Skip to main content
ResiPlan
Case Study

Banque régionale : mise en conformité DORA en 4 mois

Comment une banque régionale de 1500 collaborateurs a atteint 87 % de conformité DORA en 4 mois grâce à ResiPlan, avec un budget maîtrisé de 3,2 M€.

4 min
Banque régionale : mise en conformité DORA en 4 mois
DORA
banque
finance
ICT
cas client

Confrontée à l'entrée en vigueur de DORA et à la perspective d'une mission de contrôle ACPR en 2026, une banque régionale française a lancé un programme de mise en conformité accéléré. En quatre mois, l'établissement a porté son taux de conformité de 41 % à 87 %, en s'appuyant sur ResiPlan pour orchestrer les cinq piliers du règlement.

Contexte

L'établissement est une banque régionale mutualiste opérant dans le quart sud-ouest de la France :

  • 1 500 collaborateurs
  • 320 000 clients particuliers et professionnels
  • 98 agences et 3 centres d'exploitation
  • Système d'information hybride (cœur bancaire souverain, applications métier cloud)
  • 250 prestataires TIC dont 18 critiques (cloud public, éditeur cœur bancaire, centre de calcul mutualisé)

La direction des risques a évalué en octobre 2025 le taux de conformité DORA à 41 %, avec des lacunes majeures sur le registre d'information, la classification d'incidents et la stratégie de sortie des prestataires critiques.

Défi

La banque devait répondre à trois contraintes simultanées :

  1. Délai : quatre mois avant la mission ACPR, soit une intensité deux fois supérieure à la moyenne sectorielle
  2. Transversalité : 12 directions impliquées, du juridique à la DSI en passant par les achats
  3. Budget : enveloppe plafonnée à 3,2 M€, incluant outillage, accompagnement et montée en compétences

L'approche initialement envisagée, combinant tableurs et SharePoint, s'est rapidement révélée ingérable sur 250 prestataires et plus de 800 exigences dérivées des RTS.

Approche en quatre phases

Phase 1 : socle et cartographie (mois 1)

Déploiement de ResiPlan sur le périmètre CMDB (actifs TIC et fonctions critiques). Import des 2 400 actifs depuis la CMDB existante, enrichissement par les propriétaires, rattachement aux 54 processus métier. Formation des 22 référents directions.

Phase 2 : tiers et contrats (mois 2)

Peuplement du registre d'information des 250 prestataires TIC selon le format ESA. Les équipes achats ont utilisé les templates ResiPlan pour collecter les clauses DORA manquantes auprès des fournisseurs. Les 18 prestataires critiques ont fait l'objet d'une analyse de concentration et d'une stratégie de sortie formelle.

Phase 3 : incidents et tests (mois 3)

Implémentation du moteur de classification d'incidents selon les sept critères ESA, avec seuils configurés selon la taille de la banque. Connexion au SIEM existant pour l'ingestion automatique. Programme annuel de tests de résilience documenté, incluant un premier tabletop multi-directions de quatre heures sur un scénario de rançongiciel affectant le cœur bancaire.

Phase 4 : reporting et pilotage (mois 4)

Génération automatisée du registre d'information au format ESA, revue par le CODIR, validation par le conseil. Tableaux de bord DORA partagés avec la direction des risques et l'audit interne. Simulation de notification d'incident en conditions réelles pour tester le workflow à 4h / 72h / 1 mois.

Résultats

IndicateurAvantAprès 4 mois
Taux de conformité DORA41 %87 %
Prestataires TIC documentés72 % partiels100 %
Clauses DORA intégrées aux contrats critiques6 / 1817 / 18
Délai de classification d'incident majeurnon mesuré< 2 h
Exercices de résilience réalisés0 en 20253 en 4 mois
Budget consommé2,8 M€ / 3,2 M€

La mission ACPR, réalisée en avril 2026, a confirmé l'adéquation du dispositif et formulé trois recommandations mineures portant sur la formalisation de la revue annuelle et l'enrichissement du plan de tests pluriannuel.

Leçons apprises

Ce qui a fonctionné :

  • Sponsorship direct du directeur général avec des points bi-hebdomadaires
  • Nomination d'un chef de projet unique disposant d'une autorité transverse
  • Choix d'une plateforme unique plutôt qu'un assemblage d'outils
  • Appui sur les templates DORA préconfigurés pour gagner du temps
  • Implication des équipes achats dès le premier mois

Ce qu'il faut préparer en amont :

  • Un inventaire CMDB propre : la qualité des données initiales détermine 60 % du délai
  • Une gouvernance tiers formalisée avant de peupler le registre
  • La disponibilité des métiers pour valider les RTO/RPO du BIA
  • Une enveloppe de 15 % du budget dédiée à la conduite du changement

Pour aller plus loin

ResiPlan accompagne les banques, assureurs et entreprises d'investissement dans leur conformité DORA. La plateforme couvre les cinq piliers, génère les rapports ESA au format attendu et s'interconnecte avec les SIEM et CMDB existants.

Cas client anonymisé avec accord du client. Certains chiffres sont arrondis pour préserver la confidentialité.

Cette étude vous inspire ?
Partagez-la avec votre comité.
LinkedInX

Votre cas ressemble à celui-ci ?

Parlons de votre contexte : nous vous montrons comment ResiPlan peut reproduire ces résultats chez vous.

Parler à un expertEssai gratuit 14 jours

Autres études de cas

Case Study

Hôpital régional : continuité face à une cyberattaque ransomware

Retour d'expérience d'un hôpital de 800 lits face à une cyberattaque ransomware : détection en 47 minutes, retour des services IT en 18 heures, zéro perte patient.

4 minLire l'article
Banque régionale : mise en conformité DORA en 4 mois — ResiPlan