DORA : faire de la conformité un projet d'entreprise est la clé du succès
Le 17 janvier 2025, l'entrée en vigueur de DORA normalisera la gestion des risques informatiques dans toute l'Union Européenne pour promouvoir la résilience de l'ensemble de l'écosystème finance.
En ligne de mire, une plus grande confiance des utilisateurs dans les services financiers, par essence sensibles. Pour réussir, les quelques 22 000 organisations concernées par DORA sont invitées à embrasser la mise en conformité comme un projet d’entreprise structurant qui nécessite de l’anticipation, de la proactivité et de la collaboration.
DORA, une approche bénéfique aux entreprises et à leurs clients
DORA introduit des normes strictes pour les entreprises du secteur financier pour gérer les risques informatiques et assurer une continuité du service, même en cas d'incidents informatiques majeurs. Elle s’adresse aux banques, fintechs, fournisseurs de services de crédit et de paiement, compagnies d'assurance, sociétés de gestion d'actifs, etc. ainsi qu’à leurs prestataires IT. Introduire DORA, c'est donc faire un grand pas vers l'amélioration de la résilience de l'ensemble du secteur. Un pas d'autant plus important dans l'économie interconnectée et digitalisée d'aujourd'hui.
Pour les utilisateurs de services financiers, DORA est une opportunité pour renforcer la pleine confiance en ces services. Cette règlementation est d’autant plus rassurante pour les utilisateurs finaux, y compris les consommateurs, qu’elle crée un cadre commun pour la gestion des risques valable pour l'ensemble des pays de l’UE : les institutions financières, où qu'elles soient basées en Europe, doivent respecter les mêmes normes élevées en matière de sécurité et de fiabilité lorsqu’elles fournissent leurs services.
Pour les professionnels, DORA présente également de nombreux atouts. Tout d’abord, la règlementation rééquilibre le rapport de force entre les entreprises de la filière finance et leurs prestataires IT : par exemple, en mettant les grands prestataires de services numériques sous la supervision directe des régulateurs européens, DORA uniformise les attentes de conformité et réduit le besoin de négociations individuelles sur les clauses de résilience et de sécurité.
Par ailleurs, DORA propose une approche plus rigoureuse et transparente dans la gestion des risques liés à l'externalisation : par exemple, elle met en avant l'importance d’évaluer le risque de concentration lors de la sélection des prestataires de services. Il s’agit d’une approche préventive et protectrice qui encourage les acteurs financiers à ne pas confier toutes leurs activités à un seul prestataire. Ils peuvent ainsi éviter une dépendance excessive et réduire la probabilité qu'une défaillance majeure de l’un d’entre eux n'entraîne des perturbations en chaîne aux conséquences désastreuses. Pour les entreprises, il ne s'agit pas nécessairement d'exclure de faire appel à un prestataire unique, mais de s'assurer que si un seul prestataire est choisi, toutes les mesures nécessaires pour gérer le risque de concentration sont bel et bien prises.
Se préparer à DORA en quelques conditions-clés de succès
Si les acteurs financiers auront compris tout l’intérêt d’une mise en conformité – également en matière d’image de marque – vis-à-vis de clients qui recherchent des services sur lesquels ils peuvent compter dans un contexte de menaces informatiques croissantes, tout l’enjeu sera pour eux de réussir leur mise en conformité. Zoom sur quelques recommandations.
En interne, être capable d’anticiper et de considérer DORA comme un projet à l’échelle de l’entreprise
Les entreprises doivent comprendre de manière précoce l'ampleur et la portée du projet et y allouer le temps nécessaire. A titre d’exemple, la mise en conformité implique un travail à la fois de veille et d’interprétation réglementaire efficace. Tous deux sont chronophages et peuvent nécessiter de nombreux échanges - avec les pairs, associations professionnelles, cabinets juridiques, régulateurs, etc. - pour déterminer la position à prendre lorsque les textes réglementaires ne sont pas totalement clairs. Pour un acteur du paiement cela inclut, entre autres, de bien comprendre les 15 différentes catégories de prestataires définies par DORA pour déterminer si le service fourni par ce prestataire entre dans l'une ou l'autre de ces catégories et adapter son projet de mise en conformité aux nouvelles informations reçues d’ici à l’échéance du 17 janvier. On voit ici combien l’anticipation est une condition clef de succès de la mise en œuvre de DORA.
