Cybersécurité, sobriété numérique, responsabilité des fournisseurs : DORA devient un accélérateur de transformation pour les acteurs financiers les plus exposés, leur imposant une approche harmonisée de la résilience numérique.
La réglementation sur la résilience opérationnelle numérique (DORA) établit des normes strictes en matière de résilience des technologies de l’information et de la communication (TIC) pour les institutions financières et leurs prestataires tiers de services TIC opérant ou réalisant des transactions dans l’UE. Applicable depuis janvier 2025, DORA vise à protéger la stabilité financière de l’Europe en garantissant que les entreprises puissent résister aux perturbations TIC et s’en remettre efficacement. Cette nécessité est d’autant plus critique que 78 % des institutions financières de l’UE couvertes par DORA ont subi une violation de données par des tiers en 2024 (cf. ebook Simplify DORA), illustrant ainsi l’urgence de renforcer la cybersécurité et la gestion des risques.
Si les défis liés à la mise en conformité restent une priorité pour une large majorité du secteur — 46 % des entités financières considèrent la conformité et la gestion des risques comme leur principal enjeu (source IDC) — l’entrée en vigueur du Digital Operational Resilience Act (DORA) peut également représenter une opportunité pour réduire l’empreinte carbone des organisations, au-delà des seuls enjeux de cybersécurité.
DORA : pour renforcer la résilience numérique
La transformation numérique du secteur financier s’accompagne d’une exposition accrue aux cybermenaces, aux défaillances techniques et aux risques liés à l’externalisation. Face à ces enjeux croissants, l’Union européenne a introduit le règlement DORA pour harmoniser et renforcer la gestion des risques numériques au sein du secteur.
L’objectif principal de DORA est d’assurer la résilience des infrastructures numériques face aux cybermenaces en s’appuyant sur cinq piliers clés :
- Gestion des risques liés aux TIC : les institutions doivent adopter des processus robustes pour identifier, évaluer, maîtriser et atténuer les risques numériques tout au long du cycle de vie des technologies.
- Gestion, classification et signalement des incidents majeurs : toute défaillance importante devra être notifiée rapidement aux autorités, favorisant une réponse coordonnée.
- Tests de résilience : des tests avancés, tels que les TLPT (Threat-Led Penetration Testing), permettront d’évaluer la résistance des systèmes face à des cyberattaques réalistes.
- Maîtrise de la dépendance aux prestataires : les relations avec les fournisseurs externes doivent être encadrées par des dispositifs de surveillance, d’évaluation et de continuité contractuelle.
- Partage d’informations sur les menaces : DORA encourage la coopération entre acteurs pour une meilleure anticipation des risques.
Ce cadre réglementaire impose un nouveau standard de vigilance, mais il peut aussi être vu comme une occasion d’améliorer l’organisation des systèmes d’information et d’intégrer des pratiques plus efficientes, plus durables et plus automatisées.
Vers une cybersécurité renforcée et engagée
DORA incarne une cybersécurité qui dépasse le simple cadre technique. Elle s’inscrit dans une démarche de responsabilité sociétale qui intègre des dimensions environnementales, éthiques et sociales :
- Réduction de l’empreinte carbone : en incitant à la modernisation des infrastructures IT, DORA favorise l’adoption de solutions sobres en énergie, comme les data centers optimisés, le cloud éco-conçu ou la virtualisation. Ces technologies permettent de rationaliser les ressources, de limiter la surconsommation énergétique et de réduire les déchets numériques.
- Encadrement des fournisseurs technologiques : les prestataires de services numériques sont soumis à des critères plus exigeants en matière de sécurité, de continuité et de durabilité. Cela encourage des relations plus transparentes et responsables, et incite les fournisseurs à adopter des standards éthiques plus élevés.
- Inclusion numérique : la sécurisation des services numériques bénéficie directement aux publics les plus vulnérables, en assurant la continuité et la fiabilité des services essentiels. Cela contribue à renforcer la confiance dans le numérique et à réduire les fractures numériques.
En intégrant ces aspects, DORA transforme la cybersécurité en levier de transformation responsable, aligné avec les attentes croissantes des parties prenantes : clients, investisseurs, régulateurs et collaborateurs.
DORA : Un moteur de transformation numérique durable
DORA ne se limite pas à une obligation de conformité. Il constitue un catalyseur de transformation numérique durable, en alignant les objectifs réglementaires avec les engagements environnementaux, sociaux et de gouvernance des entreprises.
La mise en conformité exige une refonte des architectures numériques, avec une meilleure gestion des données, une automatisation accrue des processus et une rationalisation des ressources IT. Cette transformation s’inscrit dans une logique d’efficacité énergétique et de sobriété numérique, contribuant à une baisse mesurable de l’empreinte carbone.
Exemple : Rabobank, entre conformité et efficacité durable
Le cas de Rabobank illustre concrètement cette dynamique. La banque a mis en place une plateforme centralisée basée sur la Hitachi Content Platform (HCP), permettant d’automatiser la collecte, la sécurisation et l’indexation de ses données. Résultat : un temps de recherche divisé par plusieurs dizaines, des coûts réduits et une gestion optimisée des ressources numériques. Cet exemple montre comment la mise en conformité avec DORA peut générer des bénéfices concrets en matière d’efficacité et de durabilité.
DORA permet également de structurer la communication extra-financière : les efforts réalisés en matière de cybersécurité responsable peuvent être valorisés dans les rapports ESG, montrant une volonté proactive de réduire l’impact environnemental du numérique tout en anticipant les futures obligations réglementaires.
DORA ne doit pas être vue uniquement comme une contrainte réglementaire, mais comme un véritable levier de transformation alliant cybersécurité, performance, engagement durable. En renforçant la protection des systèmes d’information tout en intégrant des critères RSE, la réglementation permet aux entreprises d’améliorer leur résilience face aux cybermenaces tout en réduisant leur empreinte environnementale.
À terme, l’harmonisation entre conformité réglementaire, cybersécurité et responsabilité sociétale s’imposera comme un standard incontournable. Ce modèle pourrait même inspirer d’autres secteurs au-delà de la finance, comme celui de la santé ou encore de la télécommunication, en encourageant une approche plus globale de la gestion des risques et de la durabilité numérique.
____________________________
Par Laurent Delaisse, Director Enterprise Tech Sales Lead EMEA chez Hitachi Vantara