DORA : ce que révèle le premier rapport européen sur les incidents informatiques majeurs

En juin 2026, les trois Autorités Européennes de Surveillance, l'EBA, l'ESMA et l'EIOPA, ont publié, via leur Comité mixte, leur tout premier rapport annuel sur les incidents majeurs liés aux TIC. Prévu par l'article 22 du règlement DORA (Digital Operational Resilience Act), il offre pour la première fois une vue consolidée et harmonisée à l'échelle de l'Union européenne.

Pour les entités financières, ce document est bien plus qu'un exercice statistique : il esquisse les premières grandes tendances du risque opérationnel numérique du secteur, et préfigure les priorités de supervision des prochaines années. Décryptage des enseignements clés.

DORA, en bref

Entré en application le 17 janvier 2025, DORA impose à l'ensemble du secteur financier européen un cadre unique de résilience opérationnelle numérique. L'un de ses piliers est l'obligation de notification des incidents majeurs : tout incident ayant un impact élevé sur les systèmes supportant des fonctions critiques ou importantes doit être signalé selon un calendrier précis.

• Notification initiale dans les 4 heures suivant la classification de l'incident comme majeur (et au plus tard 24 heures après sa détection) ;
• Rapport intermédiaire dans les 72 heures ;
• Rapport final dans le mois suivant le dernier rapport intermédiaire, une fois l'analyse des causes racines terminée.

C'est sur la base de ces déclarations, transmises par les autorités nationales aux AES, que le rapport a été construit en se limitant aux incidents de 2025 pour lesquels un rapport final avait été reçu au 5 février 2026.

3 383 incidents majeurs : un premier état des lieux

Un message important traverse le rapport : le nombre brut d'incidents n'est pas, en soi, un indicateur de risque. La digitalisation croissante, la complexité et l'interconnexion du secteur rendent une certaine fréquence d'incidents inévitable. Ce qui démontre la résilience du secteur, c'est sa capacité à détecter, gérer et contenir rapidement les incidents.

Quelques pics ressortent dans la répartition mensuelle, liés à des événements transfrontaliers : la panne du système TARGET2 en février, le blackout de la péninsule ibérique en avril, et deux événements distincts en mai 2025.

Une concentration sur le crédit et les paiements

Plus de 75 % des incidents majeurs se concentrent dans deux secteurs : plus de 60 % dans le crédit (établissements bancaires) et 16 % dans les paiements (établissements de paiement, de monnaie électronique, prestataires de services d'information sur les comptes).

Cette concentration ne traduit pas une fragilité propre à ces secteurs, mais plutôt une combinaison de facteurs structurels :

• Culture de déclaration préexistante : crédit et paiements étaient déjà soumis à des obligations de notification depuis 2018 au titre de la directive DSP2.
• Effet multiplicateur : de nombreuses petites entités d'un même groupe s'appuient sur des infrastructures et des prestataires tiers partagés. Une seule défaillance peut générer des dizaines d'incidents liés.
• Forte intensité numérique : banque en ligne, applications mobiles, traitement des paiements et des cartes sont utilisés à très grande échelle chaque jour.

Des risques de plus en plus transfrontaliers

Un tiers des incidents majeurs (1 056 cas) ont eu un impact au-delà du pays de déclaration. La majorité ne concernent qu'un ou deux États membres, mais dans environ 8 % des incidents majeurs, plus de 10 pays ont été touchés simultanément — plus des deux tiers liés à des défaillances de systèmes ou de processus.

Ce phénomène illustre l'hyper-interconnexion du secteur : à mesure que les entités s'appuient sur des infrastructures, des services et des prestataires TIC communs, une défaillance peut se propager rapidement à travers plusieurs secteurs et juridictions. Le risque opérationnel devient, de fait, un risque européen.

