13 janvier 2025
El Abed KADIRI
Consultant Contract Management
Le règlement européen 2022/2554 du 14 décembre 2022, connu sous le nom de Digital Operational Resilience Act (DORA), marque un tournant majeur pour la résilience opérationnelle numérique du secteur financier. Il s’appliquera à partir du 17 janvier 2025, imposant des exigences strictes aux entreprises pour garantir leur capacité à résister, à répondre et à se remettre des cyberattaques, des pannes de systèmes et autres perturbations informatiques.
Pour le contract management, ce règlement soulève des enjeux cruciaux en matière de gestion des fournisseurs tiers et gouvernance IT, mais aussi en gestion des risques opérationnels, conformité réglementaire, tests de résilience, gestion des incidents et protection des données, nécessitant des clauses contractuelles renforcées pour garantir continuité, sécurité et conformité.
Pourquoi DORA ?
Avec l’augmentation des cyberattaques et la dépendance croissante des systèmes financiers aux technologies numériques, l’Union européenne a introduit DORA pour :
- Renforcer la sécurité informatique du secteur financier : Détection des menaces, tests de résilience, plans de continuité pour protéger infrastructures et économie.
- Harmoniser les pratiques à travers l’Europe : Cadre commun réduisant les disparités et uniformisant les standards de sécurité.
- Réduire les risques systémiques : Tests, surveillance des prestataires, et signalement rapide pour limiter les perturbations.
Les piliers de DORA
DORA s’articule autour de cinq axes principaux :
- Gouvernance et gestion des risques numériques
- Tests de résilience numérique
- Gestion des incidents numériques
- Gestion des tiers critiques
- Partage d’informations
Enjeux pour le Contract Management
En tant que contract manager IT, DORA pose des défis majeurs dans la gestion des contrats et des relations fournisseurs. Voici les points clés à anticiper :
3.1. Intégration des exigences DORA dans les contrats
Les entreprises devront réviser leurs contrats avec les fournisseurs tiers pour inclure des clauses spécifiques liées à :
- La résilience opérationnelle : Engagements sur les tests réguliers, les plans de continuité et la disponibilité des services.
- La notification d’incidents : Délais et procédures pour informer rapidement l’entreprise cliente en cas d’incident majeur.
- Les audits et inspections : Droit contractuel d’audit pour s’assurer que le fournisseur respecte les normes DORA.
- Suivi continu de la conformité à DORA et gestion proactive des risques.
3.2. Gestion des fournisseurs critiques
DORA exige une identification claire des fournisseurs tiers critiques. Cela implique de :
- Cartographier les relations fournisseurs : Identifier les dépendances stratégiques.
- Renforcer les processus de sélection : Évaluer la résilience des prestataires avant la signature des contrats.
- Mettre en place des SLA adaptés : Garantir un suivi précis de la performance et des engagements.
Opportunités et bénéfices
DORA, bien qu’exigeant, offre des opportunités significatives :
4.1. Amélioration de la résilience globale
Les entreprises qui investissent dans leur résilience numérique bénéficient d’une meilleure protection contre les cybermenaces et les interruptions.
4.2. Réduction des risques juridiques et financiers
En intégrant DORA dans leurs pratiques contractuelles, les entreprises réduisent les risques liés à des non-conformités coûteuses ou à des litiges avec les régulateurs.
4.3. Valorisation de la relation client
Être conforme à DORA peut devenir un avantage compétitif, rassurant les partenaires et les clients sur la fiabilité et la sécurité des services proposés.
Comment se rendre conforme à DORA ?
Nous proposons une démarche structurée en trois étapes pour se préparer efficacement à DORA :
5.1. Audit de l’existant
- Analyse des contrats en cours pour identifier les lacunes vis-à-vis des exigences DORA.
- Évaluation des processus de gestion des fournisseurs tiers.
5.2. Mise en conformité contractuelle et opérationnelle
- Révision des clauses contractuelles pour intégrer les nouvelles obligations.
- Élaboration de politiques de gestion des risques numériques.
5.3. Mise en place de tests de résilience et d’audits réguliers
- Conception de scénarios de tests pour évaluer la résilience opérationnelle.
- Organisation d’audits périodiques pour vérifier la conformité continue.
- Mise en œuvre d’un suivi des performances et des ajustements nécessaires.
Vers un écosystème financier plus sûr et résilient
Le Digital Operational Resilience Act (DORA) marque une étape cruciale dans la protection du secteur financier européen face aux défis numériques. En imposant des règles claires et harmonisées, DORA contribue à renforcer la résilience, à encourager l’innovation et à améliorer la confiance des parties prenantes.
Toutefois, son succès dépendra de la capacité des institutions financières à intégrer ces exigences dans leurs stratégies et de l’efficacité des régulateurs à en superviser l’application. Malgré les défis, DORA représente une avancée vers un écosystème financier durable et sécurisé, où la technologie peut être exploitée sans compromettre la stabilité ni la sécurité.
Articles qui pourraient vous intéresser
8 janvier 2025
Transformation Agile des Organisations
Comment gérer la pression dans un contexte en forte croissance ?
18 décembre 2024
Architecture
