Dora ou comment dépasser la dimension de contrainte du projet européen

Dora renforce l'arsenal réglementaire voulu par Bruxelles. Pensée comme un projet global, cette directive permettra aux institutions financières d'atteindre un consensus sur l'exploitation de la donnée.

Dora pour Digital Operational Resilience Act ou Réglemenation sur la résilience opérationnelle numérique. Applicable en janvier 2025, à l’ensemble des 27, la directive vise à étendre et harmoniser les normes européennes et nationales, pour la résilience opérationnelle des sociétés financières. Directive multidisciplinaire, pensée comme un projet global par Bruxelles, Dora permettra aux institutions financières (prestataires et fournisseurs de services informatiques compris) d’atteindre un consensus sur la gestion et l’exploitation de la donnée.

Comme en toutes matières, il convient de rappeler les éléments de contexte et de définir les notions. Fin septembre 2020, la Commission européenne publie le projet Digital Operational Resilience sous forme d’une proposition de mesure visant à encourager la digitalisation du secteur financier : établissement de crédit, de paiement, prestataire de services cryptoactifs, assureur, fournisseur de services TIC (Technologies de l’information et de la communication) et gestionnaire d’actifs et tiers. Le 27 décembre 2022, le règlement paraît au J.O. de l’Union, après son adoption par le Parlement européen le 10 novembre 2022 et par le Conseil de l’U.E. le 28 novembre 2022, pour une entrée en vigueur le 16 janvier 2023. D.O.R.A. s’appliquera à l’ensemble des 27, à la date du 17 janvier 2025.

Cette réglementation intervient dans un contexte de dépendance de nos économies aux technologies numériques, de forte demande des entreprises pour les services cloud, d’instabilité des marchés financiers, d’accroissement des menaces de sécurité... Dora est un acronyme pour appeler ou exiger le renforcement de la résilience opérationnelle du secteur financier contre les incidents et répondre à un environnement géopolitique fragile.

Avons-nous des raisons de lire Dora et l’implémentation des RTS comme un excès de régulation venu de l’Union ? Non, car les réglementations sont essentielles au maintien d’un socle commun pour nos institutions financières ; et à la prévention de prises de risques inconsidérées, en garantissant une capitalisation adéquate et en réduisant la probabilité de faillites ou de crises financières. Formulé autrement, elles contribuent à rassurer les marchés et à maintenir la confiance dans le système financier.
Elles agissent comme un fil d’Ariane pour les consommateurs, les entreprises et les investisseurs, au moment de déléguer la gestion de leurs actifs. Dora dépasse la simple volonté de régulation. Elle peut être lue comme une réponse aux nouveaux enjeux de protection et de croissance pour les pays de la zone euro. Cette réponse voulue par les 27, contraignante au dire de certains, repose sur l’harmonisation du secteur financier et une attention accrue portée à l’atténuation des risques. Il s’agirait bien plus d’y voir un appel à la responsabilisation.

Pour une lecture organisationnelle de Dora

Dora ne doit pas être compris comme une révolution pour les institutions financières, mais bien plus comme une évolution. Elle cristallise les efforts qui sont menés depuis plusieurs années par le secteur. Il serait faux de croire que les sociétés financières ont attendu Dora pour redessiner leur culture d’entreprise ou entamer des projets de mises en conformité. Il en va de même pour les fournisseurs de services cloud... Il est vrai que l’accélération de la demande des entreprises, quel que soit le secteur, pour les services cloud a eu pour effet de mettre en lumière les problématiques de mise en conformité.

Ceci dit, à la lecture des R.T.S., nous sommes d’emblée porter à aborder Dora sous le prisme de la contrainte des demandes de livrables attendus par l’Autorité de contrôle prudentiel et de résolution (A.C.P.R.). Il ne s’agirait en, effet pas de les taire : notification des incidents majeurs, attention accrue sur la chaîne de transmission du risque, suivi renforcé des clauses contractuelles... Interrogé par plusieurs médias, le superviseur promet une certaine souplesse dans les premiers temps qui suivront janvier 2025.

