Ciblant le secteur financier et ses prestataires, le Digital Operational Resilience Act (ou Dora) doit entrer en application le 17 janvier 2025 au plus tard, imposant un certain nombre de mesures pour limiter les perturbations qu'entraînent les dysfonctionnements des systèmes d'information (que ceux-ci résultent d'attaques ou de pannes). Selon une étude menée par le cabinet d'audit et de conseil Grant Thornton, 75% des entreprises soumises à Dora avaient engagé fin 2023 de premiers travaux de mise en conformité.
Mais les entreprises interrogées en étaient alors majoritairement à des actions liées au lancement du projet : analyse d'écarts, nomination d'un chef de projet, recensement des tiers, établissement du planning de mise en conformité. Seuls 30% des organisations avaient entamé la refonte des politiques internes et procédures et elles étaient même un peu moins nombreuses à avoir lancé l'identification des SI supportant les systèmes d'information critiques.
Calendrier intenable ?
Autrement dit l'échéance de la mi-janvier 2025 apparaît bien difficile à tenir pour la plupart d'entre elles. « L'ensemble du schéma [de Dora, NDLR] est cohérent en raison des niveaux d'exigence attendus, mais il demeure très (voire trop) ambitieux dans ses délais de mise en oeuvre », souligne Thierry Olivier, le directeur du programme Dora de la Société Générale, cité dans l'étude.
Parmi les 102 organisations interrogées, 80% n'ont pas été exposées à une perturbation IT majeure au cours des 24 derniers mois, les attaques cyber étant la première cause des crises vécues par les entreprises ayant connu ce type d'événements sur la période. Les répondants se montrent toutefois assez pessimistes sur la survenue de crises touchant leur SI, 97% d'entre eux estimant que leur organisation devra faire face à une crise cyber dans les 5 ans qui viennent. Le risque principal aux yeux des répondants, devant celui lié... précisément à la non-conformité réglementaire (82%).
Prestataires IT : un risque encore mal pris en compte
Malgré ce renforcement des risques, 93% des répondants se disent confiants dans la capacité de leur organisation à y faire face. Et 77% d'entre eux estiment que les principes de résilience sont déjà intégrés à sa stratégie, un des objectifs de Dora. Sauf que les responsables interrogés ont peut-être une définition plus restrictive de ces pratiques que les ambitions affichées par le règlement européen, souligne Grant Thornton. Ainsi, 74% des répondants à l'étude indiquent que la résilience doit assurer le maintien d'un haut niveau de service en cas de crise, et 72% qu'elle doit permettre de mieux gérer les risques. Mais moins d'un sur trois y voit un levier pour renforcer la confiance entre les différentes parties prenantes (prestataires, clients, régulateur...), alors qu'il s'agit d'un enjeu essentiel de Dora.
De même, alors que plus de 60% des répondants jugent leur organisation majoritairement ou totalement conforme au règlement (avec toutefois des faiblesses reconnues dans la gestion des prestataires de services IT), le cabinet d'audit indique que, dans le cadre de ses missions sur le sujet, seules quatre entreprises sur dix environ l'étaient réellement. « On nous a vendu que Dora serait un simple renforcement de l'existant. Honnêtement, je découvre chaque jour les implications de ce texte au niveau organisationnel, soupire le RSSI d'une entreprise du secteur des assurances, cité dans l'étude. Il va falloir par exemple, qu'on mette en place une astreinte 24/7 et je ne vois pas avec quels moyens on va pouvoir le faire. » En plus de ce manque de ressources - cité par plus de 60% des répondants -, les entreprises concernées par le règlement se heurtent au manque de connaissance du sujet et à la difficile compréhension d'un texte aux multiples implications.
Dora : une mise en conformité semée d'embuche
Le règlement européen Dora sur la résilience opérationnelle des institutions financières et de leurs prestataires IT est plus qu'un simple renforcement des pratiques existantes. Un objectif trop ambitieux pour tenir les délais visés ?