DORA et la résilience financière : de la mise en conformité au pilotage de la performance

Avant l’échéance de janvier 2025, la résilience restait pour beaucoup un exercice de style, souvent confiné aux plans de continuité d'activité (PCA) et aux procédures de conformité classiques. Cette phase de préparation consistait à bâtir des cadres théoriques et à recenser des risques au sein de silos isolés. Mais l’entrée en vigueur de DORA a agi comme un électrochoc, déplaçant l'enjeu du simple respect d'une règle vers une urgence vitale de survie métier. 

De plus, l’avant-DORA se caractérisait par des approches déclaratives où la promesse de sécurité suffisait. L'après-DORA impose à présent une culture de la preuve. Comme le souligne le responsable du programme au sein d'un grand groupe d'assurance français, le règlement a forcé l'organisation à sortir d'une lecture purement technique : « DORA est un catalyseur. L'effort sur la qualité de donnée pour identifier nos prestataires critiques a révélé l'importance de maîtriser nos dépendances réelles, bien au-delà des contrats. » De la seule question de conformité, les entreprises sont passées à une question de connaissance minutieuse de leur propre infrastructure. 

L'un des enseignements majeurs des expériences en entreprise concerne par conséquent le déplacement du pilotage de la résilience. Le texte engage les instances de direction, faisant de la gestion des risques TIC une priorité identique au risque de crédit ou de marché. Avec DORA, l'implication des dirigeants devient donc le pivot de la stratégie. 

Au sein de Société Générale, cette évolution a généré une organisation transverse. Le responsable du programme, Xavier Lofficial, explique que le groupe a choisi de bâtir un dispositif lié au besoin globaux de resilience : « Nous avons pris le parti de ne pas monter un programme DORA indépendant, mais un programme de résilience opérationnelle globale ». Ici, le pilotage s'appuie sur une collaboration entre le COO (Chief Operating Officer) et le CRO (Chief Risk Officer). Cette organisation s’appuie sur le fait que les choix technologiques du groupe bancaire doivent s'aligner sur le risque inhérent à l'institution. En plaçant l'activité métier au centre des débats, le groupe protège ses fonctions vitales. Le responsable précise : « Il s’agit de s'assurer que l’on sait assurer la resilience de nos services financiers de bout en bout en cas de sinistre majeur. » 

Un grand acteur de l’assurance a, quant à lui, placé son programme DORA sous l'égide du Secrétariat général. Un tel positionnement garantit la protection des intérêts de chaque département tout en mettant fin aux séparations historiques. De fait, l'union entre l'informatique, le juridique et les métiers favorise une prise de décision rapide. La résilience s'impose alors comme une posture permanente, validée au COMEX. 

Le véritable point de rupture se situe dans le passage en mode opérationnel en 2025, après la fin des grands chantiers. 

Chez Société Générale, le déploiement de DORA suit une règle immuable : la réglementation ne doit pas exister à côté de l'activité, elle doit s'y fondre. Xavier Lofficial insiste sur ce point de bascule : « L'objectif n'est pas de révolutionner les méthodes, mais d'y intégrer les exigences manquantes. Il s'agit de s'assurer que la réglementation devienne un attribut des processus métiers existants. » Concrètement, les équipes chargées des contrats ou des plans de tests conservent leurs habitudes, mais incluent désormais les nouveaux critères de preuve. Ce passage à l'échelle opérationnelle vise à supprimer tout décalage entre la théorie du projet et la réalité de la production. L’urgence n'est plus de "faire du DORA", mais de garantir que chaque geste métier intègre la résilience par réflexe. 

Cette stratégie repose sur une sélection rigoureuse des activités critiques, avec une priorité absolue : la protection de la marque globale. Ce modèle, éprouvé sur le périmètre essentiel, a d’ailleurs vocation à être étendu aux implantations internationales du groupe. 

Par essence, une telle transition nécessite une montée en compétence des équipes, afin que l'utilisation des outils de contrôle devienne un réflexe. La résilience s'intègre alors comme une caractéristique intrinsèque des services fournis.  

L'adoption de DORA favorise aussi une meilleure compréhension mutuelle, tant au sein des groupes qu'à l'échelle du secteur financier. En partageant des références communes sur ce qui est critique ou important, les échanges et les attentes des régulateurs comme des partenaires sont plus clairs, simplifiant les relations inter-entreprises.   

Ce constat se vérifie au sein du grand groupe d’assurance. Le caractère systémique de DORA, qui mobilise l'ensemble de l'entreprise, constitue un bénéfice concret selon le responsable du programme : « Si le conseil d’administration et le comité exécutif affichaient déjà une implication forte, celle-ci restait concentrée sur certains périmètres. L’argumentaire porté par le règlement a permis d'embarquer toutes les forces vives du groupe. Ce mouvement a nécessité un important effort de sensibilisation et de formation, ainsi qu’un travail de vulgarisation pour rendre ces enjeux accessibles à chaque acteur de l’organisation. » 

Ce changement souligne en outre l'importance de la documentation. Les autorités demandent aujourd’hui à voir les plans de continuité, les résultats des tests de reconstruction et les preuves d'intégrité des données sauvegardées. La capacité à produire ces éléments rapidement définit la maturité de l'entité.  Le grand assureur français a renforcé ses processus de collecte d’informations, convaincu que la rigueur documentaire est essentielle pour garantir la sécurité technique et démontrer une capacité de reprise solide.  

