DORA pour les institutions financières : la communication d’incident opérationnel pas à pas

Quand la résilience devient une discipline de communication

Le règlement (UE) 2022/2554, plus connu sous son acronyme DORA (Digital Operational Resilience Act), est entré en application le 17 janvier 2025. Pour les banques, assureurs, sociétés de gestion, prestataires de services de paiement, plateformes de crypto-actifs et près d’une vingtaine d’autres catégories d’entités financières, il marque un basculement : la résilience opérationnelle numérique cesse d’être un sujet purement technique pour devenir un objet réglementaire à part entière, doté d’obligations de reporting strictes, de délais contraints et de sanctions à la clé.

Dans cette architecture, la communication d’incident n’est plus une variable d’ajustement gérée au coup par coup par la direction de la communication. Elle devient un processus réglementé, tracé, auditable, qui doit s’articuler en temps quasi réel avec la gestion de crise technique, la direction juridique, la conformité, et les autorités compétentes. C’est précisément cette articulation qui fait tomber la plupart des dispositifs lorsque l’incident survient pour de bon analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de LaFrenchCom.

Ce que DORA change pour la fonction communication

Avant DORA, la communication d’incident opérationnel dans le secteur financier relevait principalement de trois logiques : l’obligation prudentielle générale de bonne information du superviseur, les obligations sectorielles spécifiques (notamment PSD2 pour les incidents de paiement), et le RGPD pour les violations de données personnelles. Chacun de ces régimes coexistait avec ses propres seuils, ses propres délais et ses propres formulaires.

DORA n’efface pas ces régimes mais ajoute une couche transversale et harmonisée à l’échelle européenne. Son chapitre III, consacré à la gestion, à la classification et au reporting des incidents liés aux technologies de l’information et de la communication (TIC), impose un cadre unique pour tous les incidents TIC majeurs, quel que soit le type d’entité financière concerné. Pour la fonction communication, cela se traduit par quatre conséquences concrètes.

Premièrement, la notification initiale doit partir très vite, dans des délais qui laissent peu de place à l’arbitrage. Deuxièmement, le contenu des notifications successives est standardisé : on ne choisit plus ce que l’on dit, on remplit des gabarits. Troisièmement, la communication externe — clients, grand public, presse — doit être coordonnée avec les notifications réglementaires, sous peine de contradictions coûteuses. Quatrièmement, tout doit être documenté de manière à pouvoir reconstituer la chronologie exacte des décisions, y compris les décisions de ne pas communiquer.

La communication de crise, dans ce cadre, devient un exercice de haute précision où l’improvisation est un risque réglementaire autant qu’un risque réputationnel.

La classification, préalable indispensable à toute communication

Aucune obligation de reporting ne se déclenche tant qu’un incident n’a pas été classifié comme « majeur ». C’est à ce moment précis que le compte à rebours démarre. Autant dire que la classification est le premier acte de communication interne du dispositif, même s’il ne s’agit pas encore de rédiger un message.

Les normes techniques de réglementation (RTS) adoptées par la Commission européenne précisent les critères de classification. Sept paramètres sont à considérer : le nombre de clients et de contreparties financières affectés et leur importance relative, la perte de données et son impact, l’impact géographique, la durée et l’indisponibilité du service, la criticité des services touchés, l’impact économique, et l’impact réputationnel. Un incident est qualifié de majeur lorsqu’il franchit certains seuils combinés sur ces paramètres.

Concrètement, la cellule de crise doit pouvoir procéder à cette qualification en quelques minutes. Cela suppose que les équipes techniques aient instrumenté leurs systèmes pour produire, dès la détection, des métriques exploitables : combien de clients sont bloqués, sur quels canaux, depuis quand, avec quelles conséquences transactionnelles estimées. La fonction communication a tout intérêt à s’inviter très en amont dans la définition de ces tableaux de bord de classification, car c’est à partir d’eux qu’elle devra construire ses messages.

