) doit tenir compte du nombre de fonctions critiques qui dépendent d'un seul fournisseur. À l'heure actuelle, la plupart des entreprises ne sont pas en mesure de répondre à cette question avec certitude. Il est tout aussi important de déterminer en quoi consiste réellement la substituabilité pour chaque accord. Les stratégies de sortie doivent être testées, et pas seulement documentées.

Le premier rapport d’incidents de DORA fait état d’un secteur ayant géré 3 383 incidents majeurs avec un impact limité sur les clients. Il met également en évidence la structure de concentration qui sous-tend ces performances. Les responsables examineront ensuite si votre programme s’appuie sur cette structure. Les données permettant de répondre à cette question se trouvent déjà dans votre portefeuille de fournisseurs.

Questions fréquemment posées

Quelles sont les conclusions du premier rapport annuel sur les incidents DORA ?
Le premier rapport sur les incidents DORA des autorités de surveillance européennes (ESA), publié le 3 juin 2026, portait sur 3 383 incidents informatiques majeurs survenus dans le secteur financier de l’UE en 2025. Vingt-neuf pour cent d’entre eux étaient dus à des défaillances de tiers, un tiers a eu des répercussions transfrontalières et deux tiers n’ont causé aucune perturbation, ou seulement des perturbations mineures, pour les clients. Les défaillances système représentaient 51 % de l’ensemble des incidents.

Qui sont les fournisseurs tiers de TIC critiques au sens de la directive DORA ?
Les fournisseurs tiers de TIC critiques(CTPP) sont des prestataires désignés par les autorités de surveillance européennes (ESA) comme présentant une importance systémique pour les services financiers de l’UE. En novembre 2025, 19 fournisseurs ont été désignés, parmi lesquels AWS, Microsoft, Google Cloud, Bloomberg et LSEG. Ils sont désormais soumis à la surveillance directe des ESA, ce qui implique notamment des évaluations obligatoires de leur gouvernance et des obligations de signalement des incidents.

Qu’est-ce que le risque de concentration lié aux TIC dans le cadre de la directive DORA ?
Le risque de concentration lié aux TIC survient lorsque de nombreux établissements financiers dépendent d’un petit nombre de prestataires communs pour des fonctions critiques. Les données de la BCE pour 2024 montrent que plus de 30 % des budgets d’externalisation des banques importantes de l’UE se concentrent sur seulement 10 prestataires. La directive DORA impose aux entreprises d’évaluer et de documenter cette exposition dans le cadre de leur programme de gestion des risques liés aux tiers.

Comment fonctionne l'obligation de signalement des incidents prévue par la loi DORA ?
En vertu de l'article 19 de la loi DORA, les entités financières doivent transmettre une notification initiale dans les quatre heures suivant la classification d'un incident informatique majeur, un rapport intermédiaire dans les 72 heures et un rapport final dans un délai d'un mois. Les incidents provenant de tiers doivent tout de même être signalés par chaque entité concernée, sauf si les conditions de signalement agrégé sont remplies.

Quelles devraient être les priorités des entreprises en matière de conformité à la directive DORA en 2026 ?
En 2026, l’accent sera mis par les autorités de surveillance sur la gestion des risques liés aux tiers. Parmi les actions prioritaires figurent la tenue d’un registre complet des informations, l’évaluation du risque de concentration parmi les prestataires désignés par le CTPP, la mise en place de dispositions contractuelles conformes à l’article 30, ainsi que la mise à l’épreuve des stratégies de sortie plutôt que leur simple documentation.