Conformité DORA et gestion des tiers : les premiers enseignements d'une mise en œuvre complexe
En Bref : bilan de la conformité DORA 8 mois après son entrée en application
La réglementation DORA est entrée en vigueur il y a près d’un an (janvier 2025)
Elle implique une transformation profonde de la gestion des risques numériques.
Les organisations qui sont parvenues à anticiper le changement sont en progression tandis que les autres sont sous pression.
Les 5 enseignements essentiels :
Gouvernance transversale obligatoire : DORA nécessite l'implication de la direction générale et un responsable dédié avec autorité transverse
Documentation exhaustive requise : Registres des tiers, clauses contractuelles, analyses de risques - la charge est considérable
Outillage indispensable : Les outils basiques montrent vite leurs limites face à des centaines de prestataires à gérer
Chaîne de sous-traitance complexe : La visibilité complète reste difficile, particulièrement avec les géants du cloud
Accompagnement expert recommandé : L'expertise externe accélère significativement la mise en conformité
La conformité DORA n'est pas un projet IT classique mais un processus continu de transformation qui peut devenir un avantage compétitif.
Un défi majeur pour le secteur financier
Huit mois après l'entrée en vigueur du règlement DORA (Digital Operational Resilience Act), la conformité DORA s'impose comme l'un des chantiers les plus structurants pour le secteur financier et assurantiel. Loin d'être une simple formalité administrative, ce règlement exige une transformation profonde des pratiques de gestion des risques numériques, particulièrement dans la relation avec les prestataires de services TIC.
La Robe Numérique a récemment organisé une table ronde réunissant des acteurs majeurs du secteur pour dresser un premier bilan concret de cette démarche. Les enseignements révèlent un chantier de transformation qui dépasse largement le cadre d'une simple mise à jour des dispositifs de contrôle interne.
1. Gouvernance : le pilier fondamental de la résilience numérique
Une refonte complète de la gouvernance des risques
Le règlement exige une refonte complète de la gouvernance des risques numériques.
Les cinq piliers – gestion des risques TIC, gestion des incidents, tests de résilience opérationnelle numérique, gestion du risque lié aux tiers et partage d'informations – ne peuvent être traités de manière isolée.
Les établissements qui progressent le plus rapidement sont ceux qui ont compris que DORA n'est pas un projet IT classique. C'est un levier de transformation qui impose :
• L'implication directe de la direction générale
• La mobilisation transversale des métiers
• Une coordination étroite entre conformité, cybersécurité, DSI et achats
Le rôle clé du responsable dédié
Les retours d'expérience révèlent que les organisations ayant nommé un responsable dédié au pilotage, doté d'une autorité transverse et d'un mandat clair, ont considérablement accéléré leur démarche. Sans cette gouvernance renforcée, les initiatives restent dispersées et les silos persistent.
2. Documentation et formalisation : l'exigence de preuve
Une rupture avec les approches déclaratives
Le règlement marque une rupture nette avec les approches déclaratives traditionnelles. Il impose désormais une capacité à démontrer, preuves à l'appui, la maîtrise effective des risques numériques.
La charge documentaire requise est considérable :
• Registres des tiers prestataires
• Clauses contractuelles types
• Plans d'assurance sécurité
• Analyses de risques périodiques
• Rapports d'incidents détaillés
Construire un référentiel vivant
Au-delà de la contrainte, cette formalisation systématique révèle souvent des zones d'ombre dans les dispositifs existants. L'enjeu n'est pas uniquement de produire des documents pour satisfaire le régulateur, mais de construire un référentiel vivant, actualisé en continu, qui permette une véritable maîtrise opérationnelle des risques.
3. Outillage : du tableur aux solutions dédiées
L'importance des outils adaptés
Face à l'ampleur du chantier, la question de l'outillage s'impose rapidement. Les retours d'expérience révèlent une grande diversité d'approches, du simple fichier Excel jusqu'aux plateformes intégrées de gestion des tiers et des risques.
Si les outils rudimentaires peuvent suffire initialement, ils montrent rapidement leurs limites dès qu'il s'agit de gérer des centaines de prestataires et d'automatiser les processus de contrôle.
L'Intelligence artificielle au service de la résilience
Plusieurs établissements expérimentent l'intelligence artificielle pour optimiser leur démarche :
Analyse automatique des contrats existants
Identification des clauses manquantes
Cartographie automatique des flux de sous-traitance
Ces initiatives, encore exploratoires, pourraient constituer un levier significatif de performance dans les mois à venir.
4. Principe de proportionnalité : une application complexe
Comment définir la proportionnalité ?
L'application du principe de proportionnalité constitue l'un des points les plus débattus. Comment définir concrètement cette approche graduée dans le traitement des prestataires ?
Les critères à considérer incluent :
La criticité du service rendu
Le niveau de dépendance de l'établissement
La sensibilité des données traitées
La substituabilité du prestataire
Matrices de criticité et approche par risques
Les établissements élaborent des matrices de criticité pour classer leurs prestataires et adapter les exigences : fréquence des audits, intensité des contrôles, clauses contractuelles spécifiques.
Cette proportionnalité ne doit toutefois pas devenir un alibi pour l'inaction. Les prestataires réellement critiques doivent faire l'objet d'une vigilance maximale.
5. Gestion de la chaîne de sous-traitance : un défi majeur
La complexité de la visibilité en cascade
Le règlement impose de maîtriser non seulement les prestataires directs, mais également la chaîne de sous-traitance en cascade. Cette exigence se heurte à de multiples obstacles pratiques.
