Le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) devient pleinement applicable. Pour les établissements financiers et les intermédiaires concernés, l’enjeu n’est pas seulement de “faire de la cybersécurité”. L’enjeu est de prouver, de façon structurée, que la résilience numérique est pilotée, testée, documentée et maîtrisée.
Les sanctions prévues par le cadre européen peuvent être importantes. Mais, dans la réalité, le risque principal n’est pas uniquement l’amende : ce sont les coûts indirects qui explosent en cas de retard (remédiation en urgence, perte de continuité, renégociation des prestataires, hausse des primes cyber, pression des contrôles et impact réputationnel). Pour une structure de courtage, ces coûts cachés se traduisent par un double effet : charge opérationnelle et perte de confiance.
➡️ Pour mesurer cet impact global : Le coût caché de la non-conformité DORA : au-delà des amendes.
Pourquoi tant d’acteurs se retrouvent en retard
Sur le terrain, le retard DORA vient rarement d’un “manque de bonne volonté”. Il vient d’un mécanisme très classique : les chantiers IT sont déjà saturés, les priorités changent vite, et la conformité DORA impose des exigences transversales (SI, risques, achats, juridique, continuité, prestataires). Résultat : beaucoup d’organisations avancent par morceaux, sans pilotage unifié, et découvrent trop tard que le plus difficile n’est pas la mise en place… mais la preuve.
Le bon diagnostic est simple : si un contrôle démarre demain, l’organisation doit pouvoir répondre clairement à trois questions :
-
Quels sont les services numériques critiques ?
-
Quels sont les risques ICT majeurs, et comment sont-ils réduits ?
-
Quels éléments prouvent que la résilience est testée et gouvernée ?
Si les réponses existent mais restent “éparpillées”, l’objectif des prochains mois n’est pas de créer un dossier parfait : l’objectif est de structurer et prioriser avec un plan cohérent et traçable.
DORA en pratique : les 5 piliers à sécuriser
DORA repose sur une logique très opérationnelle. Le texte peut être dense, mais l’exécution se résume à cinq piliers :
-
Gouvernance et gestion des risques ICT
-
Gestion des incidents et obligations de déclaration
-
Tests de résilience opérationnelle (PCA/PRA, exercices, tests)
-
Gestion des prestataires TIC (tiers critiques, clauses, auditabilité, réversibilité)
-
Partage d’information / coopération (selon le profil et l’écosystème)
Ces piliers se tiennent ensemble : une gouvernance solide sans tests ne suffit pas ; des tests sans pilotage ni preuves ne suffisent pas ; une excellente sécurité interne ne suffit pas si les prestataires restent hors cadre.
Le point qui fait la différence : DORA est une obligation de preuves
Beaucoup d’équipes pensent : “Nous avons des mesures.” DORA exige : “Montrez-les.”
Les difficultés réelles apparaissent presque toujours sur les mêmes sujets :
-
procédures écrites mais jamais exercées ;
-
incidents gérés “à chaud” sans registre exploitable ;
-
responsabilités peu claires (qui décide, qui valide, qui arbitre) ;
-
prestataires non encadrés (contrats sans clauses de résilience) ;
-
documentation dispersée, donc preuves difficiles à produire.
En résumé : l’organisation peut être “plutôt robuste”, mais rester “faible” en contrôle si elle ne peut pas démontrer sa maîtrise.
Les 7 chantiers prioritaires (version terrain)
Voici une check-list simple, utilisée en pratique pour sécuriser rapidement les éléments les plus attendus.
1) Cartographie des services et actifs ICT critiques
L’objectif n’est pas d’avoir un inventaire administratif. L’objectif est de relier : service critique → systèmes → dépendances → prestataires → plans de continuité.
2) Plan de continuité réellement testé
Un PCA/PRA doit être testé (même si tout n’est pas parfait), avec un compte rendu : écarts, actions, responsable et échéance.
3) Process incident : détection → qualification → décision → preuves
Le registre d’incidents doit permettre de démontrer : nature, impact, délai, décisions prises, actions correctives.
4) Mise sous contrôle des prestataires TIC critiques
C’est souvent le chantier le plus coûteux. Il faut cibler d’abord les prestataires “critiques” et sécuriser les clauses minimales : auditabilité, incidents, continuité, sous-traitance, réversibilité.
5) Sécurisation des accès sensibles
Sans entrer dans la technique : l’organisation doit montrer qu’elle contrôle les accès à privilèges, les délégations, et qu’elle audite régulièrement.
6) Gouvernance : décisions et pilotage traçables
Comités, PV, plan d’action, suivi, arbitrages. Le contrôle doit “voir” que le sujet est piloté au bon niveau.
7) Dossier de preuves prêt à produire
Un classeur (ou espace documentaire) clair, organisé, consultable. Le jour du contrôle, ce point évite la panique.
Prestataires TIC : la zone où la facture explose en cas de retard
DORA met un focus fort sur les tiers. Or, dans de nombreuses structures, les contrats SaaS/IT sont historiques, mal alignés avec les exigences de résilience, et parfois non négociables en dernière minute. Le risque, ici, n’est pas seulement la non-conformité : c’est la migration d’urgence (CRM, outil de signature, cloud, paiement, etc.), qui est généralement plus coûteuse, plus risquée et plus longue.
La méthode la plus efficace consiste à classer les prestataires en trois catégories (A/B/C) et à traiter d’abord :
-
les prestataires qui portent la continuité des services critiques,
-
les prestataires qui concentrent les données sensibles,
-
les prestataires dont la sortie serait longue ou difficile.
Plan de bataille : une feuille de route en 90 jours
L’objectif n’est pas de “tout refaire” en 3 mois. L’objectif est de passer d’un retard subi à un plan maîtrisé.
Semaines 1–2 : cadrage et diagnostic flash
-
périmètre DORA et services critiques
-
liste des prestataires critiques
-
gouvernance (pilote, sponsor, RACI)
-
plan d’action priorisé et chiffré
Semaines 3–8 : sécurisation des fondamentaux
-
politiques et procédures essentielles (incident, continuité, tiers)
-
cartographie et dépendances
-
premières mises à jour contractuelles sur les prestataires critiques
-
plan de tests défini
Semaines 9–12 : preuves, test et “verrouillage”
-
premier exercice de résilience avec compte rendu
-
mise en place d’un registre incidents exploitable
-
dossier de preuves structuré (ce qui sera présenté en contrôle)
-
ajustement du plan d’action
Ressource utile pour renforcer la culture “preuve et traçabilité”
Même si DORA est un texte orienté numérique, la logique conformité reste identique : information, méthode, traçabilité. Sur les sujets proches du conseil et de la conformité opérationnelle, une mise à niveau DDA peut aider à structurer les réflexes et la documentation.
👉 Formation DDA Assurance : https://www.formera.fr/formations/formation-dda-assurance/
À lire aussi (sélection courte)
Conclusion : la résilience digitale doit être pilotée et prouvée
DORA marque un changement durable : la résilience opérationnelle devient une exigence structurante, au même titre que les obligations prudentielles. Les organisations qui s’en sortiront le mieux ne seront pas celles qui “multiplient les documents”, mais celles qui démontrent une maîtrise simple : une gouvernance claire, des prestataires encadrés, des tests réalisés, un registre d’incidents exploitable et un dossier de preuves prêt.
Agir maintenant permet de réduire fortement la facture, car ce qui coûte le plus cher en conformité, c’est l’urgence et l’improvisation. La priorité est donc claire : structurer, prioriser, tester, documenter.
À lire aussi : LCB-FT : les nouvelles sanctions qui terrorisent les banques en 2024
