DORA banque privée : le vrai test arrive avec les tests de résilience 2026

Le règlement (UE) 2022/2554, Digital Operational Resilience Act (DORA), est applicable depuis le 17 janvier 2025. Sa première année a été consacrée aux fondations : politique de gestion du risque ICT, registre des contrats avec prestataires tiers, schéma de classification des incidents. En 2026, DORA passe à ses obligations les plus exigeantes — et c'est là que les banques privées et établissements de crédit moyens découvrent l'écart entre la théorie et leur capacité opérationnelle.

Les Threat-Led Penetration Testing (TLPT)

Les TLPT sont le cœur du dispositif DORA en 2026. Ce sont des tests de pénétration menés par des prestataires certifiés, dans des conditions reproduisant des attaques réelles, avec scénarios sectoriels (financial crime, ransomware, supply chain attack). À la différence des audits techniques classiques, les TLPT sont menés sans notification préalable des équipes opérationnelles internes — seul un cercle restreint (red team coordinator, RSSI, executive) est informé.

Les autorités (ACPR pour la France) ont publié les listes des établissements concernés en mars 2026 : toutes les banques systémiques, les banques privées de plus de 30 Md€ d'actifs, les principales sociétés de gestion d'actifs, les acteurs majeurs des paiements. Pour ces entités, le premier TLPT doit être conduit avant fin 2027, avec un rapport remis à l'autorité dans les 6 mois suivant la conclusion.

Le registre des prestataires critiques (CROEs)

Toute banque sous DORA doit tenir un registre des prestataires de services ICT, avec une classification : critique / non-critique. Pour les prestataires critiques (cloud, datacenters, services d'infrastructure, certains éditeurs SaaS), le contrat doit contenir des clauses spécifiques DORA : droit d'audit, droits d'accès aux locaux, plan de sortie, obligations de coopération en cas d'incident. À minima.

Au niveau européen, l'ESMA, l'EBA et l'EIOPA tiennent un registre commun des CTPP (Critical Third-Party Providers). Les hyperscalers (AWS, Microsoft, Google) sont quasi-certainement classés CTPP. Pour les banques utilisatrices, cela signifie que ces prestataires seront eux-mêmes audités par les autorités européennes — mais cela ne dispense pas l'établissement utilisateur de sa propre due diligence et de son propre plan de sortie.

Trois angles morts qui plantent les banques moyennes

La traçabilité des incidents en sous-traitance

Quand un incident survient dans un service géré par un prestataire (ex: panne du moteur de scoring crédit hébergé chez un éditeur SaaS), la banque a 4 heures pour notifier l'ACPR de l'incident s'il a un impact significatif. Mais elle dépend du prestataire pour avoir l'information. Les contrats DORA-conformes prévoient une notification du prestataire en 30 minutes maximum — beaucoup de contrats antérieurs prévoient 24h. La rénégociation est lourde.

Le test sans notification interne

Les TLPT exigent que la red team agisse comme un attaquant réel, donc sans notification des équipes blue team (SOC, ITSec opérationnel). Cette pratique met sous tension les ressources humaines : les équipes peuvent percevoir le test comme une mise en cause de leur travail. Sans préparation RH et sans gouvernance claire (qui a autorisé le test, comment le retour s'organise), le TLPT peut être contre-productif.

L'inventaire des fonctions critiques

DORA demande l'identification des « fonctions critiques » de la banque (definitions ACPR : fonctions dont l'arrêt menace la viabilité financière, la stabilité, ou la continuité de services aux clients). Pour beaucoup de banques privées, cet inventaire reste partiel — il y a des consensus sur les évidences (paiements, gestion des comptes), mais des zones grises sur les fonctions de support (gestion documentaire, signature électronique, KYC). Sans inventaire complet, les TLPT sont mal calibrés.

Le scénario 2027-2028

Trois évolutions cadreront la suite. D'abord, l'oversight CTPP par les ESAs : les hyperscalers seront audités directement, et les banques utilisatrices verront leurs propres exigences évoluer en fonction des constats. Ensuite, la convergence DORA / NIS2 / IAR (incident reporting) : un cadre commun se dessine pour la notification d'incident, qui simplifiera les déclarations multiples mais demandera un système d'information capable de produire la donnée structurée. Enfin, l'extension probable du périmètre TLPT aux établissements moyens — les premiers TLPT 2026-2027 montreront ce qui marche, et les seuils descendront probablement.

Pour une banque privée, le vrai sujet 2026 n'est pas de cocher les cases DORA — c'est de transformer la résilience opérationnelle en discipline qui irrigue le SI. Les TLPT vont révéler quelles équipes savent vraiment réagir et quelles équipes apprennent en lisant les playbooks pendant l'incident.