Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Deux horizons de conformité : quelles conséquences pour le Golfe face à 96 % d’échec DORA dans l’UE ?

Deux horizons de conformité : quelles conséquences pour le Golfe face à 96 % d’échec DORA dans l’UE ?

par Marc ten Eikelder updated juin 5, 2026 Conformité réglementaire
temps de lecture: 7 minutes

La statistique présentée lors de la conférence Span Cyber Security Arena mérite une attention qui dépasse l’Europe. 96 % des entreprises de services financiers en EMEA — y compris celles dont le siège ou les opérations sont dans le Golfe — déclarent que leur résilience des données n’atteint pas encore les exigences de DORA. Il s’agit là d’un constat quasi unanime dans un secteur ayant pourtant beaucoup investi dans l’infrastructure de conformité. Ce taux d’échec ne s’explique pas par un manque de ressources, mais par l’architecture.

Pour les organisations du CCG ayant des opérations en Europe, des données clients européennes ou des personnes concernées dans l’UE, cette statistique n’est pas un simple titre européen. C’est un véritable état des lieux opérationnel. DORA ne tient pas compte du pays d’immatriculation du fournisseur de services TIC. Si vous fournissez des services TIC critiques ou importants à une entité financière régulée par l’UE, votre conformité sera examinée selon le cadre DORA.

Les organisations avec lesquelles je travaille dans le Golfe font face à une pression réglementaire venant de deux directions à la fois. La vague des trois cadres européens — NIS2, DORA et le règlement européen sur l’IA — s’impose via leurs opérations européennes. Et les cadres de protection des données du CCG se renforcent rapidement sur le plan local.

La loi sur la protection des données personnelles des Émirats arabes unis, en vigueur depuis septembre 2023, instaure des obligations de consentement et de droits des personnes concernées qui s’apparentent au RGPD sur de nombreux points. La loi saoudienne sur la protection des données personnelles, avec ses règlements d’application de 2024, crée des obligations similaires pour les organisations traitant les données de ressortissants saoudiens. La loi qatarienne sur la protection de la vie privée des données personnelles ajoute une troisième juridiction du CCG avec des exigences formelles de protection des données. Les organisations actives dans plusieurs pays du CCG se retrouvent face à un environnement de conformité multi-cadre, qui reflète, dans sa structure sinon dans le détail, ce que vivent leurs homologues européens avec NIS2, DORA et la réglementation sur l’IA.

Le calcul de la conformité n’est pas une simple addition. Les cadres européens, ceux du CCG et les exigences sectorielles des régulateurs financiers comme la SAMA, la CBUAE et la QCB génèrent une charge de conformité qui se multiplie plutôt qu’elle ne s’additionne — surtout lorsque chaque cadre impose son propre format documentaire, ses preuves d’audit et ses procédures de notification d’incident.

5 points clés à retenir

1. Le taux d’échec de 96 % à DORA n’est pas un simple titre européen — c’est un état des lieux opérationnel pour les organisations du Golfe.

96 % des entreprises de services financiers en EMEA déclarent que leur résilience des données n’atteint pas encore les exigences de DORA. Si votre organisation fournit des services TIC critiques à des entités financières régulées par l’UE — quel que soit votre pays d’immatriculation — votre conformité sera examinée selon ce cadre. Ce taux d’échec ne s’explique pas par un manque de ressources, mais par l’architecture.

2. Les organisations du Golfe subissent une pression réglementaire venant de deux directions à la fois.

La vague des trois cadres européens — NIS2, DORA et le règlement européen sur l’IA — s’impose via leurs opérations européennes. Les lois sur la protection des données des Émirats, de l’Arabie saoudite et du Qatar se renforcent sur le plan local. Le calcul de la conformité n’est pas une addition : les cadres européens, ceux du CCG et les exigences sectorielles des régulateurs financiers génèrent une charge de conformité qui se multiplie, sans s’additionner.

3. Une infrastructure d’audit fragmentée échoue sur les deux horizons à la fois.

61 % des organisations disposent de journaux d’audit fragmentés sur plusieurs systèmes. Dans un environnement à double horizon, des journaux fragmentés signifient que chaque cycle d’audit exige le même effort de reconstitution des preuves — pour deux ensembles d’exigences réglementaires différents, avec deux formats de preuves différents. Un superviseur DORA et un auditeur PDPL saoudien réclament les mêmes enregistrements de base, mais avec des vocabulaires différents.

4. Un agent IA opérant hors de son périmètre initial est un événement multi-cadre.

Deux tiers des organisations soupçonnent que leurs agents IA ont déjà accédé à des données hors de leur périmètre prévu. Pour les organisations du Golfe présentes dans l’UE et le CCG, cela constitue à la fois un incident TIC DORA, une problématique de protection des données RGPD, une obligation de notification PDPL EAU et potentiellement une violation de transfert transfrontalier PDPL saoudien. La gouvernance de l’IA ne peut pas être traitée comme un problème limité à une seule juridiction.

