En 2025, les établissements financiers européens ont enregistré un nombre significatif d’incidents majeurs liés à leurs systèmes d’information, s’élevant à 3.383. Ce chiffre, révélé dans un rapport inédit, souligne l’impact grandissant de la numérisation sur le secteur. Le règlement DORA (Digital Operational Resilience Act), entré en vigueur en janvier 2025, a rendu possible ce décompte en imposant un cadre strict de déclaration des incidents.
Ces incidents sont susceptibles d’avoir eu un impact négatif important sur les réseaux et systèmes d’information essentiels aux fonctions critiques des entités financières. Les activités de crédit et de paiement ont été particulièrement affectées. Les superviseurs nuancent toutefois ce constat : ce nombre élevé ne reflète pas nécessairement des faiblesses structurelles, mais plutôt la complexité croissante des outils numériques et l’interconnexion du secteur, rendant les incidents inévitables.
La majorité de ces incidents sont attribuables à des dysfonctionnements, mais des facteurs externes tels que des pannes de courant, des erreurs humaines ou des cyberattaques ont également été identifiés comme causes. Le rapport souligne la capacité des établissements à gérer et maîtriser rapidement ces incidents, une réponse directe à l’augmentation des cyberattaques ciblant le secteur financier. Le règlement DORA vise à élever le niveau d’exigence en matière de cybersécurité par des standards communs et des tests de résistance.
L’analyse, menée par l’Autorité bancaire européenne (ABE), l’Eiopa et l’Esma, révèle qu’environ un tiers des incidents majeurs ont eu des répercussions transfrontalières, illustrant l’interdépendance des systèmes financiers européens. Une proportion similaire d’incidents est due à des défaillances de prestataires de services. Les superviseurs insistent sur l’importance pour les entités financières d’adopter les normes les plus élevées en matière de cybersécurité, notamment face à l’émergence d’outils basés sur l’intelligence artificielle.
