Statistiques de conformite DORA 2026 : 60+ chiffres sur le perimetre, la preparation et l'application
Le Digital Operational Resilience Act (DORA) est devenu pleinement applicable le 17 janvier 2025, ce qui en fait l'une des etapes reglementaires les plus significatives pour le secteur financier europeen. DORA impose a plus de 22 000 entites financieres et a leurs prestataires de services TIC de respecter des normes strictes en matiere de gestion des risques TIC, de notification des incidents, de tests de resilience et de gestion des risques lies aux tiers.
Cette page compile des statistiques verifiees sur le perimetre de DORA, la preparation a la conformite, le cadre des sanctions, la surveillance des prestataires TIC tiers, les cybermenaces pesant sur le secteur financier et les couts de mise en oeuvre. Chaque chiffre est source aupres d'autorites de surveillance europeennes officielles, d'organismes de reglementation et de rapports sectoriels verifies.
Perimetre et envergure de DORA
DORA s'applique a 21 types d'entites financieres et a leurs prestataires de services TIC tiers. Contrairement a de nombreuses reglementations financieres qui se concentrent uniquement sur les banques, DORA couvre l'ensemble du secteur financier de l'UE.
| Statistique | Source |
|---|---|
| Plus de 22 000 entites financieres et prestataires de services TIC entrent dans le perimetre de DORA a travers l'UE | Palo Alto Networks ; PwC |
| 21 types d'entites financieres sont couverts par l'article 2 de DORA | ESMA DORA Overview |
Entites financieres concernees
DORA s'applique aux etablissements de credit (banques), aux etablissements de paiement, aux etablissements de monnaie electronique, aux entreprises d'investissement, aux prestataires de services sur crypto-actifs (CASPs), aux depositaires centraux de titres (CSDs), aux contreparties centrales (CCPs), aux plateformes de negociation, aux referentiels centraux, aux gestionnaires de fonds d'investissement alternatifs (AIFMs), aux societes de gestion d'OPCVM, aux entreprises d'assurance et de reassurance, aux intermediaires d'assurance et de reassurance, aux institutions de retraite professionnelle, aux agences de notation de credit, aux controleurs legaux des comptes et cabinets d'audit, aux administrateurs d'indices de reference critiques, aux prestataires de services de financement participatif, aux referentiels de titrisation et aux prestataires de services de communication de donnees.
Source : LegalNodes DORA Compliance Guide
Preparation a la conformite DORA
Les enquetes provenant de multiples sources dressent un tableau clair : le secteur financier a eu du mal a atteindre la pleine conformite DORA avant la date limite de janvier 2025.
Enquete McKinsey (mars 2024, 18 dirigeants d'institutions financieres europeennes de premier plan)
| Statistique | Source |
|---|---|
| Seulement environ un tiers des institutions financieres se disaient confiantes de pouvoir satisfaire a toutes les exigences DORA d'ici janvier 2025 | McKinsey - "Europe's new resilience regime" (juin 2024) |
| 70 % ont declare que la conformite DORA entrainerait des couts de fonctionnement technologique durablement plus eleves | McKinsey (juin 2024) |
| Dans environ 50 % des institutions, c'est l'organisation informatique qui pilote la mise en oeuvre de DORA | McKinsey (juin 2024) |
Enquete CSSF Luxembourg (aout/septembre 2024, environ 500 entites)
| Statistique | Source |
|---|---|
| 90 % avaient termine leur analyse d'ecart DORA | CSSF - Results of DORA readiness survey (octobre 2024) |
| Plus des deux tiers (environ 67 %) se consideraient comme "partiellement prets" | CSSF (octobre 2024) |
| Pres d'un quart (environ 25 %) se consideraient comme "presque prets" | CSSF (octobre 2024) |
| Seule 1 entite se percevait comme pleinement prete | CSSF (octobre 2024) |
Enquete IDC (mai 2024)
| Statistique | Source |
|---|---|
| 49 % des repondants : "Nous connaissons DORA mais n'avons pas encore entrepris de travaux exploratoires" | IDC - "Final Countdown to DORA" |
| 14 % ont admis : "Nous ne connaissons pas DORA" | IDC - "Final Countdown to DORA" |
Enquete europeenne Deloitte (debut 2025, dans 28 pays europeens)
| Statistique | Source |
|---|---|
| Seules 25 % des entites se sentent conformes sur le Pilier I (Gestion des risques TIC) | Deloitte Luxembourg - DORA European Survey 2025 |
| 48 % disposent de protocoles de gestion des incidents TIC operationnels (Pilier II) | Deloitte (2025) |
| Seules 8 % ont atteint la pleine conformite sur les Piliers III et IV (Tests et risques lies aux tiers) | Deloitte (2025) |
| 46 % identifient le registre d'informations comme la tache la plus complexe | Deloitte (2025) |
Couts de conformite DORA
Le cout de la conformite DORA varie considerablement selon la taille et la complexite de l'entite. Les grands groupes financiers font face a des programmes de plusieurs millions d'euros, tandis que les seules exigences de test representent une depense recurrente significative.