5. L’architecture qui répond aux deux horizons est la même.

Les contrôles exigés par DORA, NIS2, le règlement européen sur l’IA et les lois sur la protection des données du CCG sont similaires : contrôles d’accès, gestion chiffrée des données, journalisation des incidents avec attribution et traçabilité d’audit permettant de répondre à un contrôle réglementaire. Mettez-les en œuvre une seule fois, sur tous les canaux de circulation des données sensibles, et générez à partir de cette implémentation unique les preuves requises par chaque cadre.

Pourquoi le modèle actuel de génération de preuves échoue

L’étude Cisco Privacy Benchmark a révélé que les organisations gèrent désormais en moyenne 3 891 environnements SaaS et IA. Dans ces environnements, les journaux d’accès, les enregistrements d’incidents et les traces de transfert de données sont générés dans des dizaines de formats différents, avec autant de standards d’attribution. Lorsqu’un superviseur DORA demande des preuves de classification d’incident TIC, ou lorsqu’un audit PDPL saoudien exige des traces de transferts transfrontaliers et des preuves de consentement, le processus de reconstitution des preuves — extraire des enregistrements des systèmes de messagerie, plateformes de transfert de fichiers, stockages cloud, infrastructures MFT et journaux d’interactions IA — mobilise régulièrement des semaines de travail pour les équipes conformité.

Le rapport prévisionnel 2026 de Kiteworks sur la sécurité des données et les risques de conformité a révélé que 61 % des organisations disposent de journaux d’audit fragmentés sur plusieurs systèmes. Dans un environnement de conformité mono-cadre, ces journaux fragmentés représentent un inconvénient opérationnel gérable. Dans un environnement de conformité à double horizon — cadres européens et cadres du CCG simultanément — cela signifie que chaque cycle d’audit exige le même effort de reconstitution, pour deux ensembles d’exigences réglementaires différents, avec deux formats de preuves différents.

Le rapport Akeyless 2026 sur la sécurité de l’identité des agents IA, basé sur 400 responsables IT et sécurité, a révélé que deux tiers des organisations soupçonnent que leurs agents IA ont déjà accédé à des données hors de leur périmètre prévu. Pour les organisations du Golfe déployant l’IA sur des opérations couvrant l’UE et le CCG — avec des exigences de classification des données, de consentement et de transfert transfrontalier différentes — un agent IA opérant hors de son périmètre initial n’est pas qu’un événement de sécurité. C’est à la fois un incident TIC DORA, une problématique RGPD, une obligation de notification PDPL EAU et potentiellement une violation de transfert transfrontalier PDPL saoudien.

Le règlement européen sur l’IA ajoute une troisième dimension

Les obligations liées aux risques élevés du règlement européen sur l’IA entreront en vigueur en août 2026. Pour les organisations du Golfe fournissant des services dopés à l’IA à des clients européens — évaluations de risques financiers, traitement automatisé de documents, systèmes IA en contact avec des personnes concernées dans l’UE — les exigences de documentation, de gestion des risques et de supervision humaine ne sont pas optionnelles. L’échéance d’août concerne l’impact du système IA sur les personnes dans l’UE, et non le lieu d’hébergement ou d’immatriculation du développeur.

L’experte en gouvernance de la cybersécurité Antonija Vojnović, lors de la conférence Span, a souligné que la sensibilisation aux risques de fuite de données via les outils IA d’entreprise reste faible. Ce que je constate auprès des organisations du Golfe et de l’EMEA va dans le même sens : une forte volonté d’adopter l’IA, mais un écart important entre cette volonté et l’infrastructure de gouvernance nécessaire pour déployer l’IA en toute sécurité dans des environnements réglementaires multi-juridictionnels.

Ce que l’architecture doit permettre

Les contrôles exigés par DORA, NIS2, le règlement européen sur l’IA, la PDPL EAU, la PDPL saoudienne et les recommandations de gouvernance de la QCB sont similaires : contrôles d’accès, gestion chiffrée des données, journalisation des incidents avec attribution, traçabilité d’audit permettant de répondre à un contrôle réglementaire, et supervision des prestataires tiers. Les cadres diffèrent par leur vocabulaire et leur mode d’application. Les contrôles techniques sous-jacents sont identiques.

L’architecture de conformité qui rend la conformité à double horizon viable applique ces contrôles une seule fois — sur tous les canaux de circulation des données sensibles, dans toutes les juridictions — et génère à partir de cette implémentation unique les preuves requises par chaque cadre. Il ne s’agit pas de créer un programme de conformité distinct pour DORA et un autre pour la PDPL EAU. Il s’agit d’un environnement de données gouverné qui produit des enregistrements attribuables et infalsifiables pour chaque accès aux données, au format requis par chaque contrôle réglementaire.

