À chacun ses références ! Les hellénistes verront dans DORA, une référence aux noms grecs « doron » et « théos », en français « cadeau » et « dieu ». Les téléphages, une exploratrice de bande dessinée avec sa carte et son sac à doc. Les technocrates européens se limiteront, eux, à décliner les quatre lettres d’un sigle, celui du Digital Operational Resilience Act, soit le règlement pour la résilience opérationelle numérique.
Y voit-on vraiment plus clair ? Les mots règlement, opérationnel et numérique ne posent nul problème. Difficile d’en faire autant du mot résilience. Que nous dit le Larousse ?
« Psychologie. Aptitude d’un individu à se construire et à vivre de manière satisfaisante en dépit de circonstances traumatiques.
Écologie. Capacité d’un écosystème, d’un biotope ou d’un groupe d’individus (population, espèce) à se rétablir après une perturbation extérieure (incendie, tempête, défrichement, etc.).
Informatique. Capacité d’un système à continuer à fonctionner, même en cas de panne. »
Dans la majorité des définitions, le mot résilience désigne une réaction à un choc. Nous sommes donc après l’évènement. « Recover », dirait-on dans le langage bruxellois ! Mais le texte européen va beaucoup plus loin : il ne s’agit pas seulement de réagir, mais de faire face, d’anticiper la menace. Et elle se porte bien. « Le nombre de cyberattaques identifiées s’est stabilisé, y compris pour le secteur financier, mais le risque demeure élevé dans un environnement géopolitique dégradé qui se traduit par une variété de menaces hybrides. Les attaques par hameçonnage restent la principale menace pour l’ensemble des secteurs, tandis que le développement des outils d’intelligence artificielle est susceptible d’engendrer de nouvelles vulnérabilités », indique le dernier rapport sur la stabilité financière de la Banque de France.
L’univers de DORA est bien plus large que la seule résilience en tant que telle, car il intègre la prévention. L’univers de DORA est très large : il couvre la très grande majorité des acteurs financiers, car son objectif est la protection du système financier dans son ensemble. Les uns et les autres avaient certes des règles, mais chacun de leur côté ; cette fois-ci, le corpus est commun. Et les marches à gravir différentes.
Une longueur d’avance pour les OIV
Heureux les OIV. Traduisez les opérateurs d’importance vitale. Ces acteurs étaient déjà soumis à des règles très strictes. Il est donc clair que les banques ont sur le sujet une longueur d’avance sur les autres opérateurs. Raison pour laquelle nous avons fait le choix de focaliser notre analyse sur deux secteurs spécifiques : l’assurance, tout d’abord, avec le regard d’Eric Brétéché de GuideWire ; les fintechs également, avec l’analyse conjointe de François Faure (Observatoire de la Fintech), Amel Dibs (Xpollens) et Benjamin Veil (Skaleet). N’oublions pas non plus que DORA intègre les prestataires dans la réflexion et qu’elle pourrait même, du coup, contribuer à leur développement, notamment en raison de contraintes économiques.
Le sujet du cloud est clairement dans cette ligne directrice. C’est le match entre l’entretien des systèmes internes et leur externalisation. Jean Atmé, de Numspot, recommande l’utilisation d’un cloud, mais pas n’importe lequel. Résilience numérique dit naturellement « digital »... et réaction à la crise. Retrouvez l’analyse des équipes d’IBM, avec Nicolas Vasse, Samia Benali et Sipke Hiemstra, pour connaître les pratiques actuelles de reprise après un incident informatique. Bon à savoir, cet article est extrait d’un hors-série de notre publication Banque et Droit qui, en février, traite ce même sujet de DORA, mais avec une approche plus juridique ! Car oui, DORA n’est pas qu’un sujet technologique. Julie Jacob nous le rappelle dans son article, où il est question notamment du travail de révision et de suivi des contrats des prestataires.
À ce stade, les lecteurs les plus experts noteront une information manquante. La date d’entrée en application du texte. 17 janvier 2025. Serions-nous donc en retard ? Mais au fait, qui est vraiment prêt, à l’heure où nous mettons ces lignes sous presse ? Déjà, pas la France ! DORA, c’est certes un règlement d’application directe, mais aussi une directive à transposer. Elle n’est pas majeure, certes, mais détermine tout de même l’inclusion, par exemple, des sociétés de financements spécialisés dans le périmètre des activités couvertes. Les aléas que chacun connaît ont fait que le texte n’est toujours pas voté.
DORA intègre aussi des tests de pénétration fondés sur la menace. La liste des assujettis n’est pas encore fixée par la Banque Centrale Européenne, l’Autorité de contrôle prudentiel et de résolution (ACPR), l’Autorité des marchés financiers et la Banque de France, mais les recommandations pour s’y préparer sont déjà dans Revue Banque, sous la plume d’Alexandre Fontaine (WLF). Tout comme la présentation du cadre de DORA, par Frédéric Hervo, secrétaire général adjoint de l’ACPR, et les lignes directrices de la maison en terme de contrôle. Bienvenue dans l’univers de DORA.