| Statistique | Source |
|---|---|
| 83 % des entites financieres disposent d'une estimation des couts de conformite | Deloitte - DORA European Survey 2025 |
| 64 % prevoient de consacrer entre EUR 2 et 5 millions a la conformite DORA | Deloitte (2025) |
| Effectifs moyens : 5 a 8 ETP par institution dedies a DORA | Deloitte (2025) |
| Un grand groupe financier a declare un budget total pour le programme DORA de pres de EUR 100 millions | Deloitte (2025) |
| Le cout des tests de penetration fondes sur la menace (TLPT) est estime entre 0,1 % et 0,3 % du budget TIC total | Compact.nl, citant les AES |
Sanctions et application de DORA
Le cadre de sanctions de DORA est defini au niveau europeen mais laisse une marge de discretion importante aux Etats membres, ce qui entraine des mises en oeuvre nationales divergentes.
Cadre de sanctions au niveau de l'UE (Article 50 de DORA)
| Type de sanction | Maximum |
|---|---|
| Amendes pour les entites financieres | Jusqu'a 2 % du chiffre d'affaires annuel mondial total |
| Amendes pour les personnes physiques dans les entites financieres | Jusqu'a EUR 1 000 000 |
| Amendes pour les prestataires TIC tiers critiques (CTPPs) | Jusqu'a EUR 5 000 000 |
| Amendes pour les personnes physiques chez les CTPPs | Jusqu'a EUR 500 000 |
| Penalites journalieres pour les CTPPs (non-conformite persistante) | Jusqu'a 1 % du chiffre d'affaires journalier mondial moyen, pendant 6 mois maximum |
Source : QuoIntelligence - DORA Explained
Divergences nationales dans la mise en oeuvre des sanctions
Les Etats membres ont transpose les dispositions de DORA en matiere de sanctions avec des variations significatives, comme le documente DLA Piper en octobre 2025 :
| Pays | Plafond base sur le chiffre d'affaires | Plafond absolu (entites) | Plafond pour les personnes physiques |
|---|---|---|---|
| Spain | 5 % du chiffre d'affaires | - | - |
| Sweden | 10 % du chiffre d'affaires | - | - |
| Czech Republic | - | EUR 2 millions | - |
| Italy | - | EUR 20 millions | - |
| Germany | - | - | EUR 5 millions |
| Finland | - | - | EUR 100 000 |
Source : DLA Piper - "Divergence in administrative penalties under DORA" (octobre 2025)
Pouvoirs d'application supplementaires
Au-dela des sanctions financieres, les autorites de surveillance ont le pouvoir d'emettre des divulgations publiques de manquements, des injonctions correctrices contraignantes, de suspendre ou limiter les activites commerciales, et de revoquer les autorisations ou licences.
Source : BOC Group - DORA Compliance Penalties
Responsabilite penale
L'article 52 de DORA permet aux Etats membres d'imposer des sanctions penales. Les membres du conseil d'administration peuvent engager leur responsabilite civile personnelle et potentiellement penale en cas de negligence grave dans le non-respect de la resilience operationnelle numerique.
Source : Avenga - Guide to DORA's Penalties
Prestataires TIC tiers critiques (CTPPs)
Le 18 novembre 2025, les Autorites europeennes de surveillance ont publie la toute premiere liste de prestataires TIC tiers critiques dans le cadre de DORA. Ces 19 prestataires sont desormais soumis a la surveillance directe du Forum conjoint de surveillance.
