DORA et plan de continuité d'activité

Dans le règlement (UE) 2022/2554, dit DORA, le plan de continuité d'activité n'est pas un document isolé : il fait partie du premier pilier, la gestion du risque lié aux TIC. Et le texte ne demande pas seulement d'en avoir un. Il demande qu'il soit testé et actualisé, deux mots qui changent tout pour une entité financière.

La continuité d'activité est l'une des briques qui transforment la gouvernance du risque numérique en résilience réelle. Voici ce que DORA en attend, et pourquoi un plan jamais éprouvé ne prouve rien devant un superviseur.

Une composante du premier pilier, pas un sujet à part

Le premier pilier de DORA, la gestion du risque lié aux TIC, exige un cadre de gouvernance et de contrôle interne complet : identifier, cartographier et surveiller en continu les fonctions et actifs critiques ou importants, conduire des évaluations périodiques des risques, et tenir des plans de continuité d'activité et de reprise après incident. La continuité d'activité n'est donc pas un chantier annexe que l'on traiterait après la conformité : elle est inscrite au socle, au même niveau que la cartographie des actifs ou l'évaluation des risques.

Cette place a une logique. Identifier ses fonctions critiques sert précisément à savoir lesquelles doivent pouvoir redémarrer, et dans quel ordre, lorsqu'un incident lié aux TIC survient. Le plan de continuité traduit la connaissance du risque en capacité à tenir le service malgré la panne, l'attaque ou la défaillance d'un prestataire.

Continuité d'activité et reprise après incident

Le règlement associe deux notions complémentaires. Le plan de continuité d'activité vise à maintenir ou rétablir rapidement les fonctions essentielles pendant et après une perturbation. Le plan de reprise après incident organise le retour à un fonctionnement normal une fois la crise passée : restauration des systèmes, des données et des processus affectés. L'un protège le service au moment du choc, l'autre ramène l'entité à son état nominal.

Les objectifs de continuité dépendent de la criticité de chaque fonction, telle que l'entité l'a établie dans sa propre cartographie. C'est cohérent avec l'esprit du règlement : un cadre uniforme dans l'UE, appliqué avec proportionnalité à la réalité de chaque entité financière et de ses prestataires de services TIC.

Pourquoi « testé et actualisé » est le vrai sujet

La formulation du règlement est précise : les plans doivent être testés et actualisés. Ce n'est pas une nuance rédactionnelle. Un plan de continuité qui dort dans un classeur, jamais déclenché, ne dit rien de la capacité réelle de l'entité à résister. Il décrit une intention, pas une aptitude. Le test est ce qui transforme l'intention en preuve.

Tester, c'est vérifier que les sauvegardes se restaurent vraiment, que les bascules fonctionnent, que les équipes savent qui décide et selon quelle procédure, et que les délais visés sont atteignables hors du papier. Chaque test révèle des écarts : une dépendance oubliée, un prestataire injoignable, une procédure périmée. C'est précisément pour cela que le plan doit aussi être actualisé : un dispositif TIC évolue, les prestataires changent, les fonctions critiques se déplacent. Un plan figé devient faux avec le temps, même s'il était juste le jour de sa rédaction.

Devant un superviseur, cette logique a une conséquence directe. Ce qui s'oppose à un contrôle, ce n'est pas le document de continuité en lui-même, mais la trace des tests menés, des écarts constatés et des corrections apportées. Le plan non testé n'est pas une demi-conformité : il ne démontre rien.

Le lien avec la résilience opérationnelle d'ensemble

La continuité d'activité ne vit pas seule. Elle s'articule avec les autres piliers de DORA : la gestion des incidents, qui déclenche le plan et alimente sa mise à jour ; les tests de résilience opérationnelle numérique, qui éprouvent le dispositif au-delà du seul scénario de continuité ; et la maîtrise des prestataires tiers de services TIC, dont la défaillance est l'un des scénarios que le plan doit couvrir. La continuité est le point où la résilience cesse d'être un concept et devient une capacité mesurable.

C'est aussi la raison pour laquelle elle relève pleinement de la sécurité numérique de l'entité, et non d'un simple exercice documentaire. Construire des plans qui tiennent suppose de raccrocher la continuité à une démarche de conformité DORA en cybersécurité cohérente, où la protection des systèmes, la détection des incidents et la capacité de reprise forment un même ensemble plutôt que des dossiers séparés.

En pratique, la difficulté n'est pas de comprendre ce que DORA attend de la continuité d'activité, mais de le rendre opposable : des plans rattachés aux vraies fonctions critiques, testés selon un calendrier, et actualisés à chaque évolution. C'est l'un des jalons concrets d'une mise en conformité DORA qui part de l'écart réel plutôt que d'un document de façade.

Poursuivre la lecture

Poursuivre la lecture