The bridge between TRADFI & DEFI
Traditional Finance & Decentralized Finance
Bitcoin 54,366.00 € -0.74%
Ethereum 1,572.90 € -0.29%
Tether 0.85 € 0.15%
Ripple 1.15 € -0.18%
Binancecoin 496.71 € -1.63%
Binance-usd 0.85 € 0.23%
Powered by
Section Icon

Opinion | Claude Calmon, Calmon Partners Executive Search “DORA est en vigueur. Les services financiers, eux, sont-ils vraiment prêts ?”

24/02/2026

Le Digital Operational Resilience Act s’applique depuis le 17 janvier 2025. Banques, assureurs, sociétés de gestion, prestataires de services sur cryptoactifs : personne n’échappe à l’exigence. Pourtant, dans les coulisses du secteur, le tableau est moins reluisant qu’il n’y parait. Et l’intelligence artificielle, dont on a tant parlé lors de mon passage sur BFM cette semaine, va venir bousculer cette mise en conformité bien plus tôt que prévu.

Par Claude Calmon, Fondateur de Calmon Partners Executive Search.

 

Claude Calmon, Fondateur de Calmon Partners Executive Search.

 

Ce que DORA change vraiment

On a beaucoup résumé DORA a une directive de plus sur la cybersécurité. C’est réducteur, et c’est là que réside le premier danger. DORA n’est pas une mise à jour de la politique de sécurité informatique : c’est une refonte de la manière dont les institutions financières pensent leur dépendance au numérique, dans sa globalité.

Le texte impose cinq piliers : la gestion du risque TIC, le signalement des incidents, les tests de résilience opérationnelle, la gestion des risques lies aux tiers – dont les fournisseurs cloud – et le partage d’information entre acteurs. Ce dernier point est souvent le plus néglige, alors qu’il représente potentiellement la transformation la plus profonde : il suppose que des concurrents acceptent de se parler de leurs vulnérabilités. Dans un secteur ou la confidentialité est une religion, c’est un changement culturel autant que règlementaire.

La nouveauté majeure reste la responsabilisation des prestataires critiques. Pour la première fois, un fournisseur technologique – AWS, Microsoft Azure, un éditeur de progiciel – peut être soumis à une surveillance directe des régulateurs européens s’il est juge critique pour le système financier. Cette extraterritorialité de fait était inimaginable il y a encore cinq ans.

L’état réel de la préparation : entre conformité de façade et retards structurels

Les grandes banques systémiques ont, pour la plupart, coche les cases. Elles avaient les moyens et les équipes pour anticiper. Mais si l’on s’éloigne du CAC 40 financier pour regarder les sociétés de gestion de taille intermédiaire, les fintechs agréées, les PSCA – prestataires de services sur cryptoactifs désormais dans le périmètre – le tableau est diffèrent.

Trois problèmes structurels reviennent systématiquement dans les conversations que j’ai avec les dirigeants du secteur. Premier problème : la cartographie des actifs TIC et des dépendances tierces est sous-estimée. Beaucoup d’établissements découvrent, en faisant l’exercice DORA, qu’ils ignoraient réellement combien de sous-traitants critiques ils avaient. Deuxième problème : les tests de pénétration avancent – les TLPT – sont couteux, longs à organiser, et rares sont les prestataires qualifies en nombre

suffisant. Troisième problème : la gouvernance. DORA impose que le conseil d’administration soit directement impliqué dans la résilience opérationnelle numérique. Dans combien d’établissements le bord discute-t-il vraiment de ce sujet à chaque séance ?

IA et DORA : une équation encore non résolue

C’est le sujet que j’évoquais sur BFM cette semaine, et il mérite qu’on s’y attarde. L’intelligence artificielle s’invite dans les services financiers à une vitesse que le cadre DORA n’avait pas totalement anticipés. Les modelés de détection de fraude, les outils d’analyse de risque en temps réel, les assistants de conformité automatises : ces briques IA sont désormais au cœur de l’opérationnel bancaire.

Or DORA crée une contrainte nouvelle pour ces systèmes : ils doivent être testables, explicables, et leur défaillance doit pouvoir être documentée et signalée. Quand un modelé IA produit une décision erronée qui entraine une perturbation opérationnelle, s’agit-il d’un incident TIC au sens de DORA ? La réponse réglementaire n’est pas encore tranchée. Mais les régulateurs y réfléchissent activement, et l’AI Acta européen va venir se superposer à DORA pour les systèmes IA à haut risque utilises dans la finance.

Sur le recrutement – autre fil rouge de mon intervention BFM – l’effet est déjà visible. Les profils hybrides, capables de parler à la fois de résilience opérationnelle, de gouvernance des données et d’architecture IA, sont devenus introuvables. Les directions des risques et de la conformité recrutent à des niveaux de salaire qu’elles ne pratiquaient pas il y a trois ans. La pénurie de compétences n’est pas une projection, c’est une réalité que vivent les DRH financiers aujourd’hui.

Le pont Tradfin/DeFi : DORA comme catalyseur inattendu

Voilà l’angle que l’on n’évoque jamais assez. DORA intègre dans son périmètre les PSCA – les prestataires crypto agrées MiCA. Pour la première fois, des acteurs nativement décentralises se retrouvent soumis aux mêmes exigences de résilience opérationnelle que JPMorgan ou BNP Paribas. C’est une révolution silencieuse.

Pour les acteurs DeFi qui cherchent à se rapprocher des institutionnels, DORA n’est pas un obstacle : c’est une opportunité de crédibilité. Démontrer une conformité DORA, c’est parler le langage des Risk managers bancaires, c’est ouvrir des portes qui restaient fermées faute de référentiel commun. Inversement, les banques qui examinent des partenariats avec des protocoles décentralises disposent maintenant d’un cadre pour évaluer la solidité opérationnelle de ces nouveaux partenaires.

Le pont entre finance traditionnelle et finance décentralisée se construit aussi dans les salles de conformité, pas seulement dans les labos d’innovation. C’est peut-être le message le moins glamour, mais c’est celui qui durera.

Ce que j’observe, en conclusion

DORA est en vigueur, mais la mise en conformité est un marathon, pas un sprint. Les régulateurs européens – BCE, EIOPA, ESMA – l’ont compris et leurs premières inspections seront davantage pédagogiques que sanctionnatrices. Mais cette fenêtre

de tolérance se fermera. Les établissements qui n’ont pas encore finalise leur registre des tiers, leur procédure de notification d’incident ou leur stratégie de test de résilience ont un horizon de quelques mois, pas de quelques années.

Et pendant ce temps, l’IA continue de s’implanter dans les processus financiers. La question n’est plus de savoir si elle va transformer le secteur – c’est fait. La question est de savoir si les cadres règlementaires comme DORA sauront évoluer assez vite pour encadrer des systèmes dont la complexité dépasse déjà celle des architectures IT traditionnelles.

En savoir plus sur Finyear

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture