Ce que DORA exige
DORA établit un cadre unifié de gestion des risques ICT dans le secteur financier européen, couvrant les banques, les assureurs, les sociétés de gestion, les établissements de paiement et leurs prestataires tiers critiques. Ses cinq piliers — gestion des risques ICT, notification des incidents, tests de résilience opérationnelle numérique, gestion des risques liés aux tiers, et partage d'information — ne sont pas des concepts nouveaux, mais le règlement introduit des normes techniques contraignantes là où n'existaient auparavant que des lignes directrices.
Les exigences les plus opérationnellement exigeantes portent sur les tests de pénétration guidés par la menace (TLPT) pour les établissements significatifs, le registre des prestataires ICT tiers et le calendrier de notification des incidents majeurs — 4 heures pour la notification initiale, 72 heures pour le rapport intermédiaire.
Où les établissements peinent
Notre travail avec les institutions financières tout au long du parcours de conformité a identifié trois lacunes systémiques difficiles à combler rapidement.
Exhaustivité de l'inventaire tiers. La plupart des établissements ont découvert lors de l'exercice de cartographie que leur paysage réel de dépendances ICT était significativement plus étendu et complexe que leur registre d'actifs documenté. Le shadow IT, les intégrations non documentées et les chaînes d'approvisionnement multi-niveaux ont créé des angles morts substantiels.
Classification et escalade des incidents. La frontière entre un incident opérationnel et un incident majeur déclarable sous DORA nécessite des critères clairs et pré-convenus, intégrés dans les runbooks. De nombreux processus ITSM existants manquent de la granularité requise par DORA.
Préparation aux TLPT. Les tests de pénétration guidés par la menace diffèrent substantiellement des tests de pénétration conventionnels. Ils nécessitent un scoping basé sur le renseignement, des capacités red team et un environnement de test contrôlé que la plupart des établissements construisent de zéro.
Une feuille de route pragmatique
Les établissements qui ont navigué DORA le plus efficacement l'ont abordé comme un programme de résilience, non comme un exercice de conformité. En pratique, cela signifie prioriser le cadre de gestion des risques ICT et le registre des tiers comme infrastructure fondamentale — ces éléments débloquent les autres exigences — et traiter la mise à niveau de la gestion des incidents comme une opportunité de moderniser un outillage ITSM qui nécessitait une refonte indépendamment de DORA.
La perspective d'Architek
DORA est le changement réglementaire le plus conséquent pour l'architecture IT du secteur financier depuis PSD2. Les établissements qui le traitent comme un défi technologique et processuels — plutôt que juridique et documentaire — émergeront avec une résilience opérationnelle genuinement renforcée. Ceux qui ne le font pas feront face à une attention prudentielle continue et, plus important, à une vulnérabilité réelle face aux scénarios de perturbation que le règlement vise à adresser.