DORA : cadre de gestion du risque lié aux TIC

Le premier pilier du règlement (UE) 2022/2554, dit DORA, porte sur la gestion du risque lié aux technologies de l'information et de la communication (TIC). C'est le socle de tout l'édifice : sans cadre de gouvernance et de contrôle interne solide, les quatre autres piliers, qu'il s'agisse de la notification des incidents, des tests de résilience, de la maîtrise des prestataires tiers ou du partage d'informations, restent sans fondation.

Comprendre ce pilier, c'est comprendre la logique d'ensemble de DORA : la résilience opérationnelle numérique ne se décrète pas, elle se gouverne, se cartographie et se prouve. Voici ce que le règlement attend précisément d'une entité financière sur ce premier bloc.

Un cadre de gouvernance et de contrôle interne du risque TIC

DORA demande à l'entité financière de mettre en place un cadre de gouvernance et de contrôle interne dédié au risque lié aux TIC. Ce n'est pas un sujet purement technique laissé aux équipes informatiques : le règlement ancre la résilience numérique dans la gouvernance de l'entité. Le dispositif doit être structuré, documenté et porté au bon niveau de responsabilité, de sorte que le risque TIC soit traité comme une composante à part entière de la gestion des risques de l'organisation.

Cette exigence de gouvernance est ce qui distingue une démarche de conformité durable d'une simple mise en ordre ponctuelle. Le cadre doit vivre, être réexaminé et rester aligné sur l'évolution réelle des systèmes et des menaces.

Identifier, cartographier et surveiller les fonctions et actifs critiques

Au coeur du pilier figure une obligation de connaissance de soi : identifier, cartographier et surveiller en continu les fonctions et les actifs critiques ou importants. On ne peut protéger que ce que l'on connaît. L'entité doit donc savoir quelles fonctions reposent sur quels systèmes, quelles dépendances existent entre eux, et lesquels sont véritablement critiques ou importants pour la continuité de son activité.

La surveillance continue est un mot-clé du texte : il ne s'agit pas d'un inventaire figé réalisé une fois, mais d'un suivi permanent. La cartographie doit refléter la réalité du système d'information à mesure qu'il évolue. C'est précisément ce travail de fond qui rend opérante toute démarche de gestion du risque lié aux TIC, en donnant une vision à jour de ce qui doit être protégé en priorité.

Des évaluations périodiques des risques

Sur la base de cette cartographie, DORA prévoit des évaluations périodiques des risques liés aux TIC. L'objectif est de réexaminer régulièrement l'exposition de l'entité : quelles menaces pèsent sur les actifs critiques, quelles vulnérabilités subsistent, et quelles mesures restent à prendre. La périodicité traduit une idée simple : un risque évalué une seule fois devient vite obsolète, car les systèmes, les usages et les cybermenaces évoluent en continu.

Ces évaluations ne sont pas une fin en soi. Elles alimentent les décisions de l'entité et nourrissent les autres piliers, en particulier la priorisation des tests de résilience et la maîtrise du risque lié aux prestataires.

Continuité d'activité et reprise après incident, testées et actualisées

Le pilier impose enfin de tenir des plans de continuité d'activité et de reprise après incident. Deux qualificatifs du règlement font toute la différence : ces plans doivent être testés et actualisés. Un plan de continuité qui dort dans un classeur sans avoir jamais été éprouvé n'offre aucune garantie le jour d'un incident majeur.

Tester signifie vérifier que les procédures fonctionnent réellement et que les équipes savent les appliquer ; actualiser signifie les faire évoluer au rythme du système d'information et des enseignements tirés des exercices. C'est cette discipline qui transforme un document théorique en capacité réelle à encaisser une perturbation et à rétablir les fonctions essentielles.

Pourquoi ce pilier est le socle des autres

Si la gestion du risque lié aux TIC constitue le premier pilier, ce n'est pas par hasard. Tous les autres piliers en dépendent : on ne classe correctement un incident que si l'on a cartographié les fonctions critiques touchées ; on ne cible des tests de résilience que sur des actifs préalablement identifiés ; on n'évalue le risque d'un prestataire tiers que par rapport à la criticité des services qu'il soutient. La maîtrise du risque lié aux TIC est donc la condition de cohérence de toute la démarche.

En pratique, la difficulté n'est pas de connaître ces exigences mais de les traduire en un dispositif vivant et opposable à un superviseur, à partir de l'écart réel entre la situation de l'entité et ce que demande le texte. C'est l'enjeu d'une démarche de maîtrise du risque TIC structurée, articulée à l'ensemble d'une mise en conformité DORA cohérente. Ce site informe et outille ; il ne remplace pas un avis juridique sur une situation précise.

Poursuivre la lecture

Poursuivre la lecture