Agefi Luxembourg - février 2026

AGEFI Luxembourg 44 Février 2026 Informatique financière Par Sitraka FORLER, Systems Architect AI Ops, Post Luxembourg Comment la place financière concilie continuité, durabilité et disruption technologique Qu’est-ce que la résilience numérique ? L a résilience numérique désigne la capacité d’un système, d’une entreprise oud’une organi- sation àmaintenir ses fonctions essentielles et à se rétablir rapi- dement face à des incidents numériques : cyberattaques, pannes, défaillances techniques ou erreurs humaines. Elle vise à garantir la continuité des activi- tés, la protectiondes données sen- sibles et la confiance des parties prenantes. Elle repose sur une approche globale et proactive, combinant des dimensions tech- niques, organisationnelles et humaines. Au Luxembourg, cette notion a pris une dimension stratégique majeure depuis l’entrée en vigueur du règlementDORA(DigitalOperationalResilienceAct) le 17 janvier 2025. Le pays amême adopté enoctobre 2025 une Stratégie nationale de résilience baptisée “Lëtzprepare!”,coordonnéeparleHaut-Commissa- riatàlaProtectionnationale.LaCSSFapubliéenavril 2025plusieurscirculaires(notammentlaCSSF25/882) précisant les exigences pour l’utilisation de services TIC tiers et imposant de nouvelles obligations de reportingpourlesentitésfinancières.En janvier2026, laCommissioneuropéenneaencorerenforcélerègle- ment sur la cybersécurité pour sécuriser les chaînes d’approvisionnement TICde l’Union européenne. Luxembourg : Le hub financier face audéfi de la résilience Le Grand-Duché n’est plus seulement un coffre-fort financier ; il s’est mué en véritable coffre-fort numé- rique.Avecune connectivitéhaut débit quasi-univer- selle et une densité d’experts IT remarquable, le pays est devenu un nœud névralgique pour l’Europe. Les infrastructures critiques se sont multipliées : centres de données hyperscale, interconnexions internatio- nales redondantes, points de présence des grands clouds publics, au service d’un écosystème qui dépasse largement la finance pour toucher le spatial, la logistique et les services publics numériques. C’estundéfimajeurpourlesDSIlocaux:jonglerentre lesexigencesdelaCSSF,lerèglementDORAavecses cinq piliers (gestion des risques TIC, gestion des inci- dents, tests de résilience, stratégie vis-à-vis des four- nisseurstiers,etpartaged’informations),etdesinves- tisseursquiscrutentdésormaisautantlescritèresESG que les rendements trimestriels. Depuis avril 2025, toutes les entités DORAdoivent utiliser un nouveau formulaire de notification CSSF pour signaler tout nouvelarrangementd’externalisationTICsupportant des fonctions critiques ou importantes. La circulaire CSSF 25/882 impose également la dési- gnation d’un « cloud officer » responsa- ble de l’utilisation des services cloud et de garantir les compétences du person- nel gérant ces ressources. La résilience ne se limite plus à savoir où sont héber- gés les serveurs,mais englobe la capacité à maintenir les opérations en toutes cir- constancesetàrécupérerrapidementaprès un incident. Quand laRSEdevient pilier de la résilience Concevoir une architecture rési- liente « by design », c’est intégrer la fin du service dès le premier coupdecrayon.Avant,onparlait de haute disponibilité, de RTO (RecoveryTimeObjective)etdeRPO (Recovery Point Objective). Maintenant, on parle de « GreenOps », de sobriété énergétique et d’émissions carbone par transaction. La résilience ne peut plus ignorer les contraintes environnementales : undatacenterquitombeenpanneàcaused’unecani- cule ou d’une pénurie énergétique, c’est simultané- ment un échec opérationnel et un échec RSE. Pour la place financière luxembourgeoise, la nou- vellenormeexigeunegymnastiquecomplexe:com- biner des datacenters locaux redondants pour la conformité, du calcul en périphérie (Edge compu- ting) pour la rapidité des applications critiques, et un cloud juridiquement maîtrisé pour l’élasticité. Mais le véritable changement de paradigme est métrique. Aux côtés des traditionnels SLA (Service Level Agreements), de nouveaux indicateurs s’im- posent avec lamême force réglementaire : émissions