Un point d’attention : la classification n’est pas figée. Un incident initialement mineur peut devenir majeur au fur et à mesure que son ampleur se révèle. Le dispositif doit donc prévoir des réévaluations régulières et documentées, typiquement toutes les heures pendant la phase aiguë, avec une traçabilité claire de qui a décidé quoi et sur la base de quelles données.

Les trois temps du reporting réglementaire

DORA structure la notification des incidents majeurs en trois temps distincts, chacun avec son propre format, son propre délai et son propre niveau d’exigence informationnelle.

La notification initiale

La notification initiale doit être transmise à l’autorité compétente dans un délai très court après la classification de l’incident comme majeur : au plus tard quatre heures après cette classification, et au plus tard vingt-quatre heures après la détection de l’incident lui-même. En pratique, cette contrainte signifie que la cellule de crise dispose d’une fenêtre extrêmement resserrée pour produire un premier document structuré.

Le contenu attendu est volontairement limité : identification de l’entité déclarante, horodatage de la détection et de la classification, description sommaire de l’incident, premières hypothèses sur l’origine, services affectés, et mesures immédiates engagées. Il ne s’agit pas encore d’expliquer ce qui s’est passé ni pourquoi : il s’agit de signaler qu’un événement majeur est en cours.

La tentation, à ce stade, est de vouloir attendre d’en savoir plus avant de notifier. C’est une erreur. DORA sanctionne le retard, pas l’incertitude. Le bon réflexe est de notifier dès la classification avec les informations disponibles, en marquant explicitement comme « en cours d’investigation » tout ce qui ne peut pas encore être établi.

La notification intermédiaire

La notification intermédiaire doit intervenir dans un délai de soixante-douze heures après la notification initiale, ou plus tôt si des éléments significatifs nouveaux apparaissent. Elle vise à enrichir le signal initial avec une première analyse substantielle : impacts consolidés, populations touchées, actions correctives engagées, estimation de la durée résiduelle de l’incident, interactions éventuelles avec des tiers critiques.

C’est à ce moment que la communication interne prend toute son importance. Le rapport intermédiaire doit refléter une compréhension partagée de l’incident entre les équipes techniques, métiers, juridiques et communication. Si ces équipes travaillent en silos pendant la phase aiguë, le rapport risque d’être contradictoire, incomplet ou pire, contredit quelques heures plus tard par une communication externe qui dirait autre chose. La cellule de crise doit donc imposer un sas de validation unique par lequel passent tous les éléments d’information sortants, qu’ils soient destinés au régulateur, aux clients ou à la presse.

Dans le cas où l’incident est encore actif au moment de l’échéance des soixante-douze heures, la notification intermédiaire doit le signaler explicitement et planifier les mises à jour suivantes. Là encore, l’incertitude n’est pas un défaut si elle est documentée comme telle.

Le rapport final

Le rapport final est attendu dans un délai d’un mois après le rapport intermédiaire, sauf prolongation autorisée par le superviseur. Il constitue le document de clôture de l’incident. Son contenu est nettement plus exigeant : analyse de la cause racine, description exhaustive de la chronologie, bilan chiffré des impacts, mesures correctives définitives, enseignements tirés et plan d’amélioration.

Pour la fonction communication, le rapport final a une double valeur. D’une part, il est le pendant institutionnel des éventuelles communications publiques effectuées pendant la crise : il doit être cohérent avec elles, sous peine d’exposer l’entité à des accusations de double discours. D’autre part, il alimente directement le retour d’expérience interne et externe, notamment lorsque des parties prenantes (clients professionnels, auditeurs, investisseurs) demandent un compte rendu formel de l’événement.

Les équipes communication ont tout intérêt à travailler le rapport final en miroir avec la direction des risques et la conformité, en veillant à ce que le vocabulaire utilisé dans le document réglementaire soit compatible avec celui des communiqués, pages web, réponses aux médias et courriers clients produits pendant l’incident.

