1. La loi européenne sur la résilience opérationnelle numérique (DORA) place la barre plus haut en matière de reprise des activités informatiques
La réglementation n’est peut-être pas très excitante, mais croyez-moi, DORA change la donne. L’Union européenne indique aux institutions financières que le temps d’arrêt n’est plus une option. Cette loi oblige les banques, les assureurs et les autres acteurs financiers clés à restaurer les systèmes informatiques critiques dans les deux heures suivant une panne. Pourquoi ? Pour protéger les consommateurs et assurer la stabilité de l’écosystème financier.
Imaginez la situation suivante : vous êtes une banque et votre système tombe en panne pendant une journée : Vous êtes une banque et votre système tombe en panne pendant une journée. Les clients n’ont plus accès à leurs fonds, les transactions sont bloquées et la confiance est ébranlée. C’est ce que DORA est censé éviter. Il s’agit d’une approche proactive plutôt que réactive, d’un plan de résilience qui garantit que les entreprises peuvent faire face aux perturbations sans compromettre le service.
DORA n’est pas non plus réservé aux entreprises de l’UE. Si votre activité touche les marchés de l’UE, vous êtes concerné. Il s’agit désormais d’une préoccupation mondiale. La date limite de mise en conformité est dépassée. Si vous n’êtes pas encore prêt, c’est maintenant qu’il faut agir.
2. Les systèmes de sauvegarde ne suffisent pas
Trop d’entreprises commettent une erreur grave : elles pensent que le fait d’avoir des sauvegardes signifie qu’elles sont préparées. Ce n’est pas le cas. Les sauvegardes ne sont que la première étape. Si vous ne pouvez pas récupérer rapidement et efficacement, vos sauvegardes sont inutiles.
Le processus de processus de rétablissement est le moment où vous gagnez ou perdez. Les entreprises sont souvent prises au dépourvu parce qu’elles ne testent pas leurs systèmes. Un plan sur papier n’est pas la même chose que sa mise en œuvre au milieu d’une crise. Vous devez simuler des pannes et effectuer des exercices de récupération. Ces exercices révèlent les points faibles : vos sauvegardes sont peut-être obsolètes, ou votre équipe n’est peut-être pas prête à faire face à la pression.
« Ne vous contentez pas de supposer que les systèmes fonctionnent. Vous devez les tester, encore et encore, jusqu’à ce que les défaillances soient éliminées. C’est l’état d’esprit que les entreprises doivent adopter pour assurer leur résilience informatique ».
3. Les DSI sont les acteurs clés de la conformité à la loi DORA.
Le directeur des systèmes d’information (DSI) est la personne qui fait fonctionner la technologie. Dans le cadre de la loi DORA, le rôle du DSI n’a jamais été aussi crucial. C’est à lui de déterminer si l’entreprise est concernée par ces réglementations et, le cas échéant, de veiller à ce que la conformité soit intégrée dans les opérations.
La première étape consiste à collaborer. Le DPI ne peut pas agir seul. Il doit travailler avec les responsables de la sécurité de l’information (CISO), les équipes chargées de la conformité et les auditeurs externes pour couvrir toutes les bases. Cela signifie qu’il faut créer une stratégie de reprise solide, sécuriser les systèmes contre les cybermenaces et tester régulièrement tous les éléments pour s’assurer qu’ils fonctionnent sous pression.
Pour les DSI, il s’agit d’une question de leadership. La conformité à la loi DORA doit être envisagée dans une perspective à long terme. C’est la différence entre se précipiter en cas de crise et être prêt à agir. La préparation est un avantage concurrentiel considérable.
4. La non-conformité est une erreur coûteuse
Le non-respect de ces exigences peut entraîner des amendes considérables, pouvant aller jusqu’à 20 millions de dollars par incident. Mais ce n’est pas le pire. La non-conformité nuit à votre réputation. Les clients perdent confiance, les autorités réglementaires commencent à vous harceler et la presse s’en donne à cœur joie. C’est le genre de tempête qu’aucune entreprise ne souhaite affronter.
Il s’agit là d’un problème plus profond. De nombreuses entreprises pensent qu’elles peuvent faire des économies jusqu’à ce qu’un problème survienne. C’est comme les excès de vitesse : personne ne s’en aperçoit tant que vous n’êtes pas arrêté. Mais dès qu’une perturbation se produit, vous êtes exposé. Les amendes réglementaires, les coûts de rétablissement et les pertes d’activité s’accumulent rapidement.
Prenez l’incident CrowdStrike en 2024Il a entraîné l’immobilisation de vols, perturbé les transactions financières et coûté 500 millions de dollars à Delta Air Lines. C’est un exemple concret de ce qui se passe lorsque les systèmes ne sont pas préparés au pire. DORA existe pour prévenir exactement ce type de catastrophe.
Principaux enseignements pour les chefs d’entreprise
- La loi DORA impose un rétablissement rapide : La loi européenne sur la résilience opérationnelle numérique (DORA) exige des institutions financières qu’elles rétablissent les fonctions informatiques essentielles dans les deux heures suivant une panne. La conformité n’est pas négociable et les entreprises doivent s’assurer que leurs systèmes peuvent se rétablir rapidement afin d’éviter les pénalités et les perturbations opérationnelles.
- Les DSI doivent diriger les efforts de résilience : Les DSI doivent évaluer l’impact de la loi DORA sur leur organisation, superviser la conformité et s’assurer que les protocoles de reprise sont en place. Cela implique de collaborer avec les RSSI, de tester les sauvegardes et de s’assurer que les procédures de reprise sont efficaces sous pression.
- Les systèmes de sauvegarde ne suffisent pas : Le simple fait de disposer de sauvegardes ne garantit pas la conformité ou la résilience. Les entreprises doivent tester et valider régulièrement leurs processus de récupération afin de garantir une restauration rapide et fiable en cas de panne, et de minimiser les coûts liés aux temps d’arrêt.
- La non-conformité risque d’entraîner des sanctions importantes : Le non-respect des exigences de la loi DORA peut entraîner de lourdes amendes, une atteinte à la réputation et une augmentation des coûts opérationnels. Les DSI doivent donner la priorité aux tests continus et aux évaluations en temps réel pour rester en conformité et limiter les risques.