deCO₂partransaction,pourcentagedechargeinfor- matique sur infrastructure neutre en carbone, rési- lience face aux pénuries énergétiques, temps de maintien en mode dégradé. La résilience n’est plus un centre de coûts caché au fond du bilan. C’est devenu un actif stratégique, piloté par des comités hybrides où la DSI côtoie la RSE, la gestion des risques, la conformité et la direction financière. Cetteconvergencen’estpascosmétique.Lesdirections RSE des institutions financières luxembourgeoises sontdésormaisimpliquéesdèslaphasedeconception des projets IT, imposant des audits de performance énergétique avant tout déploiement majeur. Les appelsd’offrespour les services cloud incluent systé- matiquementdesclausesdetransparencesurl’origine de l’électricité consommée et l’efficacité PUE (Power Usage Effectiveness) des datacenters. Certaines banques de la place ont même commencé à intégrer dans leurs contrats SaaS des pénalités financières si les fournisseurs ne respectent pas leurs engagements carbone. Les silos organisationnels explosent sous la pression réglementaire et climatique. La chute brutale boursière de janvier 2026 : Menace sur la résilience de l’écosystème IT Alors que nous tentons de renforcer la résilience de nos infrastructures, lemarché du logiciel a traversé une zone de turbulences inédite en janvier 2026. SAP a perdu 15% en une seule séance le 29 janvier 2026, sa plus forte chute depuis octobre 2020, après avoir annoncéune croissancede son carnet de com- mandes cloud de seulement 16% au quatrième tri- mestre, bien en deçà des 26% attendus par les ana- lystes. Microsoft a chuté de 7%malgré des résultats supérieurs auxprévisions, les investisseurs s’inquié- tant d’une croissanceAzure ralentie à 39% et d’une explosion des dépenses d’investissement (37,5 mil- liards de dollars, +66% en un an) liées à l’IA. Plusde100milliardsdedollarsde capitalisationéva- porés en quelques semaines dans le secteur logiciel, entraînantDatadog,AtlassianetWorkdaydans leur sillage. Les marchés envoient unmessage brutal : le modèle économique du logiciel SaaS traditionnel est menacé par l’intelligence artificielle générative. Les investisseurs distinguent désormais violem- ment entre les éditeurs qui contrôlent les « systèmes d’enregistrement » (socles de données critiques et processus métiers profonds) et ceux qui se conten- tent de couches logicielles facilement imitables. Pour la résilience numérique luxembourgeoise, c’est un signal d’alarme majeur! Construire une architecture résiliente implique de ne pas dépendre de fournisseurs dont le modèle économique pour- rait s’effondrer dans les mois à venir. L’analyse de risque fournisseur doit désormais intégrer cette nouvelle dimension : la viabilité du modèle d’af- faires face à la disruption IA ! L’ère du « Vibe-Coding » : Quand la résilience passe par l’agilité Une expérience menée début février 2026 par CNBC a cristallisé ces angoisses. Deux journalistes sans compétences en développement ont recréé en moins d’une heure, à l’aide de Claude Code d’Anthropic, un clone fonctionnel deMonday.com, une plateforme de gestion de projet valorisée à 5 milliards de dollars. Leur seule arme ? Le « vibe- coding » : programmer en discutant avec une IAen langage naturel, comme on commanderait un café. Pour le Luxembourg et sa place financière, c’est un avertissement stratégique. Les barrières à l’entrée technologiques s’effondrent à une vitesse vertigi- neuse. Les applications « de surface » (tableaux de bord, interfaces simples, workflows de producti- vité) peuvent désormais être reconstruites à la demande, en quelques minutes, par des non-spé- cialistes armés d’un prompt bien tourné. Pour un acteur bancaire luxembourgeois, l’analyse de risque fournisseur change radicalement de nature. Il ne suffit plus de vérifier la solidité finan- cière d’un éditeur partenaire. Il faut se poser une question inconfortable : « Son produit est-il réelle- ment “IA-proof” ou va-t-il être remplacé par un agent intelligent dans sixmois ?Ai-je unplanB cré- dible si cet éditeur disparaît ? » La résilience numérique, c’est aussi la capacité à pivoter rapidement, à remplacer une brique logi- cielle