Un an après DORA : sommes-nous réellement « résilients » ?

Un an après l’entrée en vigueur de DORA (janvier 2025), les projets de conformité avancent chez la plupart des acteurs financiers. Reste une question cruciale : la capacité à démontrer, preuves à l’appui, une résilience opérationnelle numérique effective dans la durée, au-delà de la seule conformité réglementaire. 

Des attentes déjà formulées dès 2021, désormais encapsulées dans DORA

Contrairement à une perception encore répandue, DORA n’a pas créé de nouvelles attentes. Dès 2021, les superviseurs européens et nationaux exprimaient déjà des exigences claires en matière de continuité et résilience des systèmes d’information, gestion des risques TIC, maîtrise des prestataires, capacité de détection, de classification et de reporting des incidents opérationnels majeurs.

Ces attentes figuraient notamment dans les lignes directrices des autorités européennes, dans les pratiques de supervision nationales.

DORA joue avant tout un rôle d’encapsulation, d’harmonisation et de mise en cohérence de ces exigences existantes, en les inscrivant dans un cadre réglementaire unique, contraignant et transversal à l’échelle européenne.

Où en sont réellement les acteurs un an après ?

Un an après l’entrée en application de DORA, peu d’établissements se considèrent pleinement prêts.

Cette réalité dépasse largement le cadre français. Au Luxembourg, par exemple, un récent exercice mené par le superviseur local montre qu’une écrasante majorité des établissements interrogés restent en chemin vers la conformité complète. Les retours mettent en lumière deux difficultés majeures : d’une part, la reconstitution d’une cartographie fiable des fournisseurs TIC, souvent fragmentée entre plusieurs directions ; d’autre part, la renégociation des clauses contractuelles, notamment en matière de droits d’audit et d’accès aux informations, qui s’avère particulièrement délicate lorsqu’il s’agit de prestataires cloud globaux.

De nombreux retours de terrain mettent en évidence un décalage récurrent entre une conformité essentiellement documentaire, souvent bien avancée (politiques, procédures, cadres méthodologiques), et une capacité opérationnelle encore partielle à démontrer une résilience effective, notamment au travers de preuves concrètes, de tests réguliers et de mécanismes maintenus dans la durée.

Ce décalage n’est pas surprenant : DORA ne se limite pas à la production de documents, mais impose des dispositifs vivants, éprouvés et continuellement améliorés, inscrits dans le fonctionnement réel des organisations.

Le rôle croissant des outils dans la mise en conformité

Face à cette complexité, de plus en plus d’acteurs font le choix de s’appuyer sur des outils dédiés pour industrialiser leur démarche DORA.

Nous constatons notamment :

• Un recours accru à des solutions spécialisées pour la collecte, la qualification et le reporting des incidents TIC, facilitant la tenue du registre des incidents opérationnels et assurant cohérence et traçabilité ;
• L’utilisation d’outils permettant de cartographier les actifs et processus critiques, d’évaluer les risques TIC et de suivre dans la durée la performance et les risques des prestataires.

Ces outils prennent tout leur sens lorsqu’ils sont intégrés dans une démarche globale, structurée et pilotée.

2025-2026 : supervision active et renforcement de la résilience

En 2025, les autorités, avec l’ACPR en tête, ont lancé les premiers contrôles DORA, marquant l’entrée du secteur financier dans une phase de supervision active. La question n’est plus seulement « sommes-nous alignés ? », mais « pouvons-nous démontrer concrètement notre conformité et notre résilience ? ». Les exigences en matière de preuves, de documentation et de cohérence des dispositifs s’intensifient.

Au-delà des contrôles, les attentes de supervision vont se renforcer à horizon 2026, notamment sur le reporting et la transparence des risques TIC. Plusieurs dispositifs complémentaires traduisent cette exigence : le registre d’information DORA (RoI), qui impose une vision exhaustive des prestataires TIC critiques ou importants ; le Rapport Régulier au Contrôleur (RSR), reporting prudentiel renforcé intégrant les attentes de gouvernance et de gestion des risques opérationnels en cohérence avec DORA ; et le rapport de réexamen du cadre de gestion des risques TIC, qui évalue régulièrement l’adéquation, l’efficacité et la maturité du dispositif face aux menaces et incidents. Pris ensemble, ces exercices traduisent une attente claire des autorités : disposer d’une vision cohérente, consolidée et démontrable de la maîtrise des risques TIC, au-delà de simples obligations déclaratives.

Un an après DORA, le secteur financier a indéniablement progressé grâce à des cadres clarifiés et une supervision plus structurée. Néanmoins, la résilience opérationnelle numérique se construit dans la durée et repose sur des tests réguliers et réalistes, des retours d’expérience formalisés, des réexamens périodiques du cadre de gestion des risques TIC, et une gouvernance capable d’arbitrer et de piloter dans un environnement numérique en constante évolution.

 

En conclusion,

DORA doit être appréhendé comme un levier de transformation durable, et non comme un simple exercice de conformité.
L’enjeu des prochaines années sera de démontrer de manière crédible, cohérente et continue la capacité des organisations à anticiper, absorber et surmonter des incidents TIC réels.

Dans ce contexte, nous accompagnons les établissements financiers pour structurer et mettre en œuvre leur résilience opérationnelle numérique, afin qu’elle soit solide, efficace et directement opérationnelle. 

 

Lire la suite ici : Un an après DORA : sommes-nous réellement « résilients » ? (source : News Assurances Pro - Media Indépendant des assureurs, mutuelles et institutions de prévoyance)