Pannes systèmes et dépendance aux tiers : les vrais moteurs

Lorsqu'on examine les causes racines, deux grands moteurs se dégagent :

• Défaillances et dysfonctionnements de systèmes : ~50 % des incidents majeurs. La complexité croissante des infrastructures logicielles reste le premier vecteur de risque.
• Événements externes ~32 %, défaillances de processus ~19 %, erreur humaine ~12 % (principalement dans le crédit).
• Près de 30 % des incidents majeurs (29 %) trouvent leur origine chez un prestataire de services TIC tiers — confirmant que la gestion du risque tiers est un point de vigilance majeur, en cohérence avec DORA.

Cybersécurité : une menace contenue, mais à ne pas relâcher

Contre-intuitivement, les incidents de cybersécurité ne représentent que 10 % du total. Le rapport y voit le signe que les dispositifs de protection et de détection en place ont globalement été efficaces.

Deux types d'attaques dominent : les attaques par déni de service distribué (DDoS) à 33 % et l'exfiltration ou manipulation de données (31 %), y compris le vol d'identité — plus fréquentes dans le crédit. Les attaques par rançongiciel ciblent particulièrement l'assurance, qui détient d'importants volumes de données de santé et financières.

Cette accalmie relative ne doit pas conduire à baisser la garde. Le rapport insiste sur la nécessité de maintenir les plus hauts standards de cybersécurité, notamment face à la montée en puissance d'outils offensifs dopés à l'intelligence artificielle.

Un impact maîtrisé sur les clients et les transactions

• Près de 60 % des incidents n'ont eu aucun impact sur les clients, ou en ont affecté moins de 1 000.
• Environ deux tiers n'ont affecté aucune transaction ou moins de 1 000 transactions. Seuls 30 incidents (~1 %) ont touché plus d'un million de transactions, principalement dans le crédit et les paiements.
• Moins de 18 % des incidents ont eu un impact sur d'autres contreparties financières.

Ce résultat s'explique par deux facteurs : une détection rapide des incidents couplée à une mise en œuvre prompte des mesures correctives, et l'efficacité des dispositifs de protection pour contenir les effets de propagation.

Un impact financier limité mais des données encore immatures

Environ 40 % des incidents n'ont déclaré aucun coût direct ou indirect, et 10 % un coût négligeable (moins de 1 000 €). Environ 15 % des déclarations n'ont pas renseigné ce champ.

Les données sur les recouvrements financiers sont encore plus fragiles : environ deux tiers des entités déclarent une absence de recouvrement, et le tiers restant a fourni des données non réconciliables. Au final, seuls environ 3 % des incidents font état d'un montant de recouvrement positif.

Ces résultats traduisent probablement un manque de maturité dans l'estimation des impacts financiers des incidents TIC, plutôt qu'une réalité économique.

Deux événements emblématiques de 2025

Ce que préparent les autorités européennes

1. Un nouvel outil d'échange entre autorités nationales et européennes, déployé en 2026, doté de contrôles de validation automatisés pour fiabiliser la qualité des données.
2. Analyse croisée avec le Registre d'information DORA afin d'identifier les incidents provenant des prestataires tiers critiques et mieux superviser le risque de concentration.
3. Un contrôle renforcé des incidents ouverts ou en retard, les AES accompagnant les autorités nationales dans l'identification des cas en souffrance.

Le message est limpide : après une première année de montée en charge, la supervision va gagner en précision et en exigence.

Que retenir pour votre organisation ?

• Structurer le dispositif de notification d'incidents pour respecter les délais (4 h / 72 h / 1 mois) et produire des déclarations de qualité, y compris sur les volets coûts et recouvrements.
• Renforcer la gestion du risque lié aux tiers, premier facteur transversal d'incidents, en cartographiant les dépendances et en encadrant contractuellement les prestataires critiques.
• Consolider la gouvernance, les tests de résilience et la gestion du changement, pour réduire la part majoritaire d'incidents liés aux défaillances de systèmes et de processus.

Sources

• ESAs — 2025 Report on major ICT-related incidents (PDF)