Retour au sommaire

DORA : impacts sur le rôle des Contrôleurs de Gestion | Secteurs Banque & Assurance

PUBLIÉ le 25 septembre 2025

EN BREF :

Le Digital Operational Resilience Act (DORA), entré en vigueur en janvier 2023 et applicable à partir de janvier 2025, impose un cadre de résilience opérationnelle numérique pour les entités financières, y compris les banques et les assureurs face aux cybermenaces, incidents IT et dépendance aux prestataires tiers.

Le pilotage de cette nouvelle réglementation impacte un large périmètre organisationnel au sein des banques et assurance.

Cet article a pour objectif de se focaliser sur les impacts de cette réglementation sur le rôle du Contrôle de Gestion dans les secteurs bancaire et assurantiel.

INTRODUCTION

Le Digital Operational Resilience Act (DORA), entré en vigueur en janvier 2023 et applicable à partir de janvier 2025, impose un cadre de résilience opérationnelle numérique pour les entités financières, y compris les banques et les assureurs face aux cybermenaces, incidents IT et dépendance aux prestataires tiers.
Il impacte, notamment, directement le Contrôle de Gestion.

Les piliers encadrant cette règlementation sont les suivants :

  • Gouvernance et gestion des risque liés aux TIC
  • Signalement des incidents majeurs
  • Tests de résilience numérique
  • Gestion des prestations tiers
  • Reporting régulier à l’autorité compétente

 

Le pilotage de ces différents piliers impacte un large périmètre organisationnel au sein des banques et assurances, car il touche les thématiques suivantes :

  • Systèmes IT
  • Gestion des risques
  • Conformité
  • Gouvernance financière

 

Nous vous proposons, ci-après, une organisation cible des fonctions impactées avec leurs rôles face à DORA :

IMPACTS DIRECTS SUR LE CONTRÔLE DE GESTION : DU SUIVI FINANCIER CLASSIQUE VERS LE PILOTAGE DES COÛTS REGLEMENTAIRES ET IT

Gestion des Coûts de Conformité et d’Investissement

La mise en conformité avec DORA génère des coûts importants. Le contrôle de gestion en collaboration avec les lignes opérationnelles précitées dans l’introduction sera chargé de :

  • Suivre et analyser les dépenses liées à la mise en œuvre de la réglementation (investissements dans de nouveaux systèmes, tests de résilience, formation du personnel, etc.)
  • Évaluer le retour sur investissement des projets de résilience numérique, en quantifiant les bénéfices potentiels (réduction des risques, amélioration de la continuité d’activité) face aux coûts engagés

 

Intégration dans le contrôle budgétaire

Plusieurs informations devront désormais être intégrées dans le processus de contrôle budgétaire suite à la mise en conformité à DORA, à savoir :

  • La création d’un axe budgétaire « Résilience Numérique » dans les budgets prévisionnels.
  • La mise en place d’indicateurs clés (KPI) liés au risque IT en lien avec les différents services chargés de piloter la mise en conformité à DORA :
    • Ratio budget IT / budget global : Il s’agit d’un KPI qui permettra de mesurer le poids du budget IT dans le budget global de la structure concernée par la mise en conformité.
    • Coût des incidents rapporté au PNB (Produit Net Bancaire) : Il s’agit d’un KPI qui permettra de savoir quelle part de la performance opérationnelle d’une banque est affectée aux coûts des incidents.
    • Taux de conformité DORA vs budget alloué : Il s’agit d’un KPI qui permettra de mesurer la performance des ressources financières allouées à la mise en conformité à DORA.
    • Capex / Opex DORA vs prévisions : Il s’agit d’un KPI qui permettra de suivre la ventilation et l’orientation des ressources financières allouées à la mise en conformité à DORA.

La question du surcoût budgétaire en % des Capex / Opex se pose à ce stade mais il n’existe pas encore de données publiques fiables et généralisées qui donnent un chiffre unique et clair du surcoût (% des Capex ou Opex) induit par la mise en place de DORA pour toutes les banques ou assurances.

Le coût dépendra naturellement de la taille de l’institution, du niveau de maturité antérieur en matière de résilience opérationnelle et cybersécurité, de l’écosystème technologique, etc.

