Le Digital Operational Resilience Act (DORA) est un règlement européen conçu pour renforcer la résilience des entités financières face aux risques IT et de cybersécurité. Son objectif est ambitieux : il s’agit d’améliorer la capacité des entreprises à anticiper et à gérer les crises tout en optimisant leur résilience opérationnelle.
Pour en savoir plus sur les détails de la réglementation, vous pouvez consulter cet article : Que signifie DORA pour la résilience des organisations financières ?
Le 17 janvier 2025, échéance clé, marque la date théorique de mise en conformité des entités financières. Elle annonce également le début des opérations de contrôle par les autorités de tutelle.
Dans ce contexte, Damien LACHIVER et Etienne BOUET, Senior Managers chez Wavestone et experts en mise en conformité DORA, forts de nombreux projets d’accompagnement auprès d’entités du CAC40, partagent leur vision des enjeux pratiques et des opportunités liés à cette réglementation, ainsi que les attentes des régulateurs et les actions essentielles pour s’y préparer efficacement.
En quoi la réglementation DORA ne se limite-t-elle pas à une simple conformité réglementaire ?
E.BOUET : DORA ne doit pas être perçue uniquement comme une question de conformité à un texte. Certes, il y a des exigences réglementaires à respecter, mais le véritable enjeu réside dans la résilience. La question à se poser est : comment la conformité à DORA peut-elle concrètement améliorer la résilience opérationnelle ? Ce lien n’est pas toujours évident. Par exemple, les analyses d’écart ou les audits en cybersécurité montrent qu’il existe encore des failles, et qu’être conforme ne suffit pas si cela ne s’accompagne pas d’une réelle optimisation de la résilience.
D.LACHIVER : Beaucoup d’entités restent encore dans une logique de conformité, car les attentes de DORA concernent des domaines déjà bien établis, comme la cybersécurité, la continuité d’activité et la gestion des risques IT. Les grandes structures, en particulier, bénéficient déjà d’un taux de conformité élevé grâce à des décennies d’expérience.
Cependant, après cette phase de conformité, il est crucial de se tourner vers la remédiation et l’anticipation, avec la mise en œuvre de chantiers qui ne seront pas fondamentalement différents des programmes historiques déjà été initiés. La vraie perspective est de se demander quels nouveaux scénarios ou solutions peuvent renforcer la résilience.
Quels sont les scénarios critiques à intégrer pour améliorer la résilience ?
D.LACHIVER : Deux scénarios majeurs nécessitent une attention particulière et des investissements :
– La perte totale de l’IT interne : comment rétablir et reconstruire entièrement les systèmes d’information après une cyberattaque de grande ampleur ?
– La perte soudaine d’un tiers critique : que se passe-t-il si je perds un partenaire/prestataire dont l’interruption d’activité impacte structurellement mon activité ?
E.BOUET : La dépendance croissante aux tiers n’a pas encore été pleinement reconnue comme un risque majeur. Les scénarios associés ne sont pas suffisamment intégrés dans les priorités stratégiques, ce qui entraîne un manque d’investissements pour s’y préparer.
Les entités du secteur financier seront-elles prêtes pour le 17 janvier 2025 ?
E.BOUET : Il est peu probable que toutes les entreprises soient totalement prêtes d’ici janvier. Le marché, dans son ensemble, accuse un certain retard, bien que des progrès significatifs aient été réalisés. Notamment, les documents normatifs nécessaires à la conformité sont en grande partie finalisés, et les priorités ont été alignées avec les risques.
D.LACHIVER : En effet, la date du 17 janvier 2025 marquera davantage une étape qu’une finalité. La plupart des chantiers opérationnels, comme la gestion des tiers, restent encore à adresser et nécessiteront un effort continu.
Quels sont les principaux défis que pose la mise en œuvre de DORA ?
E.BOUET : Initialement, les défis consistaient à mobiliser une grande diversité d’acteurs : cybersécurité, gestion des risques, achats, juridique, métiers, IT… Les sujets abordés par DORA étaient déjà connus de ces filières, mais la réglementation vient renforcer les attentes et ajouter des exigences supplémentaires à des responsabilités déjà bien établies.
D.LACHIVER : Historiquement, ces sujets ont souvent été traités de manière fragmentée, en silos. Mais DORA exige de cranter de véritables progrès en termes de résilience, ce qui nécessite une approche plus cohérente et intégrée. Aujourd’hui, les deux grands chantiers qui se démarquent sont :
- La gestion des tiers, qui représente un défi colossal.
- La mise en place des TLPT (« Threat-Led Penetration Testing »), une nouveauté ambitieuse mais complexe.
Pourquoi la gestion des tiers est-elle un défi si important ?
E.BOUET : La gestion des tiers (TPRM ou « Third Party Risk Management ») est l’un des défis majeurs de DORA. Les tiers sont omniprésents, mais souvent mal maîtrisés. On ne sait pas toujours dire s’ils sont critiques ou non, et les relations manquent souvent de structure. Maîtriser sa dépendance aux tiers critiques, c’est du bon sens, mais cela va bien au-delà de la contractualisation : il faut connaître ses tiers, évaluer leur criticité et gérer cette dépendance de manière opérationnelle, ce qui reste un défi pour beaucoup.
