Le Règlement DORA en pratique : Comment se préparer à la conformité avec la nouvelle réglementation européenne sur la résilience numérique

Alexandre Fontaine
Associé WLF

RGPD, LPM, NIS2, CRA, CER, DORA, autant d'acronymes et de réglementations européennes ou nationales qui épaississent un peu plus chaque année le millefeuille législatif et réglementaire auquel les banques et les organismes financiers sont aujourd'hui confrontés.
Cette croissance exponentielle des contraintes réglementaires cyber et IT s'explique notamment par la transformation numérique rapide du secteur financier qui a introduit de nouveaux risques opérationnels notamment en matière de cybersécurité et de continuité des activités. Le risque cyber étant certainement aujourd'hui le risque systémique le plus critique auquel nous sommes exposés à cause notamment de l'interconnexion croissante de nos systèmes. Le dernier rapport de l'EBA (European Banking Authority) de juillet 2024 précisait ainsi que 78 % des banques européennes considèrent que le risque cyber est le plus important de leurs risques opérationnels.
Pour répondre à ces défis, l'Union européenne a introduit la réglementation DORA (Digital Operational Resilience Act), qui vise à harmoniser et renforcer les exigences en matière de résilience opérationnelle numérique et de gestion des risques liés aux technologies de l'information et de la communication (TIC) pour tous les acteurs du monde financier et assurantiel au sein de l'Union Européenne.
Sans pour autant révolutionner les exigences auxquelles nous sommes confrontés, le Règlement DORA nécessite notamment du fait de son caractère extrêmement transverse de déployer un dispositif ambitieux et adapté. Dans son courrier de septembre 2024, la BCE formulait son attente que tous les établissements bancaires allouent les ressources nécessaires afin d'assurer leur conformité pour l'échéance du 17 janvier 2025.
Cet article a pour ambition de partager dix bonnes pratiques issues de nos expériences dans le pilotage de programmes de conformité réglementaire pour assurer une gouvernance efficace dans la mise en conformité avec DORA.
1. Structurer sa veille réglementaire et maîtriser les exigences
À la différence d'autres réglementations, le règlement DORA nous a demandé de commencer à lancer notre processus de mise en conformité sur un corpus non stabilisé. En effet, si le règlement en tant que tel était bien publié au journal officiel de l'UE en décembre 2022, les standards réglementaires techniques et d'exécution (RTS et ITS) rédigés par les 3 autorités européennes de supervision (ESMA, EBA et EIOPA) ont été publiés au fil de l'eau, dont certains jusqu'au deuxième semestre 2024 pour une conformité demandée le 17 janvier 2025.
Cela souligne d'autant plus la nécessité d'avoir préalablement structuré correctement sa veille réglementaire. La première étape vers une mise en conformité réussie est donc de bien comprendre les exigences imposées par DORA. Cela nécessite une veille réglementaire continue pour suivre l'évolution du cadre législatif, les lignes directrices des régulateurs ainsi que les nouvelles obligations qui pourraient émerger.
Comment faire :
- Mettre en place une cellule de veille réglementaire composée de juristes, d'experts en conformité et d'experts IT et cybersécurité.

Figure 1 : Processus de veille réglementaire
2. Mettre en œuvre un programme et une organisation dédiés et adaptés
La mise en conformité avec DORA ne peut pas être réalisée sans une organisation clairement définie. Il est essentiel de mettre en place un programme dédié à la gestion de la conformité DORA, avec une équipe en charge de la supervision et de l'exécution des différents travaux de conformité. Notre recommandation est d'intégrer la structure mise en place à celle déjà en charge de la conformité réglementaire cyber afin de pouvoir bénéficier des retours d'expérience sur les mises en conformité déjà réalisées précédemment.
Comment faire :
- Établir un programme de conformité spécifique à DORA, avec des objectifs clairs, des échéances précises et des rôles définis pour chaque membre de l'équipe.
- Nommer un responsable du programme qui coordonne les différentes parties prenantes internes (IT, juridique, risques, conformité, direction).
- Allouer des ressources adéquates pour le suivi du projet, y compris des budgets et des outils spécialisés.