devenue obsolète ou vulnérable sans inter- rompre les opérations critiques. Vers une nouvelle gouvernance : Trois piliers pour une résilience durable Les agents d’IA s’invitent déjà dans nos chaînes de valeur:générationautomatiquedecode,supervision intelligente des infrastructures, détection anticipée d’incidents, production accélérée de rapports régle- mentaires. C’est une opportunité d’efficacité opéra- tionnelle,mais aussi un risquededépendance accrue envers des modèles souvent extra-européens, opaques et énergivores. Pournaviguerdanscettetempêteparfaite,troispiliers s’imposent aux décideurs luxembourgeois qui veu- lent construire une résilience numérique durable : Premièrement, l’intégration « by design » des agents d’IA dans les plans de résilience. Il faut cesser de les voir comme des gadgets périphériques et les traiter comme des composants critiques de l’infrastructure, avec les mêmes exigences de disponibilité, réversibi- lité, traçabilité et conformité que tout système vital, exactement ce queDORA impose désormais. Deuxièmement, la souveraineté réelledesdonnées et des technologies.Maîtriser le cycle de vie complet de la donnée qui nourrit ces IA : où elle est collectée, où elle transite, où elle est traitée, combien de temps elle est conservée, qui peut y accéder. C’est le nerf de la guerrepour conserver unminimumde souveraineté décisionnelle et éviter de devenir un simple consom- mateur captif. Cela rejoint l’objectif stratégique du gouvernement luxembourgeois d’« accélérer la sou- veraineté numérique d’ici 2030 » inscrit dans la StratégieGouvernement numérique 2026-2030. Troisièmement, lamesure systématiquede l’impact environnemental et social. Chaque déploiement d’IAdoit passer au crible d’une double évaluation : soncoût énergétique (entraînement, inférence, infra- structure) et son impact social (transformation des compétences, formation, employabilité). Les projets qui passent ce filtre ne sont pas les plus spectacu- laires, mais les plus soutenables et les plus résilients sur le long terme. La résilience numérique comme agilité stratégique La résilience numérique au Luxembourg ne consiste donc plus simplement à prévoir des plans de conti- nuitéd’activitéetdessauvegardesrégulières.Lavraie question stratégique est désormais : «Dans quel éco- systèmededépendances(technologiques,financières, géopolitiques, climatiques) mon système d’informa- tion survit-il réellement ? Et combiende temps ? » Dansunmondeoùunclonefonctionneld’uneappli- cation à plusieurs milliards se génère en une heure de conversation avec une IA, la véritable résilience ne réside plus dans la puissance brute ou la redon- dancematérielle. Elle résidedans l’agilité architectu- rale, dans la capacité à pivoter rapidement, à rem- placer des briques devenues obsolètes, à absorber des chocs imprévisibles. La résilience numérique devient, paradoxalement, une question de mobilité et d’adaptabilité permanente. Résilience numérique au Luxembourg : Résoudre la quadrature du cercle entre DORA-RSE-IA L e cabinet d’avocats internatio- nal DLAPiper vient de pu- blier la huitième édition de son étude annuelle sur les amendes RGPDet les violations de données. Le rapport met en évi- dence un niveau élevé d’activité des autorités européennes de protection des données en 2025. Celles-ci ont infligé des sanctions totali- sant environ 1,2milliard d’eu- ros, unmontant largement comparable à celui de 2024. L’analyse des données publiées par les autorités de contrôle eu- ropéennes révèle par ailleurs unehausseannuellede22%des violationsdedonnéespersonnellesno- tifiées. Cela correspondàunemoyennede443 notifications par jour. Cette progressionmarque une rupture après plusieurs années de stabilisation des chiffres. C’est également la première fois depuis 2018 que la moyenne quotidienne dépasse le seuil de 400 notifications. L’Irlandeconservesapositiondeleaderenmatièrede sanctions. Lemontant cumulé des amendes infligées par la Commission irlandaise pour la protection des donnéesatteintdésormais4,04milliardsd’euros(4,77 milliardsUSD/3,56milliardsGBP)depuisl’entréeen applicationduRGPDenmai2018.Malgréunenou- velle année marquée