D.LACHIVER : Historiquement, c’est un sujet souvent négligé, traité en silos entre les achats, la cybersécurité, la continuité, etc. Il manque une vision globale des risques liés aux tiers. L’objectif de DORA est justement de dépasser cette approche fragmentée pour bâtir une gestion cohérente et complète tout au long du cycle de vie des contrats.
Que signifie « tester les stratégies de sortie » avec les tiers critiques ?
D.LACHIVER : Tester les stratégies de sortie revient à anticiper ce qu’une entité ferait en cas d’interruption de la prestation d’un tiers, qu’elle soit volontaire ou subie. Par exemple, dans le cas d’une cyberattaque chez un prestataire, il peut être nécessaire de rompre la relation pour protéger son propre système d’information.
E.BOUET : Les tests sur table permettent d’évaluer la dépendance envers les tiers et de simuler, de manière théorique, les procédures à suivre face à différents scénarios. Ils encouragent également les entités à repenser leurs relations avec certains prestataires, notamment ceux qui ne sont pas capables de s’aligner sur les exigences de DORA.
En quoi le TLPT (Threat-Led Penetration Testing) représente-t-il un défi spécifique ?
D.LACHIVER : Le TLPT est l’une des grandes nouveautés introduites par DORA. Il consiste en des tests de pénétration dirigés par la menace, portés par le texte, le Framework théorique TIBER, et déclinés par les autorités nationales. Bien que le cadre théorique soit clair, la mise en pratique reste un défi, car ces tests ne sont pas courants dans le secteur financier. Leur volume limité (un test tous les trois ans) et les moyens du régulateur permettent de relativiser leur urgence, bien qu’ils soient essentiels pour renforcer la résilience.
E.BOUET : Ces tests soulèvent encore de nombreuses questions, car ils imposent une approche inédite pour certains acteurs, souvent moins matures sur ce type d’exercice. Aujourd’hui, nous sommes dans une phase d’attente, avec quelques initiatives de tests à blanc. La mise en œuvre réelle dépendra de la planification du régulateur et des retours d’expérience qui émergeront lorsque les TLPT seront pleinement exécutés dans les mois à venir.
Comment DORA peut-elle transformer la gouvernance des risques IT ?
D.LACHIVER : DORA pousse à une approche unifiée des risques IT en brisant les silos entre les différentes filières, comme la cybersécurité, la continuité d’activité, ou les achats. Cela passe notamment par :
– L’harmonisation des terminologies et notions clés (par exemple, la notion de criticité doit être comprise de manière cohérente entre toutes les filières) pour optimiser et simplifier les discussions avec les métiers.
– Une évolution structurelle (comme le modèle CSO – Chief Security Officer) qui favoriserait une gouvernance commune des filières, permettant une prise de décision plus efficace et cohérente.
Quelles sont les exigences concrètes pour être conforme à DORA au 17 janvier 2025 et au-delà ?
E.BOUET : La première grande attente pour le 17 janvier est la capacité à identifier un incident majeur selon les critères de DORA et à le notifier au régulateur. Cela nécessite des processus opérationnels bien définis pour assurer une détection et une remontée d’informations rapides et efficaces. Cette exigence est légitime, compte tenu de l’historique des filières IT et sécurité dans un secteur habitué à gérer des incidents critiques.
D.LACHIVER : Ensuite, pour le 30 avril 2025, les entités financières devront produire un registre d’informations sur leurs tiers. Je pense que les organisations seront en mesure de fournir un registre à cette date. Cependant, cela nécessitera probablement un travail supplémentaire pour en améliorer la qualité et la complétude.
E.BOUET : Enfin, sur l’ensemble de l’année 2025, ce qui compte, c’est de prouver que les entités sont en mouvement. Les régulateurs attendent que les chantiers soient lancés, que les écarts identifiés soient progressivement corrigés, et que des avancées concrètes soient réalisées. Ce qui importe, c’est d’avoir une trajectoire claire et structurée pour répondre aux attentes de DORA.
Quels sont les gains à long terme attendus avec DORA ?
D.LACHIVER : DORA pourrait créer un cercle vertueux en renforçant la maîtrise des risques, la vision métier et la résilience opérationnelle du secteur. Elle incite les entités à aller au-delà de la conformité et à intégrer ces enjeux dans leur stratégie globale.
E.BOUET : Un des points clés est la responsabilité réaffirmée des organes de direction. Leur implication, notamment par la validation régulière des risques, renforce la prise de conscience globale et les investissements nécessaires pour améliorer la résilience.
D.LACHIVER : Cette relation entre les équipes opérationnelles et la direction aligne les priorités stratégiques et opérationnelles, ce qui favorise une dynamique d’amélioration continue. Cela donne également plus de poids aux équipes en charge des risques IT et soutient la transformation des organisations vers une meilleure résilience numérique.
Pour tout besoin d’accompagnement dans votre démarche de mise en conformité DORA, vous pouvez contacter :
Vous pouvez également consulter cet article pour en savoir plus sur les défis que pose DORA à l’approche de son entrée en application : 🔎 DORA : À moins de 2 mois de l’échéance, quels défis restent à relever pour les entités financières ?