Les 19 prestataires TIC tiers critiques designes
| # | Prestataire |
|---|---|
| 1 | Accenture plc |
| 2 | Amazon Web Services EMEA Sarl |
| 3 | Bloomberg L.P. |
| 4 | Capgemini SE |
| 5 | Colt Technology Services |
| 6 | Deutsche Telekom AG |
| 7 | Equinix (EMEA) B.V. |
| 8 | Fidelity National Information Services, Inc. (FIS) |
| 9 | Google Cloud EMEA Limited |
| 10 | International Business Machines Corporation (IBM) |
| 11 | InterXion HeadQuarters B.V. |
| 12 | Kyndryl Inc. |
| 13 | LSEG Data and Risk Limited |
| 14 | Microsoft Ireland Operations Limited |
| 15 | NTT DATA Inc. |
| 16 | Oracle Nederland B.V. |
| 17 | Orange SA |
| 18 | SAP SE |
| 19 | Tata Consultancy Services Limited |
Source : EIOPA press release (18 novembre 2025) ; PwC Legal analysis
Registre d'informations
Toutes les entites financieres soumises a DORA doivent tenir un registre de tous les accords contractuels avec les prestataires de services TIC tiers. Date de reference : 31 mars 2025. Les autorites nationales ont transmis les registres aux AES avant le 30 avril 2025 pour l'analyse de designation.
Source : EBA - ESAs announce timeline for CTPP designation
Notification des incidents TIC dans le cadre de DORA
DORA introduit l'un des cadres de notification d'incidents les plus stricts de la reglementation financiere, avec des delais de declaration mesures en heures plutot qu'en jours.
Delais de notification (Reglement delegue de la Commission 2025/302)
| Rapport | Delai |
|---|---|
| De la detection a la classification | 24 heures maximum |
| Notification initiale | 4 heures apres la classification comme incident majeur |
| Rapport intermediaire | 72 heures apres la notification initiale |
| Rapport final | 1 mois apres le rapport intermediaire |
Source : QuoIntelligence ; Securiti - EU Regulation 2025/302
Criteres de classification
Un incident TIC est classe comme majeur lorsque des services critiques sont affectes negativement ET que soit : (a) un acces malveillant non autorise reussi se produit pouvant entrainer des pertes de donnees, SOIT (b) deux seuils de materialite ou plus sont atteints (clients affectes, contreparties financieres ou transactions).
Source : FMA Austria - DORA ICT-related incidents
Tests de penetration fondes sur la menace (TLPT)
DORA impose des tests de securite avances pour les entites financieres significatives, en s'appuyant sur le cadre TIBER-EU avec des exigences juridiquement contraignantes.
| Statistique | Source |
|---|---|
| Le TLPT est obligatoire tous les 3 ans pour les entites identifiees comme "significatives" par leur superviseur | DORA Article 26 |
| Premier delai TLPT : 17 janvier 2028 (3 ans apres la date d'application de DORA) | TIBER.info |
| Le purple teaming est obligatoire dans le cadre de DORA (seulement recommande sous TIBER-EU) | Yogosha |
| Le fournisseur de renseignements sur les menaces doit toujours etre externe | DORA TLPT RTS |
| Un test sur trois doit faire appel a une equipe rouge externe | DORA TLPT RTS |
| Le RTS sur le TLPT a ete publie le 18 juin 2025, applicable a compter du 8 juillet 2025 | TIBER.info |
Cybermenaces dans le secteur financier
Les donnees suivantes, issues d'ENISA et d'autres sources faisant autorite, illustrent le paysage des menaces auquel DORA est concu pour repondre.
