DORA et la résilience numérique : Directeur technique d’une PME du secteur financier

Depuis le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act) s’applique directement à toutes les entreprises financières et à leurs prestataires TIC critiques.

Pour un DSI ou un CTO, DORA n’est pas seulement une exigence réglementaire, c’est un cadre stratégique pour renforcer la résilience numérique. Les systèmes informatiques doivent être capables de continuer à fonctionner en cas de cyberattaque, de panne d’un prestataire ou d’un incident majeur.

Cartographier et sécuriser les actifs critiques

La première étape consiste à identifier et cartographier les systèmes et services critiques :

• Applications financières essentielles, bases de données sensibles, plateformes cloud

• Interfaces avec les prestataires externes (SaaS, hébergement, services infogérés)

• Infrastructures réseau et systèmes de sauvegarde

Cette cartographie permet de prioriser les mesures de sécurité et d’aligner les ressources sur les éléments les plus critiques pour la continuité opérationnelle.

Gestion des incidents et reporting

DORA impose une gestion harmonisée des incidents et des délais stricts de déclaration :

• Détection rapide grâce à des systèmes de monitoring et alertes en temps réel

• Analyse de l’incident pour limiter l’impact

• Reporting structuré à la direction et aux autorités européennes

Le DSI doit mettre en place des procédures standardisées pour garantir une réponse efficace et documentée.

Surveillance et audits des prestataires

DORA renforce la surveillance des prestataires TIC critiques :

• Audits réguliers et questionnaires de conformité

• Contrats renforcés avec obligations de transparence

• Plans de continuité et procédures de sortie clairement définies

Le DSI travaille avec la direction et les achats pour assurer que tous les prestataires respectent ces exigences, réduisant ainsi le risque d’interruption externe.

Tests avancés de résilience

DORA impose la réalisation de tests réguliers pour valider la résilience opérationnelle :

• Pentest

• PRA (plan de reprise d’activité)

• Exercices de crise simulant des cyberattaques ou pannes majeures

Ces tests permettent de détecter les failles avant qu’elles ne deviennent des incidents réels et de renforcer la préparation des équipes techniques.

Collaboration avec la direction et les achats

Le DSI n’agit pas seul : DORA exige une coordination avec la direction et le responsable achats.

• Direction : validation des budgets et des plans de résilience, suivi stratégique

• Achats : sélection et contrôle des prestataires critiques

Cette approche transverse garantit que les décisions techniques sont alignées sur la stratégie globale et les obligations réglementaires.

L’avis Pérenne’IT, expert cybersécurité 

Pour Pérenne’IT, DORA représente une opportunité pour les DSI de démontrer leur valeur stratégique.

En mettant en place une cartographie des actifs critiques, une gestion rigoureuse des incidents, une surveillance des prestataires et des tests réguliers, les équipes techniques :

• réduisent le risque opérationnel,

• assurent la continuité des services financiers,

• et renforcent la crédibilité de l’entreprise auprès des régulateurs et partenaires.

DORA n’est pas seulement une contrainte réglementaire : c’est un levier pour renforcer la résilience et la performance opérationnelle de votre entreprise.