DORA : les superviseurs européens publient leur premier bilan des incidents ICT majeurs

3/6/26
👈 les autres actualités

Pour la première fois depuis l'entrée en application du règlement DORA, les trois autorités européennes de supervision financière dressent l'inventaire des incidents ICT majeurs du secteur. Le verdict : 3 383 incidents déclarés en un an, dont près d'un tiers à impact transfrontalier. La cybersécurité n'en représente encore qu'une minorité — mais c'est elle qui concentre les inquiétudes pour demain.

Ce qui s'est passé

Le 3 juin 2026, l'EBA, l'EIOPA et l'ESMA — réunies au sein de leur Joint Committee — ont publié leur tout premier rapport annuel consolidé sur les incidents ICT majeurs survenus dans le secteur financier de l'Union. Ce bilan s'appuie sur le mécanisme de notification instauré par l'article 22(2) du Digital Operational Resilience Act (DORA), pleinement opérationnel depuis 2025.

Les chiffres posent un décor clair. Sur la période, 3 383 incidents majeurs ont été signalés par les entités financières assujetties, soit une moyenne de 0,18 incident par entité. Environ un tiers de ces incidents ont eu un impact transfrontalier, ce qui illustre l'interconnexion croissante du secteur via des infrastructures et des services partagés. Bon point : l'impact direct sur les clients et les transactions est resté globalement limité.

Les défaillances systèmes et les événements externes sont les principaux déclencheurs — pas les cyberattaques. Seuls 10 % des incidents déclarés relevaient de la cybersécurité. Les superviseurs avertissent toutefois que l'essor d'outils dopés à l'intelligence artificielle doit pousser les acteurs financiers à relever leur niveau de protection pour préserver leur résilience.

Pourquoi c'est important pour la conformité

DORA ne vit pas en silo. Il s'articule avec l'obligation de sécurité du traitement posée par l'article 32 du RGPD et avec la directive NIS 2. Un incident ICT majeur déclaré sous DORA peut très bien constituer, en parallèle, une violation de données personnelles déclenchant les obligations de notification à l'autorité de contrôle sous 72 heures (articles 33 et 34 du RGPD). Pour un DPO, le rapport confirme que ces régimes doivent être pensés ensemble, pas en parallèle.

Le constat le plus parlant tient à la cause des incidents : défaillances systèmes et événements externes en tête, souvent via des services externalisés. C'est exactement le terrain de la gestion du risque tiers. La leçon rejoint celle du scénario type de violation chez un sous-traitant publié par la CNIL : la chaîne d'approvisionnement est devenue le maillon critique de la conformité. Ce premier bilan prolonge également la trajectoire amorcée par le rapport annuel 2025 du Joint Committee, qui faisait déjà de la cyber-résilience via DORA une priorité de supervision.

Ce que ça change pour les organisations

Même hors du périmètre strict de DORA, les enseignements sont transposables à toute organisation soucieuse de sa résilience opérationnelle. Concrètement, quatre chantiers s'imposent.

D'abord, cartographier les prestataires ICT critiques et auditer la solidité des contrats de sous-traitance (article 28 du RGPD), puisque les défaillances externes dominent les causes d'incident. Ensuite, unifier le référentiel de conformité en alignant article 32 RGPD, NIS 2 et DORA plutôt que d'empiler des dispositifs cloisonnés. Troisièmement, préparer une chaîne d'incident coordonnée avec les fournisseurs : qui notifie quoi, à quelle autorité, dans quel délai — la dimension transfrontalière d'un tiers des incidents impose une coordination multi-juridictions. Enfin, intégrer le facteur IA dans l'analyse de risque, comme y invitent explicitement les superviseurs.

Ce que Leto pense de cette décision

Ce premier rapport DORA est une bonne nouvelle déguisée en alerte. La part de la cybersécurité (10 %) rappelle une vérité que les DPO connaissent : la majorité des incidents ne viennent pas de hackers, mais de pannes et de défaillances en cascade chez des tiers. Le vrai sujet de gouvernance n'est donc pas seulement « se protéger des attaques », mais « maîtriser sa dépendance ». Les organisations qui traitent encore DORA, NIS 2 et RGPD comme trois projets distincts perdent du temps et de l'argent. Le signal des superviseurs est limpide : un seul référentiel de résilience, une seule chaîne d'incident, une seule cartographie des tiers.

Sources : ESMA — ESAs publish the first report on DORA major ICT-related incidents

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026