ENISA Threat Landscape : secteur financier (janvier 2023 - juin 2024)
| Statistique | Source |
|---|---|
| 488 incidents signales publiquement affectant le secteur financier europeen | ENISA - Threat Landscape: Finance Sector (fevrier 2025) |
| Les banques (etablissements de credit) ont ete le type d'entite le plus touche avec 46 % de tous les incidents | ENISA (fevrier 2025) |
| Organisations financieres publiques : 13 % des incidents | ENISA (fevrier 2025) |
| Attaques DDoS : 58 % ciblaient specifiquement les banques | ENISA (fevrier 2025) |
| Ransomware : 29 % ont touche les prestataires de services financiers, 17 % les organismes d'assurance | ENISA (fevrier 2025) |
| Augmentation de 200 % en glissement annuel des familles de malware ciblant les applications bancaires | ENISA (fevrier 2025) |
| 29 attaques liees a la chaine d'approvisionnement identifiees dans le secteur financier | ENISA (fevrier 2025) |
Rapport sur la stabilite financiere mondiale du FMI (avril 2024)
| Statistique | Source |
|---|---|
| Pres d'un cinquieme des cyber-incidents signales au cours des deux dernieres decennies ont touche le secteur financier mondial | IMF GFSR April 2024, Chapter 3 |
| USD 12 milliards de pertes directes pour les entreprises financieres sur deux decennies de cyber-incidents | IMF (avril 2024) |
| USD 2,5 milliards de pertes directes pour les entreprises financieres depuis 2020 | IMF (avril 2024) |
| Les pertes extremes dues aux cyberattaques ont quadruple depuis 2017 | IMF (avril 2024) |
| Seulement environ la moitie des pays interroges disposaient d'une strategie nationale de cybersecurite dediee au secteur financier | IMF (avril 2024) |
Incidents dans le secteur financier mondial
| Statistique | Source |
|---|---|
| 3 348 cyber-incidents signales dans le secteur financier mondial en 2023, contre 1 829 en 2022 (augmentation de 83 % en glissement annuel) | Statista |
Test de resistance a la cyber-resilience de la BCE (juillet 2024)
| Statistique | Source |
|---|---|
| 109 banques sous surveillance directe ont ete testees | ECB Banking Supervision (26 juillet 2024) |
| 28 banques ont fait l'objet de tests approfondis avec des tests de recuperation informatique reels et des visites sur site | ECB (juillet 2024) |
| Scenario teste : toutes les mesures preventives echouent, une cyberattaque affecte gravement les bases de donnees des systemes centraux | ECB (juillet 2024) |
| Constat : les banques disposent de cadres de reponse et de reprise mais "des marges d'amelioration subsistent" | ECB (juillet 2024) |
Partage d'informations DORA (Article 45)
DORA encourage (mais n'impose pas) les entites financieres a echanger des renseignements sur les cybermenaces. Si le partage d'informations en lui-meme est volontaire, les entites sont tenues d'informer les regulateurs de la maniere dont elles participent aux dispositifs de partage d'informations.
Les renseignements partages comprennent les indicateurs de compromission, les tactiques/techniques/procedures, les alertes de cybersecurite et les outils de configuration. Les dispositifs doivent proteger les informations sensibles, respecter la confidentialite des affaires, la protection des donnees personnelles et le droit de la concurrence.
Source : DORA Article 45 ; FS-ISAC DORA Information Sharing Requirements
Normes techniques DORA
Les Autorites europeennes de surveillance (EBA, ESMA, EIOPA) ont elabore un total de 11 produits reglementaires pour operationnaliser DORA :
Premier lot (janvier 2024, publie au Journal officiel en juin 2024) : 3 RTS + 1 ITS
- RTS sur les cadres de gestion des risques TIC
- RTS sur les criteres de classification des incidents lies aux TIC
- RTS sur les politiques relatives aux services TIC fournis par des tiers soutenant des fonctions critiques
- ITS pour l'etablissement de modeles de registre d'externalisation
Deuxieme lot (juillet 2024) : 4 RTS + 1 ITS + 2 lignes directrices
Source : EBA - ESAs published second batch of policy products under DORA
Chronologie de DORA
| Date | Evenement |
|---|---|
| 24 septembre 2020 | La Commission europeenne a publie la proposition DORA |
| 27 decembre 2022 | Publication au Journal officiel de l'Union europeenne |
| 16 janvier 2023 | DORA est entre en vigueur |
| 17 janvier 2024 | Premier lot de RTS/ITS finalise par les AES |
| 25 juin 2024 | Premier lot de RTS publie au Journal officiel |
| 17 juillet 2024 | Deuxieme lot de RTS/ITS/lignes directrices finalise par les AES |
| 17 janvier 2025 | DORA est devenu pleinement applicable (sans periode de transition) |
| 31 mars 2025 | Date de reference pour le registre d'informations |
| 11 avril 2025 | Date limite BaFin (Germany) pour la soumission du registre d'informations |
| 15 avril 2025 | Date limite ACPR (France) pour la soumission du registre d'informations |
| 30 avril 2025 | Date limite pour les AES de collecter les registres aupres des autorites nationales |
| 8 juillet 2025 | Le RTS sur le TLPT est entre en vigueur |
| 18 novembre 2025 | Publication de la premiere liste de 19 prestataires TIC tiers critiques |
| 17 janvier 2028 | Date limite pour le premier cycle de TLPT obligatoire pour les entites significatives |
Les cinq piliers de DORA
DORA est structure autour de cinq piliers, chacun comportant des exigences specifiques :
Pilier I : Gestion des risques TIC
Les entites doivent etablir des cadres complets de gestion des risques TIC couvrant l'identification, la protection, la detection, la reponse et la reprise. Seules 25 % des entites se declarent conformes sur ce pilier (Deloitte 2025).
