Les institutions financières doivent abandonner leur modèle hérité de périmètre réseau pour adopter une approche globale de gestion du risque cyber. Face à une asymétrie de vitesse avec les attaquants et à la propagation en cascade des défaillances, la conformité réglementaire comme DORA devient un levier de résilience opérationnelle plutôt qu’une simple contrainte.
Cybersécurité financière : du périmètre au pilotage du risque

Les institutions financières continuent de raisonner à partir d'un modèle hérité : un périmètre réseau séparant un intérieur maîtrisé d'un extérieur hostile. Ce modèle est opérationnel. Il ne reflète plus la réalité. Les systèmes bancaires sont désormais distribués entre cloud, SaaS, API et dépendances logicielles multiples. Cette fragmentation dissout toute frontière unique. Selon les données Armis Labs 2026, plus de 60 % des brèches investiguées proviennent d'actifs non patchés, et 40 % d'équipements réseau en périphérie, firewalls, VPN, routeurs. Les dispositifs censés protéger le réseau sont devenus un vecteur d'attaque à part entière.
Une asymétrie de vitesse structurelle
Le secteur financier a optimisé la vitesse comme avantage compétitif comme les paiements instantanés, le trading algorithmique ou encore les règlements en temps réel. La cybersécurité, elle, reste organisée autour de cycles séquentiels : détection, qualification, remédiation : qui peuvent prendre plusieurs semaines. Quant aux attaquants, ils exploitent désormais une vulnérabilité publiée dans les heures qui suivent sa divulgation, en s'appuyant sur des chaînes offensives largement automatisées. C'est dans cet écart que réside l'exposition réelle. Cette réalité dépasse le seul logiciel. La continuité des services financiers repose autant sur la résilience des systèmes informatiques que sur celle des infrastructures physiques qui les supportent : équipements de trading, distributeurs automatiques, passerelles de paiement.
Un risque qui se propage en cascade
Une défaillance ne reste plus localisée. Elle se propage aux applications métiers, aux services de paiement, aux infrastructures de marché. L'incident SolarWinds en 2020, puis la compromission de MOVEit en 2023 qui a touché plusieurs établissements financiers européens via un seul éditeur illustrent concrètement ce mécanisme : la vulnérabilité d'un maillon logiciel tiers suffit à exposer l'ensemble d'une chaîne critique. Plus récemment, une campagne menée en 2025 a exploité des mauvaises configurations d'une plateforme SaaS très répandue dans le secteur financier, sans aucune intrusion directe dans les systèmes cibles. Ce risque opère à deux niveaux que les directions financières doivent distinguer : celui des fournisseurs directs, et celui des dépendances de ces fournisseurs eux-mêmes. Lorsque plusieurs établissements partagent les mêmes plateformes mutualisées, une compromission unique peut devenir un événement systémique. La vulnérabilité n'est plus ponctuelle mais héritée en cascade et souvent invisible.
Des exigences réglementaires qui actent cette réalité
DORA, entré en vigueur en janvier 2025, impose une cartographie étendue des fournisseurs technologiques, de leurs sous-traitants, et des risques associés avec des amendes pouvant atteindre 2 % du chiffre d'affaires mondial en cas de manquement. Les premières mises en œuvre révèlent une difficulté concrète : la plupart des établissements ne disposent pas d'un inventaire fiable de leurs dépendances logicielles au-delà de leur premier cercle de fournisseurs. Cartographier ce que l'on ne voit pas reste le problème central. L'enjeu n'est pas de tout corriger, c'est impossible mais de réduire en priorité les chemins d'attaque les plus vraisemblables, en hiérarchisant les risques selon leur exploitabilité réelle plutôt que leur score théorique.
Piloter le risque plutôt que le subir
Ce changement de logique, agir avant la compromission plutôt qu'après, suppose trois évolutions profondes pour les directions financières. Une gouvernance qui intègre la sécurité dans les décisions d'architecture dès leur conception, et non comme une contrainte ajoutée après coup. Des équipes capables de raisonner en termes d'exposition systémique, et non de vulnérabilités isolées. Et des indicateurs de pilotage orientés vers la réduction des chemins d'attaque (temps moyen de correction des failles critiques, réduction de la surface d'impact) plutôt que vers le volume de correctifs appliqués.
Les établissements les plus avancés ont intégré ces métriques dans leurs reporting de direction. Ils traitent la conformité réglementaire non comme une fin en soi, mais comme un levier de résilience opérationnelle.
La différence ne se joue plus entre sécurité et insécurité. Elle se joue entre les organisations capables d'absorber et de traiter le risque à la vitesse à laquelle il évolue, et celles qui restent contraintes par des cycles de réaction inadaptés. Pour le secteur financier, où la confiance est le premier actif, ce n'est pas seulement une question technique. C'est une question de résilience institutionnelle.