Cartographie des interlocuteurs : à qui parle-t-on, et dans quel ordre

Un incident DORA met en mouvement un écosystème d’interlocuteurs dont la coordination est le véritable enjeu de la communication de crise. Il est utile, avant toute rédaction de message, de poser à plat cette cartographie.

L’autorité compétente nationale est le premier destinataire formel. Pour une banque française significative, ce sera la BCE via la supervision prudentielle directe, ou l’ACPR pour les établissements moins significatifs. Pour une société de gestion, l’AMF. Pour un assureur, l’ACPR. Le canal de notification est en cours d’harmonisation au niveau européen via une plateforme unique prévue par les RTS.

Les clients affectés doivent être informés sans délai injustifié lorsque l’incident a un impact sur leurs intérêts financiers. DORA reprend ici une exigence qui existait déjà en filigrane dans plusieurs textes sectoriels, mais elle lui donne une portée générale. L’arbitrage délicat consiste à déterminer quand informer : trop tôt, on risque de propager une information fausse ou incomplète ; trop tard, on expose l’entité à des critiques d’opacité. La règle empirique qui tient en situation réelle est la suivante : dès lors qu’un client peut constater par lui-même qu’un service est dégradé, il doit recevoir une communication, même minimale, expliquant que l’entité en a connaissance et y travaille.

Le grand public et la presse constituent un cercle dont l’activation dépend de la visibilité de l’incident. Un incident qui affecte des millions de clients et qui est déjà commenté sur les réseaux sociaux impose une prise de parole publique rapide, souvent avant même que tous les clients aient été contactés individuellement. À l’inverse, un incident circonscrit touchant quelques contreparties professionnelles peut ne jamais justifier de communiqué public.

Les salariés et les réseaux commerciaux sont les grands oubliés de la plupart des dispositifs. C’est une erreur majeure : ce sont eux qui reçoivent les appels des clients, qui affrontent les clients en agence, qui répondent sur les chats. Une communication interne qui arrive après la communication externe place systématiquement ces équipes dans une position intenable. Le principe à retenir est simple : les salariés doivent toujours savoir au moins autant, et idéalement légèrement plus, que ce qui circule à l’extérieur.

Les tiers critiques et prestataires doivent être mobilisés très tôt, non seulement pour la résolution technique mais aussi pour la cohérence des messages. DORA introduit un régime spécifique pour les prestataires tiers critiques de services TIC, qui pourront être directement supervisés. En cas d’incident impliquant un tel prestataire, la coordination des communications devient un point crucial : l’institution financière reste responsable vis-à-vis de ses clients et du régulateur, mais elle ne maîtrise pas toujours le calendrier de communication de son fournisseur.

Les autres autorités peuvent être concernées en parallèle : l’ANSSI pour un incident cyber en France, la CNIL en cas de violation de données personnelles, éventuellement le procureur de la République en cas d’infraction pénale suspectée. Chaque canal a ses propres délais et son propre formalisme, et aucun ne remplace les autres.

Construire les messages : principes et pièges

Une fois les destinataires identifiés, la question devient celle du contenu. Quelques principes, tirés de la pratique, méritent d’être posés en règles fermes.

Dire ce que l’on sait, dire ce que l’on ne sait pas, dire quand on en saura plus

C’est la structure-pivot de toute communication d’incident. Elle fonctionne aussi bien pour une notification réglementaire que pour un tweet adressé au grand public. Elle protège l’émetteur parce qu’elle assume l’incertitude au lieu de la masquer, et elle protège le destinataire parce qu’elle lui donne une prise temporelle. Une communication qui dit « nous reviendrons vers vous à seize heures » est toujours plus apaisante qu’une communication qui promet vaguement « des nouvelles dès que possible ».