Une fois que nous avons dit cela, il convient de s’intéresser de plus près aux conséquences pour l’entreprise. Dora est un projet total ou transverse, en ce sens qu’il concerne plusieurs fonctions de l’entreprise : la direction des risques, la sécurité l’informatique, la continuité, la partie juridique... Tout l’enjeu pour les organisations est de parvenir à la même compréhension du texte et de parvenir à fédérer toutes les directions autour d’un projet commun. Nous comprenons que cette tâche exigera une acculturation pour espérer voire travailler conjointement des directions qui, en temps normal s’ignorent ou ne parlent pas le même langage. Et si Dora était finalement le texte fondateur attendu par toutes les organisations, pour enfin faire tomber les cloisons ?

Dora n’est donc pas qu’un exercice de pure conformité ou de transmission de formulaires. Il s’agit d’un défi organisationnel.
Rappelons aussi que Dora oblige non seulement l’institution financière, mais aussi toute la chaîne de prestataires ou tous les sous-traitants qui réalisent réellement le service pour le compte de cette entité. L’institution financière doit, en effet, savoir si en cas de défaillance de son sous-traitant il ne pourrait pas y avoir un impact sur la continuité du service. Comprenez que pour mener une surveillance ou avoir une vision holistique, il faudrait disposer de suffisamment de ressources en interne. Ceci renvoi ipso facto à une problématique organisationnelle et sans doute budgétaire.

Résilience opérationnelle ?

Nous ne pourrions bien sûr pas aborder Dora sans interroger ce que recouvre la notion de résilience opérationnelle. La résilience opérationnelle, c’est avoir la garantie que vous disposez de toutes les ressources opérationnelles, permettant d’assurer la continuité de service sans impacts pour vous et vos clients. En des termes prosaïques, c’est adopter une posture qui consisterait à se dire que : "la prochaine crise financière, le prochain naufrage d’un porte-conteneur obstruant le Canal de Suez, la prochaine cyberattaque ou la prochaine pandémie n’est jamais très loin ; il faut se tenir prêt et maintenir l’activité". Il ne s’agit pas pour l’entreprise d’être sous pression permanente, mais d’intégrer à ses activités la notion de risque et d’obligation de conformité. Il pourra être utile à cet effet de disposer d’une plateforme de données rendant accessible les informations critiques permettant d’apporter une réponse immédiate et éviter les mauvaises décisions en cas d’incident.

La résilience opérationnelle c’est donc, encourager les organisations à anticiper les incidents et à y répondre avec perspicacité, qu’elles disposent des ressources en internes ou qu’elles s’appuient sur l’expertise d’un fournisseur de service cloud, par exemple. Ceci implique de disposer d’une bonne gouvernance, qui présuppose que tous les métiers ont une connaissance étendue des risques, des partenaires... 
De prime abord, nous sommes conduits à penser que la résilience opérationnelle ne concerne que la capacité à fournir un service sans rupture, à réduire les risques en cas de panne ou de cyberattaque. Cette résilience opérationnelle vaut aussi aussi en cas de réversibilité ou être en mesure de récupérer ses données en cas de cessation de contrat. Autre incident, les cas de portabilité, de migration vers un autre fournisseur, un autre data center, etc. La résilience opérationnelle dans le cas de Dora c’est être paré à répondre à une pluralité de scénarios.

Si à ce stade, il est impossible de dresser un premier bilan des effets de Dora, il importe déjà de s’assurer que les fournisseurs de services informatiques disposent de la maturité nécessaire à la compréhension des textes et engagent déjà des opérations de suivi pour veiller au respect des exigences. Il faudrait accepter de percevoir Dora non comme une obligation, mais comme l’opportunité offerte d’avoir un environnement financier pacifié et sécurisé. Dora est aussi l’occasion de repenser ses pratiques en interne, d’avoir une nouvelle vision de la relation avec ses prestataires, pour répondre collectivement aux risques. Bien que l’avenir pourrait nous donner tort, nous sommes convaincus que la complexité opérationnelle et les obligations en matière de gouvernance qui accompagnent Dora profiteront à l’ensemble de l’industrie financière.