Toutefois, en tirant des estimations raisonnables à partir de diverses études et rapports publiés sur la thématique, nous arrivons à la proposition des ordres de grandeur synthétisés dans le tableau ci-après :

Gestion des risques et scénarios financiers

Les contrôleurs de gestion peuvent contribuer selon l’organisation mise en place pour piloter la mise en conformité à DORA :

  • À l’évaluation du coût potentiel d’une interruption majeure,
  • Au chiffrage des pertes évitées grâce aux investissements,
  • À l’intégration des scénarios décris ci-dessous dans le RAF (Risk Appetite Framework) en procédant à une quantification financière de ceux-ci pour définir les seuils de tolérance au risque. DORA ne donne pas une liste exhaustive de scénarios à mettre en place mais impose que des tests basés sur les menaces (TLTP) et des exercices de continuité soient réalisés.

A titre d’exemples, nous pouvons noter :

  • Une attaque par ransomware paralysant le SI bancaire pendant 72h
  • Une panne majeure chez un fournisseur cloud utilisé pour les systèmes bancaires
  • La corruption d’une base de données client suite à un bug dans une mise à jour logicielle
  • Des attaques coordonnées sur les systèmes de trading + core banking
  • Une cyberattaque sponsorisée par un Etat visant les infrastructures financières

 

Interaction avec les services IT, Conformité et Achats

Les collaborations seront de plus en plus renforcées, avec notamment :

  • L’IT pour estimer les besoins techniques et les coûts de résilience,
  • La conformité pour assurer le suivi réglementaire,
  • Les achats pour contrôler les prestataires tiers critiques (exigence DORA).

Les contrôleurs de gestion contribueront à l’analyse des coûts externalisés (cloud, SaaS, cybersécurité) ainsi qu’à la vérification de leur alignement avec les clauses contractuelles liées à DORA.

 

Nouveaux outils et compétences pour le Contrôle de Gestion

La mise en conformité à DORA exige aux acteurs concernés, en l’occurrence les contrôleurs de gestion dans notre cas, de développer d’autres compétences et de se familiariser par ailleurs à de nouveaux outils.

Les compétences nécessaires sont :

  • Compréhension des exigences DORA
  • Maîtrise des coûts IT et cyberrisque
  • Analyse du ROI des investissements en résilience numérique

Et ci-dessous, les nouveaux outils :

  • Tableaux de bord intégrant IT Risk + Finance
  • Solutions BI avec indicateurs réglementaires
  • Modèles de simulation budgétaire avec scénarios DORA

 

CONSEQUENCES STRATEGIQUES POUR LE CONTRÔLE DE GESTION

Nous notons plusieurs conséquences stratégiques :

  • Renforcement du rôle du contrôle de gestion dans la gouvernance des risques
  • Possible création de pôles spécialisés “contrôle de gestion IT & conformité” dans les grandes banques / assurances
  • Le contrôleur de gestion devient un acteur transversal entre Finance, IT et Risk Management
  • Le contrôleur de gestion passe d’un rôle purement financier à un rôle d’analyste de la performance réglementaire et technologique, garantissant que les investissements en résilience numérique sont maîtrisés et justifiés

 

EXEMPLE DE TABLEAU DE BORD DORA POUR CONTRÔLEUR DE GESTION

 

CAPACITES D’ACCOMPAGNEMENT SUR LA CONFORMITE DORA ET LE CONTRÔLE DE GESTION

VNCA vous propose une expertise en matière de conformité DORA et de Contrôle de Gestion

Nous réalisons un diagnostic précis des pratiques actuelles de nos clients, identifions les écarts par rapport aux mesures du règlement DORA, élaborons des roadmaps de transformation, et enfin, aidons à la mise en place des actions correctrices.

Notre accompagnement couvre l’ensemble des aspects, de la définition de nouvelles métriques à l’aide de la mise en place d’outils et de processus.

Nous avons des profils en contrôle de gestion sensibilisés au sujet qui pourraient vous apporter une solution sur mesure dans le cadre d’intégration de cette problématique dans un processus budgétaire.