Ne jamais attribuer publiquement une cause avant d’en avoir la preuve

C’est particulièrement vrai pour les incidents d’origine suspectée malveillante. Dire « nous avons été victimes d’une cyberattaque » dans les premières heures, alors que l’origine n’est pas établie, peut déclencher des conséquences assurantielles, juridiques, boursières et réputationnelles disproportionnées. La formulation prudente, et souvent la plus juste, consiste à parler d’un « incident technique en cours d’investigation » tant que l’analyse forensique n’a pas abouti. Le rapport réglementaire, de son côté, peut tout à fait mentionner les hypothèses en indiquant leur statut provisoire.

Aligner le vocabulaire réglementaire et le vocabulaire public

Les équipes qui rédigent le rapport DORA et celles qui rédigent le communiqué de presse travaillent souvent en parallèle sous pression. Il est essentiel qu’elles partagent un même glossaire validé en amont. Si le rapport parle d’« indisponibilité partielle du service de paiement instantané » et que le communiqué parle de « ralentissements ponctuels », le régulateur y verra une minimisation publique et pourra en tirer des conclusions désagréables. Le glossaire de crise est un livrable préparatoire trop souvent négligé.

Traiter le silence comme un message

L’absence de communication est toujours interprétée. Dans l’environnement informationnel actuel, un silence de deux heures sur les canaux officiels d’une grande institution financière en plein incident est un signal fort, et rarement positif. La décision de ne pas communiquer est une décision, elle doit être prise consciemment, tracée, et assumée par un niveau hiérarchique identifié.

Le dispositif humain : qui décide, qui rédige, qui valide

Un bon dispositif de communication d’incident DORA repose sur une distribution claire des rôles. L’expérience montre que cette distribution doit être formalisée avant la crise, testée en exercice, et connue de tous les acteurs potentiels.

Le directeur de crise, généralement un membre du comité exécutif ou son délégataire désigné, porte la responsabilité de l’ensemble du dispositif. Il arbitre les décisions de communication, notamment les arbitrages difficiles entre transparence et prudence. Il est le signataire final des notifications réglementaires.

Le responsable communication de crise construit et exécute le plan de communication. Il coordonne les rédactions, arbitre les versions, assure la cohérence entre les canaux. Il travaille main dans la main avec le responsable de la cellule technique pour disposer à tout moment d’une image à jour de la situation.

Le référent réglementaire, souvent issu de la conformité ou de la direction des risques, pilote la relation avec l’autorité compétente. Il connaît les gabarits, les délais, les canaux de transmission. Il est l’interlocuteur unique du superviseur pendant la durée de l’incident, ce qui évite les prises de parole multiples qui désorientent le régulateur et créent des incohérences.

Le référent juridique valide en temps réel les points sensibles : qualification de l’incident, exposition à des actions en responsabilité, articulation avec d’autres régimes (RGPD, PSD2, droit pénal). Il ne rédige pas les messages mais il en sécurise les formulations à risque.

Le porte-parole externe est distinct du directeur de crise. Il est préparé, entraîné, disponible. Il ne prend la parole qu’avec des éléments de langage validés par l’ensemble de la cellule. En situation réelle, il est précieux d’avoir un porte-parole unique pendant toute la durée de l’incident, afin d’éviter les variations de ton et les contradictions entre sources.

Préparer en temps de paix : les livrables incontournables

La communication d’incident DORA ne peut s’improviser. Elle suppose un ensemble de livrables préparés, régulièrement mis à jour et testés. La liste qui suit n’est pas exhaustive mais elle couvre les pièces sans lesquelles aucun dispositif ne tient.

Le premier livrable est une matrice de classification traduisant les critères des RTS en règles internes opérationnelles, avec des seuils chiffrés adaptés à la taille et à la typologie d’activité de l’entité. Cette matrice doit pouvoir être appliquée en quelques minutes par le responsable de la cellule de crise sur la base des données techniques disponibles.

Le deuxième est un jeu de gabarits couvrant l’ensemble des formats de sortie : notification initiale au régulateur, rapport intermédiaire, rapport final, communiqué clients court, communiqué clients détaillé, message pour les réseaux sociaux, message interne collaborateurs, éléments de langage pour le porte-parole, script pour les centres d’appels. Chaque gabarit contient des champs variables et des zones de texte libre, ce qui permet de gagner un temps précieux en phase aiguë.