Combien de prestataires sont réellement en mesure de fournir une cartographie exhaustive et actualisée de leurs propres sous-traitants ? La transparence complète reste un objectif difficile à atteindre, particulièrement avec les grands acteurs du cloud.
Approche pragmatique et ciblée
Les établissements les plus avancés imposent contractuellement à leurs prestataires critiques de déclarer et documenter leurs principaux sous-traitants. La solution réside dans une approche pragmatique : identifier les maillons les plus critiques de la chaîne et exiger une transparence maximale sur ces points précis.
6. Renégociation Contractuelle : La Stratégie Progressive
Le défi du stock contractuel existant
L'un des défis pratiques majeurs concerne la mise à jour du stock contractuel existant. Comment intégrer les nouvelles clauses dans des centaines, voire des milliers de contrats en cours ?
Le consensus est clair : la renégociation exhaustive est matériellement impossible. Les établissements adoptent donc une stratégie progressive :
Intégration systématique des clauses dans tous les nouveaux contrats
Renégociation ciblée des contrats critiques arrivant à échéance
Utilisation d'avenants légers pour les relations de longue durée
Cette approche pragmatique permet d'avancer sans paralyser l'activité, mais impose une gestion fine des priorités.
7. Audits et certifications : au-delà des standards
Les limites des certifications classiques
Le règlement renforce considérablement les exigences en matière de tests de résilience et d'audit de sécurité. Peut-on se reposer uniquement sur les certifications ISO ou les attestations fournisseurs ?
Les retours d'expérience sont nuancés. Une certification ISO 27001, aussi solide soit-elle, ne renseigne pas nécessairement sur la capacité d'un prestataire à gérer un incident majeur impliquant votre établissement.
L'approche multi-dimensionnelle
L'approche efficace combine plusieurs dimensions :
Valoriser les certifications existantes comme point de départ
Exiger des assurances de sécurité complémentaires adaptées
Conserver la possibilité de réaliser des audits ciblés sur les prestataires critiques
Envisager la mutualisation d'audits entre clients d'un même prestataire
L'émergence de portails de transparence, où les prestataires mettraient à disposition de manière centralisée leurs preuves de conformité, constitue une piste prometteuse pour rationaliser ces processus.
8. Ressources Humaines : le maillon essentiel
La disponibilité et la montée en compétences
Au-delà des outils et des processus, le règlement révèle un enjeu fondamental : la disponibilité et la montée en compétences des équipes. Les fonctions conformité et cybersécurité sont déjà fortement sollicitées par un empilement réglementaire croissant.
Les établissements qui réussissent sont ceux qui ont anticipé ces besoins en ressources, soit par des recrutements ciblés, soit par des réorganisations permettant de dégager du temps sur ces sujets prioritaires.
Formation et transformation culturelle
La démarche ne peut être portée uniquement par les experts conformité et cybersécurité. Les métiers, les responsables de projets, les acheteurs doivent tous intégrer cette dimension dans leurs pratiques quotidiennes. Cette transformation culturelle nécessite un accompagnement managérial fort.
9. DORA, catalyseur de maturité cyber
Les huit premiers mois d'application confirment que le règlement constitue un véritable levier de transformation et de montée en maturité cyber pour l'ensemble de l'écosystème financier.
En imposant une approche structurée de la résilience numérique, DORA oblige les établissements à sortir de leur zone de confort. Les zones grises sont révélées, les pratiques approximatives remises en question, les dépendances critiques identifiées.
Les bénéfices concrets
Les établissements qui choisissent de voir cette transformation comme une opportunité en tirent déjà des bénéfices concrets :
Meilleure maîtrise des risques numériques
Relations fournisseurs plus structurées
Capacité de réaction améliorée en cas d'incident
Dialogue renforcé avec les autorités de supervision
10. L'accompagnement expert : un accélérateur décisif
Un investissement stratégique
Face à la complexité et à l'ampleur du chantier, de nombreux établissements réalisent qu'un accompagnement spécialisé n'est pas un luxe mais un investissement stratégique. L'expertise externe apporte plusieurs valeurs ajoutées décisives :
Connaissance fine et actualisée des attentes réglementaires
Capacité à accélérer les chantiers grâce à des méthodologies éprouvées
Regard externe objectif capable d'identifier les angles morts
Optimisation de l'allocation des ressources internes
L'accompagnement expert permet de concentrer les équipes sur les enjeux stratégiques et de déléguer les aspects méthodologiques à des spécialistes aguerris. Dans un contexte de tensions fortes sur les ressources humaines, cette optimisation peut faire toute la différence entre un projet qui s'enlise et une mise en œuvre réussie dans les délais.
Conclusion : anticiper pour mieux piloter
Huit mois après l'entrée en vigueur du règlement, le bilan est clair : les établissements qui ont anticipé et structuré leur démarche progressent significativement, tandis que ceux qui ont tardé se trouvent désormais sous pression. Les premiers contrôles des autorités de supervision ne tarderont pas.
La conformité DORA n'est pas un état à atteindre mais un processus continu d'amélioration et d'adaptation. La résilience numérique se construit jour après jour, par des choix stratégiques éclairés, des investissements ciblés et une vigilance constante.
Les dirigeants qui souhaitent transformer cette contrainte réglementaire en avantage compétitif disposent aujourd'hui des retours d'expérience, des méthodologies et des expertises nécessaires pour accélérer leur démarche. Le temps de l'attentisme est révolu.
Votre organisation fait face aux défis de la mise en conformité DORA ? Les experts de La Robe Numérique vous accompagnent dans la structuration de votre démarche, l'outillage de vos processus et la montée en maturité de vos équipes. Contactez-nous pour échanger sur vos enjeux spécifiques.