EBA dry runs 2026 : ce que les tests bancaires de crise changent pour la résilience des entreprises
Le 13 avril 2026, l'Autorité bancaire européenne (EBA) a publié un rapport inédit comparant la façon dont les banques testent leurs plans de redressement via des « dry runs ». Derrière une analyse a priori sectorielle se cache un message qui dépasse largement les salles de marché : la résilience opérationnelle n'est plus un exercice de conformité, c'est un test grandeur nature du fonctionnement réel des organisations.
Ce qui s'est passé
Dans son rapport, l'EBA restitue les enseignements d'une analyse comparative des pratiques de « dry runs » menée auprès des banques de l'Union européenne. Ces exercices, qui simulent des scénarios de crise en activant tout ou partie des plans de redressement (recovery plans), sont devenus un pilier de la supervision prudentielle. L'EBA y voit désormais un outil « effectif pour renforcer l'opérationnalisation des plans de redressement et améliorer la préparation aux situations de stress ».
Le diagnostic est nuancé. La majorité des établissements reconnaissent la valeur des dry runs et intègrent les enseignements dans leurs dispositifs de gestion de crise. Mais la maturité varie fortement : là où certaines banques traitent ces tests comme de véritables outils de management — pleinement intégrés à leur cadre de gestion des risques —, d'autres les abordent encore comme des exercices de compliance à faible valeur ajoutée, menés uniquement pour satisfaire le régulateur.
Le rapport souligne que les tests les plus efficaces sont ceux qui simulent des conditions crédibles, impliquent les instances dirigeantes et produisent des plans d'action concrets. À l'inverse, un dry run « check the box » n'apporte qu'une assurance illusoire face à une crise réelle. L'EBA place d'ailleurs l'utilisabilité et les tests des plans de redressement parmi les priorités 2026 de la convergence prudentielle.
Pourquoi c'est important — au-delà du secteur bancaire
Il serait tentant de classer cette publication au rayon « banque ». Ce serait une erreur. Le rapport EBA s'inscrit dans une dynamique européenne plus large de renforcement de la résilience opérationnelle : la même qui anime DORA pour les prestataires TIC des institutions financières, la directive NIS 2 pour les entreprises essentielles et importantes, et les exigences de sécurité posées par l'article 32 du RGPD sur la sécurité du traitement.
Pour un DPO ou un RSSI, ce que l'EBA formalise pour les banques vaut matrice opérationnelle pour toute organisation soumise à des obligations de continuité d'activité ou de sécurité renforcée. Trois principes se dégagent :
- Un plan de crise non testé n'est pas un plan, c'est un document.
- La différence entre un exercice de conformité et un outil de pilotage se mesure dans la qualité des scénarios et la remontée au comex.
- La capacité à répondre à une crise se cultive, elle ne se décrète pas.
Ce que ça change pour les organisations
Vos plans de continuité et de reprise d'activité sont-ils testés ? L'article 32 du RGPD impose « une procédure visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles ». Un audit documentaire ne suffit pas. Un plan d'assurance sécurité doit s'accompagner de tests actifs, en conditions dégradées.
Vos exercices de gestion de crise impliquent-ils la direction générale ? Les dry runs bancaires les plus utiles mobilisent le conseil d'administration, pas seulement les équipes opérationnelles. La même logique doit s'appliquer à la simulation d'une violation de données personnelles ou d'une cyberattaque : si le DG découvre la procédure le jour J, le plan n'a pas été testé.
Documentez les enseignements. Chaque test doit produire un rapport, des actions correctives et une nouvelle itération. C'est ce qui distingue un exercice réel d'un théâtre réglementaire. La démarche rejoint ce que Leto recommande dans son guide pour optimiser la sécurité des données : la conformité se démontre, elle ne se déclare pas.
Synchronisez vos cadres. L'EBA souligne l'intérêt d'une meilleure intégration entre recovery et resolution. Pour une entreprise non bancaire, cela signifie aligner PCA/PRA, plan de gestion de crise cyber, procédures RGPD de notification de violation et obligations NIS 2 ou DORA le cas échéant. Trop d'organisations maintiennent encore ces dispositifs en silos, chacun dans sa direction — DSI, juridique, conformité, sécurité — et découvrent au moment de la crise que les interfaces n'ont jamais été éprouvées.
Ce que Leto pense de cette décision
Ce rapport ne crée pas de nouvelles obligations, mais il pose un standard d'excellence qui va diffuser au-delà du secteur bancaire. Les régulateurs et les juges scrutent désormais la qualité réelle des tests, pas leur simple existence. Pour les DPO et RSSI, le message est clair : si vos exercices ressemblent à un quiz annuel obligatoire, vous êtes exposés. Si vos plans de continuité sont des classeurs qui dorment depuis la dernière certification ISO 27001, vous êtes exposés. L'état de l'art de 2026 exige des tests crédibles, documentés, itératifs — et portés au niveau de la gouvernance.
Sources :
