Lorsque DORA a été adoptée, nombreux étaient les experts qui la percevaient comme une charge administrative supplémentaire. Un an après son entrée en vigueur, notre expérience montre une autre réalité. Les institutions qui ont choisi de transformer leur approche des risques TIC de manière holistique découvrent des opportunités réelles. Elles réalisent que la résilience opérationnelle n’est pas un coût, mais un vecteur de différenciation stratégique. En intégrant DORA comme catalyseur de modernisation, les institutions se sont engagées dans une modernisation profonde de leurs architectures technologiques et de leur gouvernance des risques. Des clients nous rapportent une efficacité opérationnelle améliorée, des réductions de coûts d’infrastructure et surtout, une capacité à innover plus rapidement. DORA, vécue comme transformation, devient un véritable levier de développement.
Trois zones critiques de vulnérabilité
pour les fournisseurs
DORA ne s’adresse pas qu’aux banques et gestionnaires d’actifs, elle concerne aussi les éditeurs de logiciels et prestataires informatiques, comme Linedata. Et c’est précisément là que les défis deviennent aigus.
La cartographie complexe des dépendances technologiques constitue une première zone critique. Nos clients opèrent dans des environnements hybrides complexes où systèmes hérités et solutions cloud coexistent. DORA exige une visibilité complète sur ces dépendances, une cartographie détaillée et vivante des chaînes d’approvisionnement technologiques. Ces dépendances étant fragmentées, nous avons dû développer des passerelles de documentation transversales capables de réconcilier ces sources fragmentées et d’offrir une vue unifiée.
Deuxième zone critique : la responsabilité partagée. DORA établit des obligations pour les fournisseurs de services TIC tiers essentiels. Mais où commence notre responsabilité et où finit celle du client ? Les clients nous demandent : « êtes-vous conforme à DORA ? » Mais le cadre réglementaire est ambigu. Il faut donc co-construire des contrats clairs, définir les rôles et responsabilités et prévoir des scénarios de crise pour chaque service critique, afin d’éviter les malentendus et les risques juridiques. Fournir une certification complète de nos capacités de résilience implique des investissements majeurs en temps d’ingénierie et en documentation de gouvernance.
L’absence de standardisation des demandes de conformité tiers reste une troisième zone critique. Chaque client nous interroge différemment, avec ses propres grilles, référentiels et standards d’audit. Il n’existe pas de « certificat DORA » unifié. Cela crée des centaines d’interactions sans économies d’échelle. Nous devons développer des cadres internes standardisés capables de répondre à ces multiples exigences tout en restant flexibles, ainsi qu’une base de preuves réutilisables pour accélérer les audits clients.
La fracture de maturité et la réalité du terrain
Un an après DORA, une disparité s’impose : les grandes institutions maîtrisent les fondamentaux, disposent des ressources, des compétences internes et de l’influence pour négocier avec leurs fournisseurs tiers, tandis que les structures plus petites, moins digitalisées, font face à un défi majeur : ressources limitées, expertise insuffisante, architectures fragmentées.
Sur le terrain, cette fracture se traduit par une approche très pragmatique des institutions. La demande dominante reste : « mettez-vous en conformité DORA, sans surcoût et rapidement ». Les priorités restent dictées par les contraintes réglementaires et budgétaires et par la nécessité de gérer d’autres chantiers stratégiques : transformation des modèles commerciaux, adoption de l’IA, gestion des talents et de l’inflation.
L’enjeu n’est pas technique, mais culturel
Trop de conversations sur DORA tournent autour des leviers technologiques (Security Information and Event Management, Endpoint Detection and Response, SOC 24/7...). Tous des éléments importants, certes, mais le véritable enjeu est culturel.
DORA suppose un changement profond dans la manière de penser le risque opérationnel et la résilience. Traditionnellement, la cyber-résilience est perçue comme une fonction défensive et technique, un problème de CISO (Chief Information Security Officer) et de CTO (Chief Technology Officer). Confinée à une fonction, bien séparée du reste.
Or DORA remet en question cette séparation. Elle exige une approche stratégique intégrée aux processus de création de valeur. Cela signifie que la résilience opérationnelle doit être une préoccupation commune au CEO, au CFO et au directeur commercial. Elle doit permuter avec la stratégie de croissance, l’innovation, les décisions de partenariat.
Cela implique une refonte profonde de la gouvernance, des responsabilités transversales clarifiées entre métiers et IT et une implication du leadership exécutif, afin de passer de « nous nous sommes conformés à DORA » à « nous avons transformé notre résilience en atout stratégique ». C’est un changement de culture.
L’urgence de la montée en compétences
DORA exige un profil nouveau de collaborateur : hybride, exigeant, rare. Ce profil combine une expertise métier bancaire (comprendre les métiers, les flux, les risques propres à la finance), une compréhension technique approfondie (pas besoin d’être ingénieur, mais il faut parler l’informatique, comprendre les architectures, les menaces technologiques) et une mentalité de risque cyber (capacité à identifier les vulnérabilités, à penser comme un attaquant, à anticiper les crises).
Mais ce profil n’existe pas en nombre suffisant sur le marché. Les institutions qui réussiront seront celles qui miseront sur une montée en compétences massive, ce qui implique non pas de simples formations ponctuelles, mais des programmes structurés : former les risk managers à la technologie, envoyer les développeurs en certification compliance, intégrer les traders à des exercices de cyber-résilience, etc. Ce n’est pas une option, c’est une obligation compétitive. Et c’est coûteux, en temps, en ressources, en perturbation. Mais l’alternative, rester vulnérable et inadapté, est pire.
L’open finance complexifie beaucoup DORA
À mesure que le secteur financier adopte les API (Application Programming Interfaces), les partenaires tiers, la tokenisation et les stablecoins, le périmètre de DORA s’élargit de façon exponentielle, et non plus linéaire.
Chaque API devient un point d’accès potentiel pour une attaque. Chaque intégration avec un fournisseur de services de paiement, un agrégateur de données, une plateforme de trading en blockchain ajoute un nœud vulnérable au réseau.
Une défaillance chez un partenaire peut avoir des conséquences en cascade. Un malware chez un fournisseur tiers peut se propager. Une indisponibilité d’un service externalisé paralyse immédiatement la chaîne. Cette complexité nouvelle impose un changement de paradigme complet : passer de la résilience interne à la résilience d’écosystème, impliquant une coordination permanente avec tous les partenaires et fournisseurs critiques.
Un an après DORA, on entend souvent parler de trois profils d’institutions « gagnantes » : les fast movers, qui modernisent à toute vitesse, les alliance builders, qui s’associent à des fournisseurs de confiance, et les culture shifters, qui mettent le cyber au cœur de la stratégie. Pour ces dernières, la résilience n’est pas une certification qu’on obtient à un instant T. C’est une discipline quotidienne, une mentalité et une organisation du leadership intégrées dans chaque décision stratégique.
