Sur 3 383 incidents recensés en 2025, la cybersécurité n’en représente que 10 %
Premier rapport sur DORA. Les établissements financiers européens ont recensé l’an dernier 3 383 incidents majeurs liés à leurs systèmes d’information. Peu d’incidents de cybersécurité. En revanche, il faudra renforcer la gestion du risque lié aux tiers, surveiller en particulier les services externalisés.
3 383. Tel est le nombre d’incidents majeurs liés aux systèmes d’information recensés l’an dernier par les établissements financiers européens, selon un rapport inédit publié par les autorités européennes de surveillance ABE, EIOPA et ESMA sur l’impact de DORA (Digital Operational Resilience Act).
Le rapport -le premier du genre- révèle que les risques liés à l’IT sont de plus en plus transfrontaliers et interconnectés. Les autorités soulignent également que le développement récent d’outils d’IA très performants devrait inciter les établissements financiers à renforcer leurs mesures de cybersécurité afin de préserver leur résilience.
Le nombre de 3 383 incidents majeurs équivaut à 0,18 incident par entité assujettie, soit une moyenne de 282 par mois. Les autorités préviennent que ce volume ne traduit pas une faiblesse structurelle. La numérisation, la complexité et l’interconnexion croissantes du secteur rendent les incidents opérationnels en partie inévitables, et la résilience se mesure à la capacité de détection et de confinement, pas au décompte brut.
Les défaillances de systèmes et les événements externes ont été les principaux facteurs, mettant en évidence la nécessité d’une gestion robuste des risques liés aux tiers, d’une supervision efficace des services externalisés et d’une coordination étroite avec les prestataires de services lors de la réponse et de la résolution des incidents.
Moins de 10 % des incidents sont liés à la cybersécurité
Dans la grande majorité des cas, l’impact sur les clients est absent ou mineur. Près de 60 % des incidents touchent moins de mille clients ; deux tiers n’ont entraîné aucune perturbation des transactions ou une perturbation limitée. Un incident sur cent seulement a touché plus d’un million de transactions. Et moins de 18 % ont affecté d’autres contreparties financières. La détection rapide et les mesures de confinement ont généralement réussi à contenir le préjudice opérationnel et les effets de propagation, y compris dans un environnement marqué par de fortes interdépendances.
Seulement 10 % des incidents signalés sont liés à la cybersécurité. Les défaillances système en représentent 51 %, les événements externes 27 % et les incidents liés aux paiements 18 %. À la racine, la moitié des incidents proviennent d’une défaillance ou d’un dysfonctionnement de système, devant les événements externes et les défaillances de processus. Les autorités interprètent la faible fréquence cyber comme le signe que les dispositifs de protection et de détection en place limitent efficacement l’occurrence de ces incidents.
Les tiers dans le collimateur
Près d’un tiers des incidents majeurs trouvent leur origine dans une défaillance attribuable à un tiers, qu’il s’agisse d’un prestataire de services informatiques, d’une autre entité financière ou d’un fournisseur d’infrastructure.
Le rapport en fait un point d’attention prudentiel central et souligne la nécessité de renforcer la gestion du risque lié aux tiers, la surveillance des services externalisés et la coordination avec les prestataires pendant la réponse et la remédiation. La dépendance aux prestataires, même non désignés comme critiques, constitue une zone de vigilance.
Cette concentration du risque sur les tiers explique aussi son caractère systémique. Un tiers des 3 383 incidents ont eu un impact transfrontalier, et près de 8 % ont touché plus de dix pays.
Pour un directeur des systèmes d’information ou un directeur financier du secteur, la priorité d’investissement se déplace de la seule défense contre l’attaque vers la robustesse des systèmes, la gouvernance du changement et la maîtrise contractuelle des prestataires. Le rapport recommande explicitement une surveillance renforcée des services externalisés et une coordination étroite avec les fournisseurs lors de la réponse aux incidents, ce qui suppose des accords de niveau de service revus et une cartographie à jour des dépendances.