par une activité soutenue, l’amende la plus élevée jamais prononcée au titre du RGPD demeure celle de 1,2 milliard d’euros infligée par l’autorité irlandaise àMeta Platforms IrelandLimited en 2023. L’émergence d’une nouvelle ère demenace cyber Entre le 28 janvier 2025 et le 27 janvier 2026, le nombre moyen quotidien de violations de données personnelles notifiées a augmenté de manière si- gnificative pour atteindre 443. Cela représente une hausse de 22 % par rapportaux363notificationsparjour de l’année précédente. Sans établir de lien de causalité direct, cette augmentation s’inscrit dans un contextemarquépardestensionsgéopolitiques accrues, l’émergence de menaces dopées à l’intelli- gence artificielle et une succession d’incidents cyber médiatisésayantentraînédesinterruptionsopération- nelles majeures pour des organisations mondiales. Cette évolution confirme l’existence d’unniveau iné- ditderisquecyberetsouligne,enconséquence,lané- cessité de faire de la sécurité et de la résilience opérationnelle des priorités stratégiques. Le rapport relève que les Pays-Bas, l’Allemagne et la Pologneconserventlespremièresplacesentermesde volume de violations de données notifiées sur la pé- riode allant du 28 janvier 2025 au 27 janvier 2026. Des amendesRGPDde 1,2milliard d’euros, dans la continuité de 2024 Entre le 28 janvier 2025 et le 27 janvier 2026, le mon- tant total des amendes RGPD infligées en Europe s’élève à environ 1,2 milliard d’euros. Ce chiffre est stableparrapportàl’annéeprécédente.Cettestabilité ne traduit pas un ralentissement de l’activité répres- sive,maisbienlemaintiend’unniveauélevéd’appli- cation du cadre réglementaire. Elle illustre la détermination constante des autorités de protection desdonnéesàprononcerdessanctionsfinancièressi- gnificatives, malgré certaines critiques formulées en dehors de l’Union européenne. Comme les années précédentes, les mesures de sanction ont largement ciblé lesgrandes entreprises technologiques et les ac- teurs des réseaux sociaux. Neuf des dix plus fortes amendes RGPD jamais prononcées concernent des organisations de ce secteur. Un spectre de contrôle de plus enplus large Si les grandes entreprises technologiques restent ex- posées aux sanctions les plus élevées, les régulateurs élargissent progressivement leur champ d’action à d’autres secteurs, notamment les services financiers, lestélécommunications,lesservicespublicsetlespres- tataires de services technologiques. Par ailleurs, si les transfertsdedonnéespersonnellesverslesÉtats-Unis ont constitué ces dernières années un axe majeur de l’activité répressive, l’année écoulée a vu l’émergence delapremièresanctionemblématiqueportantsurun transfert vers un pays tiers non américain. La Com- mission irlandaise pour la protection des données a ainsiinfligéuneamendede530millionsd’eurosàune entreprise de réseaux sociaux pour ne pas avoir ga- rantiunniveaudeprotectionessentiellementéquiva- lent à celui requis par le droit de l’Union européenne enmatièredeprotectiondesdonnéeslorsdutransfert dedonnéespersonnellesverslaChine.Cettedécision rappelle que, bien au-delà des flux transatlantiques, les restrictions du RGPD enmatière de transferts in- ternationaux constituent un enjeumondial. Lesautoritésontégalementcontinuéàconcentrerleur attention sur le respect des principes de licéité, de loyautéetdetransparence,ainsiquesurlasécuritédes données personnelles. Plusieurs sanctions significa- tives ont été prononcées en raison de mesures tech- niques et organisationnelles jugées insuffisantes. Olivier Reisch (cf. portrait), associé et responsable de la pratique protection des données et cybersécu- rité de DLA Piper au Luxembourg, commente : « Dansuncontextemarquépardes tensionsgéopo- litiquesaccruesetdescyberattaquestrèsmédiatisées, la forte hausse des violations de données person- nelles confirme que les organisations évoluent dés- ormaisdansunenvironnement de risque cyber sans précédent. Combinée à une vigilance réglementaire soutenue,cetteévolutionrenforcelanécessitédedis- poser d’une gouvernance solide et d’une résilience cyber renforcée. » Hausse spectaculaire des violations de données personnelles