DORA et outils de développement : ce que la réglementation impose

Entré en application en janvier 2025, le règlement DORA (Digital Operational Resilience Act) redéfinit les obligations des institutions financières en matière de résilience numérique. Une dimension souvent sous-estimée : son impact direct sur le choix des outils de développement et des assistants IA de code.

Qu’est-ce que DORA ?

DORA est un règlement européen qui impose aux entités financières — banques, assurances, sociétés de gestion, plateformes de trading — un cadre harmonisé de gestion des risques liés aux technologies de l’information et de la communication (TIC). Son objectif : garantir que le secteur financier puisse résister, réagir et se rétablir face aux incidents numériques.

Contrairement à des recommandations, DORA est d’application directe et contraignante dans toute l’Union européenne, avec des sanctions à la clé en cas de non-conformité.

Pourquoi les outils de développement entrent dans le périmètre

DORA accorde une place centrale au risque lié aux prestataires tiers de services TIC. Un assistant IA de code en mode cloud est précisément cela : un prestataire tiers qui traite, en continu, une ressource critique de l’institution — son code source. Cela soulève plusieurs exigences :

  • Cartographie et maîtrise des dépendances TIC : l’institution doit identifier et évaluer chaque prestataire critique, y compris les outils utilisés par ses équipes de développement.
  • Maîtrise de la concentration et de la localisation : une dépendance forte à un fournisseur cloud extra-européen pour une fonction critique est un facteur de risque à documenter et limiter.
  • Traçabilité et auditabilité : l’institution doit pouvoir démontrer le contrôle qu’elle exerce sur le traitement de ses actifs sensibles.

Le cas particulier des algorithmes propriétaires

Pour les sociétés de trading quantitatif et les hedge funds, le code représente l’avantage concurrentiel lui-même. Confier ce code à un assistant cloud, c’est non seulement un risque de conformité DORA, mais aussi un risque stratégique de fuite de propriété intellectuelle. La combinaison des deux rend l’enjeu particulièrement aigu pour ce segment.

Comment rester conforme tout en utilisant l’IA

La réponse n’est pas de renoncer aux assistants IA de code, mais de choisir un modèle de déploiement qui élimine la dépendance tierce critique. Un assistant déployé on-premise, dans l’infrastructure même de l’institution, supprime le transit du code vers un prestataire externe : il n’y a plus de prestataire TIC tiers traitant le code en continu, et la traçabilité reste interne.

C’est l’approche que nous détaillons pour le secteur financier sur notre page dédiée à la finance et au trading.

Conclusion

DORA ne nomme pas explicitement les assistants IA de code, mais sa logique de maîtrise des risques TIC les englobe pleinement. Pour une institution financière, le réflexe à adopter est simple : tout outil qui envoie du code vers un tiers doit être évalué comme un prestataire critique — et un déploiement on-premise est souvent le moyen le plus net de lever la question.

Lemniscate propose un assistant de développement IA déployé on-premise, conçu pour les institutions financières soumises à DORA. Aucun transit de code, traçabilité native.

Demander une démo