Pilier II : Gestion et notification des incidents lies aux TIC
Les incidents TIC majeurs doivent etre classes dans les 24 heures et signales aux autorites de surveillance dans les 4 heures suivant la classification. 48 % des entites disposent de protocoles operationnels (Deloitte 2025).
Pilier III : Tests de resilience operationnelle numerique
Des tests reguliers des systemes TIC sont requis, le TLPT etant obligatoire tous les 3 ans pour les entites significatives. Seules 8 % ont atteint la pleine conformite (Deloitte 2025).
Pilier IV : Gestion des risques lies aux tiers TIC
Les entites doivent tenir un registre de tous les accords avec les tiers TIC et evaluer le risque de concentration. Seules 8 % ont atteint la pleine conformite (Deloitte 2025). 46 % identifient cela comme l'exigence la plus complexe.
Pilier V : Partage d'informations
Echange volontaire de renseignements sur les cybermenaces entre entites financieres, avec obligation de divulgation aux regulateurs concernant la participation aux dispositifs de partage.
Questions frequentes
Q : Combien d'entites financieres sont concernees par DORA ?
R : Plus de 22 000 entites financieres et prestataires de services TIC entrent dans le perimetre de DORA a travers l'UE. Cela inclut 21 types d'entites financieres, des banques et assureurs aux prestataires de services sur crypto-actifs et plateformes de financement participatif, ainsi que leurs prestataires de services TIC tiers.
Q : Quelles sont les amendes maximales prevues par DORA ?
R : Les entites financieres s'exposent a des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial total. Les personnes physiques au sein des entites financieres risquent des amendes pouvant atteindre EUR 1 000 000. Les prestataires TIC tiers critiques s'exposent a des amendes pouvant atteindre EUR 5 000 000, avec des penalites journalieres pouvant aller jusqu'a 1 % du chiffre d'affaires journalier moyen en cas de non-conformite persistante. Certains Etats membres ont mis en place des plafonds plus eleves, la Suede autorisant jusqu'a 10 % du chiffre d'affaires.
Q : Quel pourcentage d'institutions financieres etait conforme a DORA en janvier 2025 ?
R : Tres peu. Une enquete McKinsey a revele que seul un tiers se disait confiant de pouvoir respecter le delai. Une enquete de la CSSF Luxembourg portant sur environ 500 entites n'a trouve qu'une seule entite se considerant pleinement prete. Une enquete Deloitte dans 28 pays a revele que seules 8 % etaient pleinement conformes sur les piliers relatifs aux tests et aux risques lies aux tiers.
Q : Combien coute la conformite DORA ?
R : Selon une enquete Deloitte, 64 % des entites financieres prevoient de consacrer entre EUR 2 et 5 millions a la conformite DORA, avec en moyenne 5 a 8 ETP dedies. Un grand groupe financier a declare un budget de programme approchant les EUR 100 millions. Les couts du TLPT sont estimes entre 0,1 % et 0,3 % du budget TIC total. McKinsey a constate que 70 % des dirigeants s'attendent a ce que DORA entraine des couts technologiques durablement plus eleves.
Q : Quels sont les delais de notification des incidents DORA ?
R : DORA exige une classification dans les 24 heures suivant la detection, une notification initiale dans les 4 heures suivant la classification, un rapport intermediaire dans les 72 heures et un rapport final dans un delai d'un mois.
Q : Quels prestataires TIC ont ete designes comme critiques dans le cadre de DORA ?
R : Le 18 novembre 2025, les AES ont publie la premiere liste de 19 prestataires TIC tiers critiques. La liste comprend AWS, Google Cloud, Microsoft, IBM, SAP, Oracle, Accenture, Bloomberg et d'autres. Ces prestataires sont soumis a la surveillance directe du Forum conjoint de surveillance.
Toutes les statistiques de cette page proviennent d'autorites de surveillance europeennes officielles, d'organismes de reglementation et de rapports sectoriels verifies. Les sources principales incluent les Autorites europeennes de surveillance (EBA, ESMA, EIOPA), ENISA, ECB Banking Supervision, le Rapport sur la stabilite financiere mondiale du FMI, McKinsey, Deloitte, CSSF Luxembourg, IDC, DLA Piper et le texte du reglement DORA. Cette page est mise a jour regulierement a mesure que de nouvelles donnees d'application deviennent disponibles.
Derniere mise a jour : mars 2026