Figure 2 : Organisation type d'un programme de conformité
3. Coconstruire et valider sa stratégie de conformité
La stratégie de conformité doit être coconstruite avec les parties prenantes clefs de l'organisation afin d'assurer qu'elle est réaliste et bien alignée avec les objectifs globaux et la stratégie de l'entreprise. Cette approche collaborative garantit que la stratégie est adaptée aux spécificités de l'organisation.
Comment faire :
- Impliquer les départements IT, risques, juridiques, métiers et direction générale dans la définition de la stratégie.
- Valider la stratégie avec l'ensemble des parties prenantes, en assurant qu'elle couvre les aspects critiques de DORA : gestion des risques TIC, résilience opérationnelle, supervision des prestataires externes.
- Mettre en place des processus d'approbation formelle de la stratégie à différents niveaux de l'organisation.
4. Communiquer et expliquer sa démarche de conformité
Une communication claire et transparente est essentielle pour garantir l'adhésion de l'ensemble des collaborateurs et des parties prenantes. Expliquer les enjeux et la démarche de conformité renforce la mobilisation et la compréhension des actions à entreprendre.
Comment faire :
- Développer un plan de communication interne pour expliquer la démarche de conformité aux différentes équipes.
- Organiser des sessions d'information pour sensibiliser les collaborateurs aux risques TIC et à la résilience numérique.
- Créer des supports pédagogiques (guides, vidéos, infographies) pour rendre l'information accessible à tous.
- Identifier et mettre en avant des opportunités et bénéfices tangibles amenés par le programme de conformité DORA.
5. Organiser sa relation avec les régulateurs
Les régulateurs jouent un rôle central dans le suivi de la conformité au règlement DORA. Une relation proactive avec eux est cruciale pour anticiper les exigences et répondre rapidement à toute demande ou inspection.
Comment faire :
- Désigner un point de contact au sein de l'organisation pour gérer les relations avec les régulateurs.
- Organiser des réunions régulières avec les autorités de régulation pour discuter de l'avancement des actions de mise en conformité.
- Maintenir un dialogue ouvert et transparent pour s'assurer que les régulateurs sont informés des progrès réalisés et des éventuels obstacles rencontrés.
6. Mettre en place des coopérations externes productives
Le règlement DORA met en avant l'importance des partenariats externes, en particulier dans la gestion des fournisseurs de services TIC. Travailler en étroite collaboration avec ces partenaires externes permet de garantir leur conformité et leur capacité à respecter les exigences de résilience opérationnelle.
Comment faire :
- Sélectionner des partenaires et prestataires TIC qui sont eux-mêmes en conformité avec DORA.
- Établir des relations contractuelles solides, précisant les attentes en matière de résilience numérique et de gestion des incidents.
- Créer des comités de pilotage avec les fournisseurs clés pour assurer une collaboration continue.
7. Anticiper la gouvernance du maintien de sa conformité
La conformité à DORA n'est pas une action unique, mais un processus continu qui à la différence d'autres réglementations ne sera pas matérialisée par une homologation interne. Il est donc essentiel d'anticiper la gouvernance à long terme et de définir les mécanismes qui permettront de maintenir cette conformité sur la durée.
Comment faire :
- Mettre en place des audits internes réguliers pour vérifier que les processus de maintien de la conformité restent alignés avec les exigences réglementaires.
- Établir un plan de révision périodique des politiques de conformité afin de s'adapter aux évolutions technologiques et réglementaires.
- Assurer une formation continue des équipes pour qu'elles restent à jour sur les nouvelles obligations.
8. Piloter sa conformité par les livrables et les preuves de conformité
Les régulateurs attendent des preuves tangibles de la mise en conformité. Il est donc crucial de piloter la conformité avec des livrables précis et des preuves documentées démontrant en cas de contrôle que les exigences sont respectées.
Comment faire :
- Identifier des livrables précis pour chaque exigence DORA (par exemple : rapports d'audit, tableaux de bord de suivi des incidents, contrats avec les fournisseurs).
- Centraliser toutes les preuves de conformité dans un référentiel accessible aux équipes internes et aux régulateurs.
- Automatiser, lorsque possible, la collecte des preuves de conformité grâce à des outils spécialisés (par exemple : solutions de GRC – Gouvernance, Risques et Conformité).
9. Démontrer sa conformité par un processus adapté
Pour prouver la conformité, il est nécessaire de mettre en place un processus structuré et adapté qui permet de démontrer de manière continue que l'organisation répond aux exigences de DORA.
Comment faire :
- Créer des tableaux de bord de conformité qui présentent l'état d'avancement du projet, les écarts identifiés et les actions correctives entreprises.
- Mettre en place des processus de reporting internes pour informer la direction générale et les parties prenantes de l'état de la conformité.
- Préparer les équipes à des contrôles et audits externes en formalisant les processus et en consolidant les preuves de conformité.
10. Être bien accompagné et bien outillé
La mise en conformité avec DORA est un processus complexe qui nécessite un accompagnement et des outils adaptés. Faire appel à des experts et utiliser des outils performants permet de structurer le projet et d'assurer un suivi efficace.
Comment faire :
- S'entourer de consultants spécialisés en conformité DORA pour bénéficier d'une expertise externe si vous ne disposez pas de l'expertise nécessaire au sein de votre organisation.
- Choisir des solutions technologiques adaptées pour automatiser notamment la gestion des risques, des incidents et la production des rapports de conformité.
- Effectuer une veille sur les nouveaux outils et technologies pour optimiser la gestion du programme de conformité.
Conclusion
La mise en conformité avec le Règlement DORA représente bien plus qu'un simple attendu réglementaire supplémentaire, il s'agit avant tout d'une occasion unique de disposer d'un levier de transformation et de maturité numérique pour tous nos établissements financiers.
En suivant ces 10 bonnes pratiques de gouvernance, les organisations financières pourront structurer efficacement leur démarche, assurer un suivi rigoureux et garantir leur conformité sur le long terme. La clef du succès réside dans la collaboration entre toutes les parties prenantes, la mise en place d'outils adaptés et une approche proactive de la gestion des risques TIC.
Le règlement DORA constitue un cadre essentiel pour renforcer la résilience numérique des banques. En mettant en place les mesures requises, les institutions financières porteront non seulement leurs propres opérations, mais elles contribueront également à la stabilité et à la confiance dans le système financier global. L'adhésion aux exigences de DORA est ainsi un investissement stratégique dans la sécurité, la continuité et la transparence, éléments clés pour naviguer plus sereinement dans l'environnement interconnecté des services financiers modernes.
Besoin d'accompagnement ?
Les consultants de WLF vous accompagnent dans votre mise en conformité DORA : structuration du programme, veille réglementaire, pilotage et gouvernance. Contactez-nous pour un premier échange.

