De nombreuses organisations ont abordé le DORA comme une initiative purement technologique, mais le règlement introduit des obligations qui affectent directement la continuité des activités, la gestion des scénarios, la cartographie des dépendances critiques et la gouvernance des risques.

À partir du 17 janvier 2025, toutes les entités financières européennes devront démontrer :

• une continuité des activités réellement intégrée au risque informatique
• la capacité de réagir à des incidents numériques graves
• un modèle de test structuré et annuel
• la résilience opérationnelle des fonctions essentielles ou importantes (FEI)
• la gestion des fournisseurs informatiques critiques selon des exigences formelles

Cela modifie profondément les attentes, les processus et les contrôles requis.

---

Les principaux impacts pour le responsable de la continuité des activités

• Cartographie des services et des dépendances critiques

La BCM et les TIC doivent converger vers une carte unique des services, des processus et des fournisseurs concernés.

• Alignement des RTO/RPO avec les capacités techniques réelles

Une BIA ne suffit plus : il faut des preuves techniques, documentées et mesurables.

• Tests obligatoires et cadre structuré

DORA exige des tests annuels de résilience opérationnelle numérique et, pour certaines entités, des exercices de type avancé (TLPT).

• Rapports d’incidents unifiés

Les processus BCM, ICT et Cyber doivent converger pour classer et signaler les incidents de manière cohérente.

• Gestion des fournisseurs informatiques critiques

Le BCM doit valider :

• capacité de continuité du fournisseur
• niveaux de service et de récupération
• contrats avec clauses d’audit et de sortie
• impacts éventuels sur les FEI

---

Que doit faire une entreprise pour se préparer ?

• Réviser le modèle d’analyse d’impact sur les activités à la lumière des FEI
• Aligner les plans de continuité informatique sur les RTO et les capacités réelles
• Créer une gouvernance commune entre BCM, risque ICT et cyber
• Mettre en place un processus unique de classification des incidents
• Mettre à jour le cadre de test avec des exercices réalistes
• Intégrer la gestion des fournisseurs informatiques critiques dans le BCM

---

Pour en savoir plus Si vous vous occupez de résilience, de continuité opérationnelle ou de gestion des risques, DORA représente l’un des changements les plus importants pour notre secteur au cours des dix dernières années. Continuitaly approfondit ces thèmes dans ses cours consacrés à la résilience opérationnelle, à la continuité des activités et à la conformité DORA, avec une approche pratique basée sur les normes internationales.

Téléchargez notre Fact Sheet - Regolamento DORA e BCM