Le Réseau de données privé Kiteworks regroupe la messagerie électronique, le partage de fichiers, le MFT, le SFTP, les formulaires Web, les API et les intégrations IA sous un moteur de règles unique et un journal d’audit consolidé. Les tableaux de bord de conformité préconfigurés pour le RGPD, DORA et NIS2 génèrent des preuves spécifiques à chaque cadre à partir des mêmes données sous-jacentes — une architecture, deux horizons de conformité, une base de preuves.

Les organisations qui construisent aujourd’hui une architecture de conformité — quel que soit le délai réglementaire le plus proche — sont celles qui combleront l’écart DORA, satisferont le cycle d’audit du CCG et respecteront l’échéance d’août du règlement sur l’IA avec le même investissement. Celles qui multiplient les programmes distincts verront leur charge de conformité croître plus vite que la capacité de leurs équipes à y répondre.

Le taux d’échec de 96 % à DORA n’est pas un avertissement destiné aux entreprises européennes. C’est un point de référence pour toute organisation exposée aux cadres réglementaires européens — et dans le Golfe, cette exposition est significative et ne cesse de croître.

Pour en savoir plus sur la démonstration de la conformité DORA, réservez une démo personnalisée dès aujourd’hui.

Foire aux questions

Oui. DORA s’applique en fonction du rôle que vous jouez auprès des entités financières régulées par l’UE, et non de votre pays d’immatriculation. Si vos services soutiennent des fonctions critiques ou importantes d’une entité financière européenne, votre conformité sera examinée selon DORA — gestion des risques TIC, déclaration d’incident et obligations de supervision des tiers incluses. 96 % des entreprises financières EMEA n’ont pas encore atteint les exigences de résilience des données de DORA, ce qui fait de l’infrastructure de conformité la priorité la plus urgente.

Les contrôles techniques sous-jacents exigés par les deux cadres — contrôles d’accès, gestion chiffrée des données, journalisation des incidents avec attribution et traçabilité d’audit infalsifiable — sont similaires. Une plateforme unifiée d’échange de données qui applique ces contrôles une seule fois et génère des preuves spécifiques à chaque cadre à partir d’une implémentation unique répond aux deux exigences. Le Réseau de données privé Kiteworks propose des tableaux de bord de conformité préconfigurés pour le RGPD, DORA et NIS2 à partir des mêmes journaux d’audit.

Oui. Le règlement européen sur l’IA s’applique en fonction de l’impact des résultats IA sur les personnes dans l’UE, et non du lieu d’hébergement ou de développement du système. Les organisations du Golfe qui proposent des évaluations de risques financiers dopées à l’IA, du traitement automatisé de documents ou des systèmes IA en contact avec des clients européens doivent répondre aux exigences de documentation, de gestion des risques et de supervision humaine d’ici août 2026. Les amendes pour non-conformité peuvent atteindre 7 % du chiffre d’affaires mondial pour les infractions les plus graves.

La cause principale réside dans la fragmentation des journaux — 61 % des organisations disposent de traces d’audit dispersées entre messagerie, transfert de fichiers, MFT, stockage cloud et systèmes d’interactions IA. Une plateforme de contrôle unifiée regroupant tous les échanges de données sensibles sous un moteur de règles unique et un journal d’audit centralisé élimine ce travail de reconstitution. Lorsqu’un audit DORA, PDPL saoudien ou PDPL EAU arrive, les preuves sont déjà générées — il s’agit d’un reporting, pas d’une enquête forensique.

Deux tiers des organisations soupçonnent que leurs agents IA ont déjà accédé à des données hors de leur périmètre prévu — un seul événement pouvant déclencher des obligations simultanées selon DORA, le RGPD et les lois de protection des données du CCG. La solution : une gouvernance IA au niveau des données. Authentifiez chaque requête d’agent, appliquez des contrôles d’accès basés sur les attributs et journalisez chaque interaction dans une traçabilité d’audit infalsifiable, quel que soit le modèle ou la juridiction. Le serveur Secure MCP et la passerelle AI Data de Kiteworks appliquent ce schéma dans toutes les juridictions à partir d’une infrastructure gouvernée unique.

Ressources complémentaires

  • Article de blog La guerre d’influence autour de vos données : comment les lois CLOUD et SHIELD opposent sécurité et vie privée
  • Article de blog Sécurisez les données sensibles en alignant le DSPM sur vos objectifs de conformité
  • Brief Top 3 des violations FERPA et comment les éviter
  • Article de blog Executive Order 14117 : protéger les données personnelles sensibles des Américains
  • Article de blog Besoin de conformité NIS2 ? Commencez par l’ISO 27001

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks