Résilience opérationnelle numérique : la définition DORA

La résilience opérationnelle numérique désigne la capacité d'une entité financière à maintenir l'intégrité et la disponibilité de ses fonctions face aux risques liés aux technologies de l'information et de la communication (TIC). C'est l'objet même du règlement sur la résilience opérationnelle numérique, le règlement (UE) 2022/2554, plus connu sous le sigle DORA.

Une capacité, pas seulement un état de sécurité

La résilience opérationnelle numérique ne se confond pas avec la seule sécurité informatique. Elle décrit l'aptitude d'une entité à continuer d'assurer ses fonctions, et à préserver l'intégrité et la disponibilité de ses systèmes, même quand survient un incident lié aux TIC. L'enjeu n'est pas uniquement d'empêcher l'attaque ou la panne, mais de tenir, de se rétablir et de reprendre une activité normale. Le règlement (UE) 2022/2554 fait de cette capacité une obligation cadrée, et non une bonne pratique laissée à l'appréciation de chacun.

Le périmètre du risque TIC

DORA établit un cadre uniforme dans l'Union européenne pour la gestion des risques liés aux TIC dans le secteur financier. Ce périmètre est large : il couvre les pannes, les cyberattaques, les défaillances de systèmes, mais aussi les risques portés par les prestataires externes qui hébergent ou exploitent des fonctions critiques. La résilience opérationnelle numérique s'apprécie donc sur toute la chaîne de valeur, et pas seulement à l'intérieur des murs de l'entité.

Comment les cinq piliers DORA y concourent

Le règlement organise cette résilience autour de cinq piliers complémentaires. Le premier, la gestion du risque lié aux TIC, pose le cadre de gouvernance : identifier et cartographier les fonctions et actifs critiques, les surveiller en continu, et tenir à jour des plans de continuité et de reprise testés. Le deuxième couvre la gestion, la classification et la notification des incidents, afin de détecter, documenter et signaler aux autorités compétentes les incidents majeurs dans les délais imposés.

Le troisième pilier porte sur les tests de résilience opérationnelle numérique, avec pour certaines entités des tests de pénétration fondés sur la menace (TLPT). Le quatrième traite le risque lié aux prestataires tiers de services TIC comme une composante à part entière du risque, par des clauses contractuelles obligatoires et un registre d'information. Le cinquième, enfin, organise le partage volontaire d'informations sur les cybermenaces entre entités financières. Ensemble, ces cinq volets traduisent un même objectif : maintenir l'intégrité et la disponibilité des fonctions face au risque TIC.

Le lien avec la cybersécurité

La résilience opérationnelle numérique englobe la cybersécurité, sans s'y réduire. La protection contre les cybermenaces en est une dimension essentielle, mais elle s'accompagne d'exigences de continuité, de tests et de maîtrise du risque tiers qui dépassent la seule défense périmétrique. C'est précisément cette articulation entre cybersécurité et résilience TIC que le règlement cherche à structurer, en imposant un dispositif cohérent plutôt qu'une juxtaposition de mesures isolées.

Une obligation opposable depuis 2025

DORA est un règlement européen d'application directe, entré en vigueur le 27 décembre 2022 et entré en application le 17 janvier 2025. Depuis cette date, les exigences de résilience opérationnelle numérique sont opposables aux entités concernées. Traduire la définition en dispositif concret suppose de partir d'un état des lieux de ses fonctions critiques et de ses écarts ; c'est le point de départ d'une mise en conformité DORA réaliste.

Poursuivre la lecture

Poursuivre la lecture