DORA : quels impacts après les six premiers mois de mise en conformité sur le terrain ?

James Hughes, VP Solutions Engineering and Enterprise CTO, Rubrik partage sa réflexion sur le sujet.

En janvier 2025, une étude menée par le cabinet Wakefield Research, révélait que les tensions pesant sur les entreprises dans le monde n’étaient pas toujours visibles. Outre un coût induit de mise en œuvre supérieur à un million d’euros pour 47 % des entreprises, 79 % des employés évoquent un impact sur leur santé mentale, et 58 % des RSSI, un stress accru. Ce n’était pas un secret : se préparer à DORA ne serait pas une mince affaire. Dès l’origine, les cinq piliers de DORA incluaient la gestion des risques liés aux TIC, la déclaration d’incidents, les tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers et le partage d’informations. Un engagement considérable pour toute organisation.

Depuis six mois, les institutions financières sont passées de la préparation à l’intégration active des exigences de DORA dans leurs opérations. Les premiers mois ont vu une attention particulière portée à la consolidation des cadres de gestion des risques TIC, veillant à ce qu’ils soient complets, documentés et surveillés en continu. Cela inclut les tâches comme la cartographie des actifs critiques, l’identification des vulnérabilités et la formalisation de l’appétence au risque.

Un changement notable entériné depuis, concerne la déclaration des incidents : Les entreprises doivent désormais se conformer à des exigences strictes de classification, notification et rapports détaillés d’incidents majeurs dans des délais courts. Cela exige d’affiner les processus, d’améliorer les outils de surveillance et d’instaurer des canaux clairs pour assurer une transmission rapide et fiable de l’information.

Une autre étape décisive concerne les tests de résilience, notamment les tests de pénétration pilotés par la menace (TLPT), très prescriptifs. Même si de nombreuses entreprises les avaient anticipés, la période post-mise en œuvre a vu l’exécution de simulations complexes mimant des attaques réelles. Ces tests évaluent non seulement les vulnérabilités, mais aussi la capacité à encaisser des perturbations et à s’en relever, poussant les équipes internes et les testeurs dans leurs retranchements.

La gestion des risques liés aux prestataires tiers est quant à elle désormais centrale. DORA exige des entités qu’elles supervisent tout le cycle de dépendance vis-à-vis de leurs prestataires critiques, incluant diligence rigoureuse, contrats solides et suivi continu de leur résilience. De nombreuses institutions ont réévalué leur écosystème de fournisseurs, identifié les dépendances critiques et parfois diversifié leurs prestataires pour réduire les risques de concentration. La pression réglementaire pousse elle aussi à exiger de ces fournisseurs plus de transparence et de garanties que jamais.

DORA touche pratiquement tous les aspects de l’activité : IT, cybersécurité, juridique, conformité, gestion des risques, opérations. L’impact humain est réel, incluant également la nécessité de formations, un élargissement des rôles et une montée en charge des talents.

Êtes-vous prêt en cas d’attaque ?

Une fois l’alignement effectué sur DORA et d’autres normes de cybersécurité, la question qui vient ensuite est: « Sommes-nous suffisamment résilient pour nous relever d’une attaque et maintenir l’activité ? » Avons-nous testé nos processus ? Anticipé les scénarios critiques ? Identifié de nouveaux risques après avoir comblé les lacunes ?

La question n’est plus de savoir si une attaque aura lieu, mais quand. Le respect des réglementations contribue à la cyber-résilience, mais sans pratique et tests continus, n’importe quelle stratégie de défense échoue.

Quel avenir pour DORA ? Et quelle portée à l’échelle internationale ?

Six mois après son entrée en vigueur, le bilan est prématuré, mais les cadres gagnent en maturité, et l’élan des entreprises pour maintenir leurs efforts est bien là.

Les coûts sont peu à peu perçus comme des investissements stratégiques. Les impacts financiers et de réputation constatés à la suite d’incidents cyber majeurs peuvent atteindre des centaines de millions ou des milliards d’euros, et dépassent largement les dépenses initiales de conformité.

Les principes de DORA seront essentiels pour affronter un paysage de cybermenaces en constante évolution. En intégrant profondément ces pratiques dans leur ADN, les institutions financières peuvent non seulement respecter leurs obligations réglementaires, mais aussi renforcer leurs défenses, assurer la continuité de leurs activités et maintenir la confiance de leurs clients.