DORA : six mois plus tard, il reste encore beaucoup de travail à accomplir

DORA : Six mois plus tard, il reste encore beaucoup de travail à faire

Par Phil Muncaster • 14 Août 2025

Les équipes de sécurité et de conformité ont connu un début d'année 2025 chargé. Entre la date limite fixée pour la mise en œuvre de la norme NIS 2 par les États membres dans leur législation locale et le lancement du nouveau régime PCI DSS 4.0, est arrivé DORA : la loi sur la résilience numérique et opérationnelleÀ partir du 17 janvier, il était prévu que plus de 22,000 XNUMX entreprises de services financiers et leurs fournisseurs de TIC opérant dans l'UE entrent dans son champ d'application.

Il y a juste un problème. Selon une nouvelle étude, 96 % des entreprises européennes de services financiers estiment toujours que leur résilience numérique n'est pas suffisante pour répondre aux exigences rigoureuses de DORA. De plus, de nombreuses équipes informatiques et de sécurité se sentent dépassées par cette charge de travail supplémentaire. C'est là que la conformité à la norme ISO 27001 pourrait s'avérer utile.

Une nouvelle ère de résilience financière

Les cyberincidents au cours des deux dernières décennies ont causé 12 milliards de dollars de pertes directes aux entreprises financières mondiales, selon le FMIIl ne s'agit pas seulement d'un risque financier ; cela pourrait représenter un risque systémique pour l'ensemble des infrastructures nationales critiques. DORA est la réponse de la Commission européenne : un nouveau règlement conçu pour garantir que les entreprises financières – et surtout leurs fournisseurs – disposent de la résilience nécessaire pour poursuivre leurs activités même en période de perturbations graves.

Pour ce faire, elle harmonise les réglementations et place la barre plus haut pour les équipes de sécurité et de conformité concernées. Cinq piliers clés sont à l'œuvre :

Gestion des risques TIC : Des politiques solides pour identifier, évaluer et atténuer les risques liés aux TIC.
Rapports d'incidents: Signalement rapide et standardisé des incidents importants liés aux TIC aux autorités compétentes.
Test de résilience numérique : Des tests réguliers pour évaluer l’état de préparation d’une organisation aux perturbations.
Gestion des risques tiers : S’assurer que les institutions financières surveillent et gèrent les risques associés à leur chaîne d’approvisionnement.
Partage d'information: Encourager le partage de renseignements sur les menaces au sein de l’industrie pour améliorer la résilience collective.

Il reste encore du chemin à parcourir

Malheureusement, les choses ne se déroulent pas comme prévu, si les résultats d'une nouvelle enquête Veeam Il faut y croire. L'entreprise a interrogé plus de 400 décideurs informatiques et de conformité au Royaume-Uni, en France, en Allemagne et aux Pays-Bas. Le rapport révèle que 94 % d'entre eux accordent désormais une plus grande priorité à DORA qu'un mois avant l'échéance, et la même proportion sait clairement quelles mesures prendre. Pourtant, la grande majorité ne répond toujours pas aux normes de résilience de DORA.

Veeam affirme que de nombreuses entreprises ne disposent pas du budget nécessaire (20 %) pour se conformer à la DORA et, dans certains cas, doivent faire face à des coûts fournisseurs plus élevés (37 %) répercutés par leurs partenaires informatiques. Deux cinquièmes (41 %) signalent également une augmentation du stress et de la pression sur leurs équipes informatiques et de sécurité.

Seule la moitié des entreprises ont intégré les exigences de la DORA à leurs programmes de résilience plus larges. Drew Gardner, vice-président régional de Veeam pour le Royaume-Uni et l'Irlande, estime que nombre de ces lacunes et retards de conformité pourraient être dus à des responsabilités de tiers.

« Avec autant de fonctions couvertes par ces tiers, de nombreuses organisations ont supposé que leurs produits étaient conformes à DORA, mais ce n'est tout simplement pas le cas », explique-t-il à ISMS.online. « Avec autant d'accords dépourvus de modèles de responsabilité partagée, une organisation aurait pu supposer que la conformité relevait de la compétence de son fournisseur, alors que ce dernier pensait le contraire. »

Là où ils échouent

Les données du rapport corroborent le point de vue de Gardner. Un tiers (34 %) des personnes interrogées affirment que la surveillance des risques liés aux tiers constitue l'aspect le plus difficile de la conformité. Un cinquième d'entre elles n'ont même pas encore tenté de le faire.

« Le nombre de fournisseurs tiers avec lesquels travaille l'organisation moyenne de services financiers se compte probablement par dizaines, et la plupart fonctionnent selon le modèle de la boîte noire, ce qui donne peu d'informations sur leurs mesures de sécurité », explique Gardner.

« Pour ceux qui n’ont pas encore mis en place cette surveillance par un tiers, ce ne sera pas une mince affaire de démêler ce problème, et les organisations ne peuvent pas se permettre de tarder. »

D’autres domaines que de nombreuses organisations n’ont pas encore commencé à aborder comprennent :

Tests de récupération et de continuité (24 %)
Déclaration d'incident (24 %)
Sélection d'un responsable de la mise en œuvre de DORA (24 %)
Tests de résilience opérationnelle numérique (23 %)
Intégrité des sauvegardes et récupération sécurisée des données (21 %)

Se remettre sur les rails

Avec tant de choses à faire et la gestion d'autres priorités, la conformité à la DORA peut sembler une tâche ardue. Cependant, Gardner affirme que la mise en œuvre de normes et de cadres de bonnes pratiques pourrait « considérablement alléger » le fardeau de la conformité.

« Avec la norme ISO 27001 en particulier, les organisations peuvent réduire la duplication des efforts et rationaliser la conformité à travers de multiples réglementations, économisant ainsi du temps et des ressources », explique-t-il.

Son approche structurée de la gestion des risques permet aux organisations d'identifier et d'atténuer les risques de sécurité potentiels de manière systématique, plutôt que de lutter simultanément sur plusieurs fronts. Cela renforce la posture de sécurité globale et fournit un processus clair et documenté pour démontrer la conformité aux auditeurs et aux régulateurs.

James Hughes, directeur technique de Rubrik, exhorte les organisations à intégrer la conformité DORA dans leurs processus quotidiens plutôt que de la traiter comme un projet ponctuel.

« Six mois après son lancement, DORA ne se contente pas d'alourdir la charge de conformité ; elle impose de véritables changements opérationnels. Mais le risque existe que cela devienne un simple exercice de vérification si les RSSI ne changent pas d'état d'esprit », explique-t-il à ISMS.online. « Il ne s'agit pas de réussir des audits, mais de pouvoir résister et se remettre d'attaques réelles, avec un temps d'arrêt minimal pour l'entreprise. »

Plus d'un cinquième (22 %) des organisations interrogées par Veeam estiment que la conception de DORA aurait pu être améliorée pour améliorer les taux de conformité. Elles ont réclamé une simplification, une clarification et des directives plus détaillées sur la gestion des risques liés aux tiers. Les régulateurs pourraient ou non y parvenir. En attendant, il n'est pas trop tard pour commencer à combler les lacunes mises en évidence par l'étude, affirme Hughes.

« Commencez par cartographier vos ressources informatiques critiques, par vous entraîner à réagir aux incidents et par évaluer les risques liés aux fournisseurs », conclut-il. « Mais au final, il est temps d'accélérer les choses : les attaquants n'attendront pas vos documents pour rattraper leur retard. »

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster