Réglementation DORA : un après, quel est le bilan ?
Le 17 janvier 2026 marquera les un an de l’entrée en vigueur de la réglementation européenne DORA (Digital Operational Resilience Act), qui vise à renforcer la résilience numérique des entités financières face aux risques cyber. Si douze mois se sont écoulés, de nombreuses organisations financières peinent encore à atteindre le niveau attendu des mesures à prendre pour assurer la résilience de leurs données.
A l’approche de la date anniversaire de cette réglementation, John Crossno, Directeur de la Gestion de Produits chez Rocket Software, livre son analyse :
« L’objectif de DORA est de prévenir les pannes informatiques et garantir une reprise rapide des systèmes pour protéger les consommateurs. Les organisations concernées par cette réglementation doivent être capables de remettre rapidement leur système en état. Désormais, la conformité DORA doit être entièrement intégrée dans les politiques d’entreprise et les programmes de résilience.
Pour atteindre l’objectif fixé par la réglementation, les systèmes de récupération sont la clé. Ils réduisent le temps de panne et limitent les coûts d’un incident, qu’il soit dû à une cyberattaque ou non. Dans le contexte d’une panne, les organisations doivent alors s’assurer qu’elles détiennent des sauvegardes appropriées ou des captures d’écran de l’environnement de l’entreprise. Souvent négligés, les protocoles de récupération sont tout aussi importants dans cette situation que le système de restauration, puisque la sauvegarde de ce dernier est utile uniquement lorsque des protocoles efficaces sont mis en place. Il est surprenant de constater le nombre d’entreprises ayant des sauvegardes fonctionnelles sans tester leurs procédures de restauration.
Beaucoup d’organisations se dirigent ainsi vers des solutions de sauvegardes qui produisent des audits attestant de leur conformité. Néanmoins, si le protocole de restauration n’a jamais été testé ou audité, alors elles ne peuvent pas être entièrement confiantes de leur capacité à se rétablir rapidement d’une panne. Au minimum, les DSI doivent être informés de toutes les décisions prises concernant la conformité et garantir que des procédures efficaces soient mises en place pour les restaurations de sauvegardes. De plus, les organisations doivent tester régulièrement leurs systèmes avec des tests de pénétration et analyses antivirus, ainsi que vérifier les contrôles d’accès aux systèmes critiques de manière continue.
Pour finir par une métaphore, la conformité s’apparente au respect du code de la route. Un motard peut s’affranchir des limitations et être en sécurité jusqu’à ce qu’il soit arrêté. Si aucun contrôle n’a lieu, personne ne le sait. Toutefois, au moindre incident, si les standards attendus ne sont pas respectés, c’est à cet instant que les amendes, l’atteinte à la réputation et les coûts de régularisation entrent en jeu. »