La maîtrise des tiers : sécuriser la chaîne de valeur 

DORA renforce aussi la surveillance des relations avec les prestataires de services TIC. La dépendance au cloud et l'interconnexion avec des acteurs globaux créant des points d'attention majeurs. Le règlement impose notamment une vigilance continue et une formalisation contractuelle. Pour les banques et les assurances, le prestataire est un maillon de la chaîne de valeur qui doit garantir le même niveau de sécurité que l'institution elle-même. 

La qualité des données est le socle de cette équation.  Le pilote du programme du grand groupe d’assurance rappelle que : « À travers DORA, nous avons beaucoup travaillé sur le registre d'information, ce qui a demandé un effort sur la qualité de donnée pour identifier nos prestataires critiques. » Car sans une base d'informations saine, la résilience reste un concept abstrait. 

Rappelons que le registre d’information liste les contrats, identifie les fonctions critiques et remonte jusqu'à la sous-traitance de rang 2 ou 3 : « Nous avons centralisé nos analyses de risques tiers en faisant collaborer les achats, le juridique et la sécurité. Il s'agit de s'assurer de la réalité de la résilience chez nos partenaires. » L'information fiable est indispensable pour que le registre soit utile au pilotage. 

Cette surveillance permet entre autres de vérifier que le fournisseur possède une stratégie de continuité robuste. Pour Société Générale, ce cadre équilibre le dialogue avec les géants du numérique et les exigences de DORA permettent d'obtenir des garanties de service et des droits d'audit. Autrement dit, la maîtrise de l'écosystème réduit les risques de contagion et garantit que l'institution garde le contrôle sur ses actifs, même hébergés à l'extérieur. 

Des tests de résilience : valider la robustesse sur le terrain 

Le volet consacré aux tests est l'aspect le plus opérationnel du règlement. DORA impose des exercices réguliers, incluant des tests de pénétration fondés sur la menace (TLPT). Ces simulations d'attaques en conditions réelles vérifient la solidité des défenses et la réactivité des équipes. C'est l'occasion pour une entreprise de valider sa préparation. 

Il s'agit de démontrer la capacité à maintenir les services vitaux durant l'exercice. Et l'automatisation de ces procédures est bien souvent un levier sachant que ces tests sont des bilans de santé techniques réguliers qui permettent d'ajuster les dispositifs.   

Automatiser les piliers de la réglementation avec MyDORA

Face à la masse de données nécessaires au respect de la réglementation DORA, il est indispensable d’automatiser : MyDORA par PwC, industrialise l'exigence de preuve. 

La solution évalue la maturité sur les cinq piliers du règlement et centralise les pièces justificatives validées par les experts. Au-delà du simple constat, l'outil identifie les chantiers prioritaires et chiffre l'effort nécessaire pour chaque livrable. Les tableaux de bord fournissent quant à eux au COMEX une vision nette des vulnérabilités pour arbitrer les investissements. Grâce à l'automatisation du registre des tiers, MyDORA libère les équipes des tâches répétitrices. Le respect de DORA est alors un réel instrument de performance financière, aussi capable de résister aux audits les plus sévères. 

En conclusion 

Les retours d’expérience recueillis auprès de ces deux grands acteurs du secteur financier sont sans ambiguïté. DORA n’a pas créé ex nihilo les enjeux de résilience opérationnelle, mais il les a rendus incontournables, mesurables et pilotables. En imposant une logique de preuve là où dominaient encore des approches déclaratives, le règlement a fait basculer la résilience d’un sujet d’experts vers un véritable objet de gouvernance. 

Ce basculement impose des mutations profondes : implication du management, fin des silos entre informatique et métiers, maîtrise des tiers critiques.  Autant d’évolutions qui traduisent une réalité partagée : la résilience ne se décrète plus, elle se démontre, dans la durée, y compris en situation de crise. 

Au fil des missions menées par PwC auprès d’acteurs financiers soumis à DORA, un même point de vigilance revient : le principal risque n’est plus tant l’absence de dispositifs que la difficulté à les faire vivre, à les industrialiser et à en extraire une vision exploitable pour le pilotage stratégique. Lorsque les méthodes restent artisanales, la conformité devient fragile et la charge opérationnelle croît rapidement. 

L'expérience de PwC chez ses clients montre que le risque majeur ne se trouve plus dans l'absence de dispositifs, mais dans la difficulté à les industrialiser pour les mettre au service de la stratégie. Sans outils adaptés, les méthodes artisanales alourdissent la charge opérationnelle et fragilisent la mise en conformité. 

DORA force les organisations à répondre à des questions vitales : l'aptitude à maintenir les activités critiques est-elle réelle ? La sécurité est-elle démontrable à tout instant ? Les risques opérationnels bénéficient-ils d'un suivi actionnable ? 

Ce règlement marque le passage à une résilience inscrite au cœur des décisions. Elle garantit la continuité d'activité, la confiance des partenaires et la performance de long terme.