Il existe des moments dans l’histoire des institutions où une réglementation dépasse la simple logique juridique. Elle devient le signe d’un changement d’époque. Le règlement européen DORA, Digital Operational Resilience Act, appartient à cette catégorie.
Il ne s’agit pas simplement d’un texte supplémentaire dans l’architecture réglementaire du secteur financier européen. Il s’agit d’une réponse à une transformation profonde de l’infrastructure même de la finance contemporaine, désormais entièrement numérique. Au XIXe siècle, le système financier reposait sur des infrastructures physiques. Banques, coffres, registres papier. Le risque principal était le vol, la fraude, l’insolvabilité. Au XXe siècle, la mondialisation et l’informatisation ont transformé la finance en un réseau de flux électroniques. Aujourd’hui une transaction traverse davantage de systèmes informatiques qu’une lettre ne traversait de relais dans le système postal impérial britannique.
Cette transformation a créé une nouvelle forme de vulnérabilité.
Lorsque la crise financière de 2008 a éclaté, la cause était structurelle et économique. Lorsque certaines infrastructures cloud ont connu des incidents systémiques en 2023, la cause était technologique. Aujourd’hui ces deux dimensions sont indissociables.
DORA apparaît précisément à ce point de convergence.
L’Union européenne a compris que la stabilité du système financier ne pouvait plus être assurée uniquement par la régulation prudente. Elle dépend désormais de la résilience technologique des institutions.
Une interruption opérationnelle provoquée par un incident cyber peut produire des effets comparables à ceux d’une crise bancaire.
La logique du règlement repose sur une idée simple mais radicale. La résilience numérique n’est plus seulement une fonction technique, c’est une responsabilité de gouvernance.
Si l’on observe la chronologie typique de mise en œuvre, comme celle représentée dans la timeline, on constate que le processus ressemble davantage à une transformation organisationnelle qu’à un projet informatique.
Dans les premiers mois, les institutions construisent avant tout une compréhension de leur propre architecture opérationnelle. Elles identifient les dépendances critiques, forment les équipes dirigeantes et analysent leurs processus.
Cette phase rappelle les transformations stratégiques qui ont suivi les guerres napoléoniennes. Les États européens ont compris que la guerre moderne exigeait une préparation institutionnelle permanente.
DORA impose aujourd’hui une réflexion stratégique similaire sur l’infrastructure numérique.
Les mois suivants sont consacrés à l’analyse des écarts entre l’état actuel de l’organisation et les exigences réglementaires. Cette étape révèle souvent une réalité inattendue.
De nombreuses institutions découvrent que leur architecture numérique est le résultat de décennies d’accumulation technologique, systèmes legacy, externalisation, cloud computing, interconnexions avec des fournisseurs tiers.
Le système financier apparaît alors comme un réseau dense de dépendances.
C’est ici que la notion contemporaine de résilience prend tout son sens. La résilience n’est pas l’absence d’incident. C’est la capacité d’un système à continuer de fonctionner lorsque les incidents surviennent.
Au cours de l’année suivante, l’organisation entre dans une phase d’implémentation opérationnelle. Les contrôles sont renforcés, les processus de gestion de crise sont structurés, les capacités de détection sont améliorées.
Mais la transformation la plus profonde concerne la gouvernance.
Le conseil d’administration devient directement responsable de la résilience opérationnelle numérique. La cybersécurité cesse d’être un domaine purement technique.
Après la phase d’implémentation vient celle des tests. Simulations de crise, exercices de résilience, validation des mécanismes de décision.
La résilience ne se mesure réellement que sous pression.
La dernière phase, qui s’étend au-delà de deux ans, correspond à l’amélioration continue. Le système entre dans une dynamique permanente d’adaptation.
Pour mesurer l’impact réel d’un programme de résilience DORA, il est utile de recourir à une analyse quantitative.
Prenons une institution financière avec une exposition annuelle estimée de 50 millions d’euros de risque ICT.
Avant la mise en œuvre du programme de résilience, la probabilité annuelle d’un incident majeur peut être estimée à 8 pour cent.
Risque attendu = probabilité × impact moyen
Risque attendu initial = 0,08 × 50.000.000 = 4.000.000 €
Après implémentation des mesures de résilience, la probabilité peut être réduite à 3,5 pour cent.
Nouveau risque attendu = 0,035 × 50.000.000 = 1.750.000 €
La réduction annuelle du risque atteint alors 2.250.000 euros.
Comparons deux institutions.
| Organisation | Investissement résilience | Réduction du risque | ROI résilience |
| Banque A | 4 M€ | 2,25 M€ | 56% |
| Banque B | 2 M€ | 0,6 M€ | 30% |
La différence provient moins du volume d’investissement que de la qualité de l’architecture de résilience.
On peut ainsi définir un indice synthétique de maturité.
Indice de résilience = réduction du risque / complexité opérationnelle introduite.
Si une organisation réduit son risque de 45 pour cent en augmentant sa complexité de 20 pour cent, l’indice atteint 2,25.
Si une autre réduit le risque de 10 pour cent mais augmente la complexité de 40 pour cent, l’indice tombe à 0,25.
Dans le premier cas, le système devient réellement résilient. Dans le second, il devient simplement bureaucratique.
La sécurité numérique cesse alors d’être uniquement une discipline technique. Elle devient une science de gouvernement des infrastructures.
Dans un monde où les économies reposent sur des architectures numériques interconnectées, la stabilité financière dépendra de plus en plus de la capacité des institutions à résister aux chocs technologiques.
La résilience n’est pas un état final. C’est un processus.
Raffaele Di Marzio
Executive Cybersecurity Consultant
raffaele.dimarzio@cyberium.limited
Sull’autore / Ă€ propos de l’auteur :
🇮🇹 https://www.amazon.it/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4
🇫🇷 https://www.amazon.fr/stores/Raffaele-DI-MARZIO/author/B0FB47T6Q4