Implémenter efficacement DORA nécessite donc qu’on y alloue du temps mais aussi des moyens humains. DORA implique en effet une approche de gestion de projet structurée, réfléchie, proactive mobilisant nombre d’équipes : conformité, cybersécurité, achats, juridique, etc. Gérer la mise en conformité en mode projet veut par exemple dire faire une analyse des écarts (gap analysis) entre les pratiques actuelles et celles qui devront être mises en place à l'entrée en vigueur de DORA. Et donc déterminer l’effort qu'il faudra fournir pour adapter l’ensemble de l’organisation, les process, les équipes, les systèmes pour se conformer au niveau d’exigence du fonctionnement requis par cette règlementation. Pour réussir, DORA doit donc être considérée comme un véritable projet d’entreprise et non pas comme un simple sujet de conformité.
En externe, savoir mobiliser ses prestataires et s’engager au plus tôt avec eux
Au-delà de l’aptitude de l’organisation à savoir piloter un projet en interne, la mise en œuvre réussie de DORA dépend également de la capacité de l’entreprise à mobiliser ses prestataires tiers. La mise en conformité repose en effet en grande partie sur les relations que les entreprises doivent engager avec leurs fournisseurs de services IT. Il faut adapter les contrats et mettre en place de nouveaux accords de service détaillés (Service Level Agreements, SLA) qui doivent par exemple désormais inclure la remontée d’informations adéquates pour permettre une supervision étroite des services fournis par le prestataire : quelles informations - et selon quelle périodicité - le prestataire s’engage à remonter à son client pour que celui-ci puisse être en capacité de suivre avec précision la qualité des services fournis et, le cas échéant, identifier au plus vite toute déviation par rapport aux niveaux de performance attendus et prendre les mesures correctrices qui s’imposent.
Pour l’entreprise, il est ainsi essentiel d’engager les négociations au plus tôt avec ses fournisseurs, tant il est probable que les contrats et la supervision devront être revus pour se conformer aux nouvelles exigences. Pour rappel, à partir de 2025, le Rapport annuel de contrôle interne (RACI) et annexes sur les risques liés aux technologies de l'information et de la communication (TIC) que les institutions financières sont tenues de soumettre au plus tard le 30 avril de chaque année comprendra une nouvelle section qui répondra aux exigences du DORA. En sachant que pour cette première année de rapport, l'ACPR a accordé une prolongation pour la soumission de cette section permettant aux entreprises de le rendre au 30 juin. Ce délai supplémentaire est destiné à faciliter la préparation et la mise en conformité avec les nouvelles exigences. Il n’empêche, le travail de contractualisation avec les prestataires est dense et chronophage. Qui dit contrat, dit négociation et temps de négociation. Car de leur côté également, les prestataires vont devoir mobiliser des équipes en interne pour travailler sur ces nouveaux contrats et sur ces nouveaux niveaux de services. C’est là une des situations clés où l’entreprise, si elle ne s’y prend pas suffisamment en amont, peut perdre la main sur sa capacité à être conforme, et sur son calendrier. Ici encore, bien anticiper est un élément déterminant.
Si l’ensemble du secteur financier doit se mettre en temps et en heure au diapason de DORA, les acteurs qui se démarqueront seront ceux qui auront montré leur volonté de s’emparer pleinement du projet d’entreprise que constitue cette mise en conformité. Celle-ci ne s’improvise pas, elle implique une anticipation rigoureuse, une coordination interne et externe, ainsi qu'une forte proactivité pour adapter les relations contractuelles et les pratiques de contrôle à de nouvelles exigences qui se feront au bénéfice de tous.