
- Accueil
- Cybersécurité
- DORA : une révolution structurelle est en marche
DORA : une révolution structurelle est en marche


Applicable depuis le 17 janvier dernier, DORA (« Digital Operational Resilience Act ») vise à renforcer la résilience opérationnelle des institutions financières face aux risques liés aux technologies numériques. Ce règlement européen impose des obligations pour garantir la continuité des services critiques, une gestion rigoureuse des cyber-risques et une surveillance des tiers.
Des niveaux de cyber-maturité très différents d’une organisation à une autre
La question que tout le monde se pose est de savoir si les entreprises soumises à cette nouvelle réglementation sont prêtes. Pour Cyril Amblard-Ladurantie, GRC senior product marketing manager chez Mega International, la réponse est : « Clairement pas ! ». « Des chantiers ont été démarrés mais, selon les études que je peux lire, seuls 20 % des acteurs financiers sont prêts. Il reste encore de nombreuses étapes à franchir. Les organisations ont selon moi sous-estimé le chantier. DORA implique une véritable transformation structurelle. Il faut presque mettre en place une organisation dédiée pour gérer DORA. Ce n’est pas une conformité comme une autre. DORA touche plusieurs départements dans l’entreprise : l’IT, la cybersécurité, les achats, les risques, la conformité… Mettre toutes ces personnes autour de la table est un vrai défi », explique-t-il.
Pour Cyril Dupouey, Consultant MOA et Directeur des expertises finance et risques chez Meritis, c’est au niveau de la gouvernance que le bât blesse : « Dans l’ensemble, les institutions financières ont débloqué pas mal de budget et de ressources, mais c’est au niveau de la gouvernance qu’il reste encore beaucoup de choses à faire. Il ne s’agit pas d’un sujet unique qui est traité une fois pour toutes mi-janvier 2025, mais d’un dossier au long cours. Les autorités de tutelle vont en effet régulièrement informer les établissements financiers des nouvelles menaces. Il faudra donc être à jour en permanence et constamment tester la résilience des systèmes d’information. La gouvernance va donc devoir être déclinée en continu, ce qui va créer des postes au sein des grandes entreprises pour suivre ces sujets », expose-t-il.
Chez Allianz, Carlos Garcia, Responsable de la sécurité des systèmes d’Information (RSSI), joue la carte de la franchise : « Nous ne sommes pas conformes à 100 %, car le calendrier (18 mois) a été très serré. Mais nous n’avons pas non plus de trous béants dans notre conformité. L’ensemble des processus sont déjà en place, mais la particularité de DORA est d’avoir – pour les applications importantes ou critiques – des exigences bien supérieures à ce qui existait auparavant », relate-t-il.
Le RSSI compare DORA à NIS1 : « Alors que NIS1 était vu comme un programme de cybersécurité, DORA est piloté par un comité transverse. Dans ce comité se trouvent plusieurs fonctions clés comme la conformité et le juridique. DORA transforme l’entreprise en profondeur, en termes notamment de gouvernance, même si nous sommes, dans le secteur financier, mieux lotis que d’autres en termes de cyber-maturité. DORA participe à la montée en maturité de nombreuses entreprises du fait de l’exigence de déclaration. Pour de nombreux acteurs financiers, il va falloir aller plus vite et avoir une bonne vue des risques déjà présents », avance-t-il.
DORA : des exigences sur lesquelles il faut monter en compétences
DORA comporte des exigences sur lesquelles de nombreux acteurs du secteur financier vont devoir monter en compétences. « Les entreprises concernées par DORA vont devoir détecter les activités anormales sur leur réseau informatique, être en mesure de partager aux autorités (ANSSI) des renseignements liés aux cybermenaces qui les concernent, garantir la sécurité des transferts de données, en interne et avec les parties prenantes, et sécuriser leur écosystème en mettant en place des procédures et des outils avec leurs fournisseurs et clients », déclare Pierre Rangdet, Directeur des opérations de LockSelf.
« Les niveaux de maturité sont différents en fonction des structures. Certaines sont déjà prêtes, car conformes à la certification ISO 27001 par exemple, mais certaines autres le sont moins. Une chose est sûre, l’ensemble du secteur n’est pas prêt, cela prend du temps et nécessite des investissements parfois assez lourds », ajoute-t-il.
Cette différence de maturité se retrouve aussi en interne, au sein même des organisations. « Certaines directions sont déjà matures en matière de cybersécurité, comme par exemple le département marketing. Mais d’autres le sont beaucoup moins. Certains business owners n’ont par exemple pas eu d’exercice de continuité d’activité ou de tests d’intrusion sur une de leurs applications depuis deux ans, et cela ne les a pas choqués. DORA remet ces sujets sur le haut de la pile et invite à davantage de dialogue entre la DSI et les entités métiers, dialogue qui n’avait lieu qu’épisodiquement jusqu’à présent », commente Carlos Garcia.
La question du dialogue et de la communication est également vue comme centrale par Cyril Amblard-Ladurantie : « Tout risque cyber est un risque métier. Le plus gros challenge de DORA est donc de faire communiquer des gens qui ont l’habitude de travailler en silos : DSI / RSSI d’un côté et métiers / direction générale de l’autre. Les dirigeants doivent donc être en capacité d’appréhender et d’estimer le risque cyber sur leur entreprise, tandis que les RSSI / DSI doivent être capables de parler le même langage que la direction et les métiers. C’est là que nous intervenons avec de l’outillage, car être sur un référentiel commun, déjà normé, permet de mieux se comprendre ».
Autre changement majeur apporté par DORA : l’approche par les risques métiers. « Avec DORA, comme avec NIS2 d’ailleurs, les entreprises doivent démarrer par une réflexion sur les risques et la manière de sécuriser leurs processus cœur de métier. Cela contraste avec ce qu’elles ont l’habitude de faire. Les RSSI, qui ont la plupart du temps assez peu de visibilité sur la partie métier, sont dans une course à la sécurisation qui ne fait pas forcément la différence entre les processus vitaux et connexes. L’approche par les risques est un changement de paradigme complet, car les entreprises doivent faire démarrer leurs réflexions depuis les risques métiers et non depuis les risques cyber. Avec DORA, il faut être en capacité de savoir, si un risque métier se matérialise, si l’entreprise peut poursuivre son activité ou non. Et si elle ne le peut pas, quels seront les effets domino sur ses partenaires et sur l’ensemble de l’écosystème financier », conclut Cyril Amblard-Ladurantie.
la newsletter
la newsletter