Le troisième est un annuaire de crise à jour, avec les coordonnées directes de tous les intervenants, y compris hors heures ouvrables, et les canaux de secours en cas d’indisponibilité des systèmes principaux. Un incident qui rend l’intranet inaccessible ne doit pas paralyser la communication interne.

Le quatrième est un glossaire partagé définissant le vocabulaire admissible pour décrire les principales catégories d’incidents. Ce glossaire est la colonne vertébrale de la cohérence entre canaux.

Le cinquième est un programme d’exercices incluant au moins un exercice annuel couvrant un incident majeur de bout en bout, depuis la détection jusqu’au rapport final, avec mise en situation réelle des fonctions communication, conformité, juridique et technique. DORA impose déjà des tests de résilience ; le volet communication doit y être intégré et non traité à part.

Après la crise : la clôture n’est pas la fin

L’envoi du rapport final au régulateur ne clôt pas la communication. Plusieurs chantiers restent ouverts et méritent une attention soutenue.

Le retour d’expérience interne doit être conduit rapidement, tant que les souvenirs sont frais et que les traces sont encore mobilisables. Il vise à identifier ce qui a bien fonctionné, ce qui a calé, et ce qui doit être ajusté dans le dispositif. Le volet communication de ce retour d’expérience est souvent négligé ; il gagne à être conduit par un tiers extérieur à la cellule de crise, capable d’un regard critique.

La communication de suivi vers les clients et parties prenantes externes ne doit pas s’éteindre trop tôt. Après un incident majeur, les clients attendent un retour qui explique ce qui s’est passé, ce qui a été corrigé, et ce qui est mis en place pour éviter la récidive. Ce retour peut prendre la forme d’un courrier, d’une page web dédiée, ou d’un post sur le blog de l’entité. Son absence laisse s’installer durablement un sentiment de manque de considération.

Le suivi des sollicitations post-incident constitue une charge de travail parfois sous-estimée : demandes de journalistes qui reviennent avec des angles nouveaux, questions d’auditeurs, réclamations individuelles, éventuelles actions collectives. Le dispositif de communication doit maintenir un point d’entrée unique capable de répondre à ces sollicitations avec cohérence sur plusieurs semaines, voire plusieurs mois.

Enfin, la mise à jour de la documentation DORA est une obligation permanente. Les enseignements tirés de chaque incident doivent nourrir les politiques de gestion des incidents, les plans de continuité, les procédures de communication, les exercices suivants. DORA instaure un cycle d’amélioration continue dont la communication de crise est un élément à part entière.

Faire de la contrainte une discipline

Il est tentant de percevoir DORA comme une superposition réglementaire de plus, qui alourdit les processus sans transformer réellement la capacité des institutions financières à faire face aux incidents. Cette lecture est réductrice. Le règlement oblige à poser par écrit, à tester, et à documenter des pratiques qui, dans beaucoup d’établissements, restaient informelles et dépendantes des personnalités en place.

Pour la fonction communication, cet effort de formalisation est une occasion. Il oblige à sortir de la posture d’exécutant appelé en dernier ressort pour entrer dans le cercle de décision dès la phase de préparation. Il impose une coopération étroite avec la technique, la conformité, le juridique, les métiers, qui est à la fois une exigence réglementaire et une opportunité de cohérence opérationnelle. Il fait de la communication d’incident une discipline en soi, avec ses outils, ses métriques, ses exercices et ses standards.

Les institutions qui prendront DORA au sérieux sur ce volet communication se doteront d’une capacité réelle à traverser les incidents avec sang-froid et crédibilité. Celles qui se contenteront de cocher les cases réglementaires découvriront, au premier incident majeur, que la conformité formelle ne protège ni la réputation ni la relation de confiance avec les clients. La différence entre les deux approches ne se mesure pas en pages de procédures, mais en minutes gagnées lorsque le compte à rebours démarre.