DORA, 1 an après : Le bilan de santé que votre entreprise ne peut plus ignorer

Introduction : La fin de l'état de grâce

Nous y sommes. Cela fait exactement un an, depuis le 17 janvier 2025, que le Règlement (UE) 2022/2554, connu sous le nom de DORA (Digital Operational Resilience Act), est pleinement applicable.

L'année 2025 a été celle de la mise en conformité forcée. L'année 2026 sera celle des contrôles et des premières sanctions. Pour les Directions Générales, la période d'observation est terminée. La question n'est plus "Comment se mettre en conformité ?", mais "Notre conformité résistera-t-elle à la réalité d'une crise ?".

Beaucoup d'entreprises naviguent encore à vue, confondant la production de documents ("conformité papier") avec la capacité réelle de survie ("résilience opérationnelle"). Voici le bilan de santé sans concession que votre gouvernance doit affronter aujourd'hui.

1. Le Mythe de la "Conformité Papier" face à la réalité du terrain

Durant l'année écoulée, de nombreuses institutions financières ont accumulé des politiques et des procédures. C'est nécessaire, mais insuffisant. DORA n'est pas une norme de documentation, c'est une obligation de résultat.

Ce que dit le texte (Art. 24 & 25)

Le règlement impose un programme de tests de résilience opérationnelle numérique (Chapitre IV). Il ne s'agit pas de "penser" que vous êtes sécurisés, mais de le "prouver".

L'écart critique : Le "Plan de Continuité" (PCA) fantôme

Selon une étude du Disaster Recovery Institute, près de 30% des entreprises qui déclarent un sinistre majeur ne s'en remettent jamais, souvent parce que leur PCA était théorique.

• La question à poser au prochain Comex : "Quand avons-nous activé notre plan de secours pour la dernière fois en conditions réelles ?"

• Le danger : Si votre PCA repose sur des sauvegardes qui n'ont jamais été restaurées sur une infrastructure vierge, vous n'êtes pas conforme à DORA. Vous êtes en danger de mort.
  

2. Responsabilité des Dirigeants : L'Article 5 change la donne

C'est le pivot juridique du règlement. DORA met fin à l'ère où le risque informatique était délégué exclusivement au DSI ou au CISO.

L'Article 5, Paragraphe 2 : La responsabilité ne se délègue pas

Le texte est sans équivoque : "L'organe de direction définit, approuve et supervise [...] le cadre de gestion des risques liés aux TIC". Plus important encore, les États membres peuvent désormais engager la responsabilité pénale et civile personnelle des dirigeants en cas de manquement à ces obligations de surveillance.

Les deux nouvelles obligations du Mandataire Social

1. L'Implication Active : Vous ne pouvez plus vous contenter de valider un budget. Vous devez arbitrer le niveau de tolérance au risque.

2. La Formation Obligatoire (Art. 5, Paragraphe 4) : Les membres de l'organe de direction sont tenus de "suivre une formation spécifique" pour acquérir les connaissances suffisantes pour comprendre et évaluer les risques TIC.

3. La Leçon "CrowdStrike" : Vos Tiers sont votre talon d'Achille

L'incident mondial de juillet 2024, provoqué par une mise à jour défectueuse de CrowdStrike, a paralysé des banques, des compagnies aériennes et des hôpitaux. Cet événement a été la "bande-annonce" de ce que DORA cherche à prévenir via son Chapitre V (Gestion des risques liés aux prestataires tiers).

Le contrôle des "Tiers Critiques" (Art. 28)

DORA vous oblige à savoir ce qui se passe chez vos fournisseurs.

• La réalité : Votre entreprise est peut-être sécurisée, mais si votre hébergeur Cloud, votre fournisseur de SaaS RH ou votre prestataire de paiement tombe, vous tombez avec lui.

• L'exigence DORA : Vous devez disposer d'une stratégie de sortie (Exit Strategy). Si votre fournisseur critique fait faillite ou échoue techniquement, avez-vous une alternative activable sans interruption majeure de service ?

Le Bilan à faire : Avez-vous cartographié toutes vos dépendances critiques ? Si vous répondez "Je pense", c'est non. DORA exige un Registre d'Information précis et auditable.

4. Résilience vs Protection : Ne vous trompez pas de combat

C'est la distinction philosophique majeure de DORA.

• La Protection (Cybersecurity) : C'est construire des murs plus hauts pour empêcher les barbares d'entrer.

• La Résilience (DORA) : C'est accepter que les barbares entreront un jour, ou qu'un incendie se déclarera, et s'organiser pour continuer à travailler pendant la crise.
  

Le test du "RTO" (Recovery Time Objective)

Votre bilan de santé tient en une question simple :

Si la réponse est "Nous ferons au mieux", vous n'êtes pas conforme. DORA exige des délais de rétablissement définis et testés.

Dans une économie où chaque seconde d'indisponibilité érode la confiance, la résilience devient un avantage concurrentiel. Une banque qui redémarre en 4 heures captera les clients de celle qui reste bloquée 4 jours.

Conclusion : De la contrainte à l'excellence

Un an après l'entrée en vigueur, DORA a cessé d'être un projet informatique pour devenir un pilier de la stratégie d'entreprise. Les dirigeants qui embrassent ce changement transforment une contrainte réglementaire en un levier de confiance client. Ceux qui l'ignorent jouent à la roulette russe avec leur mandat social.

Ne laissez pas l'incertitude planer sur votre gouvernance.

Vous souhaitez évaluer la maturité réelle de votre résilience face aux exigences de l'Article 24 et 25 ? Safercy accompagne les Directions Générales pour transformer la conformité DORA en excellence opérationnelle.

Sources et Références Légales :

• Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 (DORA).

• Article 5 : Gouvernance et organisation.

• Article 24 : Exigences générales relatives aux tests de résilience opérationnelle numérique.

• Article 28 : Principes généraux de gestion des risques liés aux prestataires tiers de services TIC.

• IBM Security, "Cost of a Data Breach Report 2023/2024".

• Disaster Recovery Institute International (DRII), Statistiques de reprise d'activité.