La mise en conformité avec le Digital Operational Resilience Act (DORA) représente un véritable défi pour les petites entreprises du secteur financier. Contrairement aux grandes institutions disposant de départements dédiés à la cybersécurité et à la gestion des risques, les PME manquent souvent de ressources spécialisées. Elles ne disposent parfois même pas d'une gouvernance formelle en matière de conformité et de gestion des risques, ce qui rend l'intégration de cette nouvelle réglementation encore plus complexe.
DORA impose un cadre strict pour renforcer la résilience opérationnelle face aux cybermenaces et incidents informatiques. Pour certaines entreprises opérant dans des secteurs financiers spécifiques, se conformer à ces obligations peut sembler disproportionné par rapport à la taille ou à la nature de leur activité réelle.
Cet article met en lumière les défis spécifiques auxquels ces entreprises font face et explore des pistes pour adapter DORA à leur réalité.
Cet article met en lumière les défis spécifiques auxquels ces entreprises font face et explore des pistes pour adapter DORA à leur réalité.
Les principaux défis des PME face à DORA
Un manque de ressources humaines et financièresDans une (T)PME, il n'est pas rare qu'un seul responsable IT doive endosser plusieurs rôles : assurer la maintenance des systèmes et des accès, gérer la cybersécurité, et désormais, mettre en place toutes les exigences DORA. Des ressources humaines limitées s'accompagnent souvent d'un budget contraint, ce qui peut rendre plus complexe l'adaptation aux nouvelles exigences réglementaires.
Cependant, il est important de noter que DORA adopte une approche proportionnée : les mesures à mettre en place doivent être adaptées à la taille, au profil de risque et à la nature des activités de l'entreprise. Les TPME peuvent souvent se conformer aux exigences essentielles sans nécessairement investir dans des infrastructures coûteuses, en privilégiant des solutions adaptées à leur échelle.
La complexité des rapports d'incidents
Bien que les PME subissent généralement moins d'incidents qu'une grande banque, la tenue d'un registre de signalement, même en l'absence d'événements majeurs, est une opportunité plutôt qu'une contrainte. En effet, cette pratique assure une traçabilité accrue, facilitant la détection précoce des anomalies et permettant une réponse rapide en cas de problème.
Se conformer aux exigences réglementaires ne se limite pas à éviter des sanctions administratives ou pénales : c'est aussi un levier stratégique. Une gestion rigoureuse des incidents renforce la confiance des clients et partenaires, prouvant que l'entreprise prend la sécurité au sérieux. De plus, elle améliore la réputation et réduit les risques de perturbations opérationnelles qui pourraient impacter la continuité des activités.
Des politiques et procédures rudimentaires
Les PME disposent souvent de processus de gouvernance IT adaptés à leur taille, mais qui peuvent nécessiter une formalisation plus structurée pour répondre aux exigences de DORA, tout en restant proportionnés à leur activité. DORA impose en effet des politiques de gestion des risques plus rigoureuses et documentées, ce qui implique un travail conséquent d'écriture, de validation et d'implémentation.
Ce processus peut alourdir la charge de travail et nécessiter le respect de formats, de modèles et de processus de versioning pour garantir une gestion efficace, ce qui peut parfois entrer en contradiction avec les pratiques existantes.
Le flou autour du principe de proportionnalité
DORA s'applique à toutes les entreprises financières, quelle que soit leur taille, mais ne donne pas de directives claires sur la manière d'adapter ses exigences. Bien que le principe de proportionnalité soit mentionné dans la réglementation, son application reste subjective et ouverte à interprétation. Les PME se retrouvent alors face à deux risques de mauvaise implémentation des exigences :
Sur-implémentation: mise en place de mesures coûteuses et inadaptées à leur structure.
Sous-implémentation: risque de non-conformité par manque d'interprétation/mauvaise interprétation des obligations.
La gestion des fournisseurs tiers
Les PME s'appuient souvent sur des prestataires IT externes (hébergement cloud, logiciels SaaS, services de cybersécurité). DORA demande une gestion appropriée des risques liés aux fournisseurs tiers, avec des exigences contractuelles adaptées à l'importance du service fourni et à son impact potentiel sur l'activité de l'entreprise.
Si l'implémentation de DORA constitue un défi, des solutions existent pour permettre aux PME d'adapter les exigences réglementaires sans alourdir inutilement leur organisation. Externalisation, mutualisation des ressources, simplification des processus : autant de pistes à explorer pour transformer cette contrainte en opportunité.
Dans la suite de l'article, nous explorerons des approches pratiques pour relever ces défis et assurer une conformité efficace sans compromettre l'agilité des PME.
Quelles sont les obligations essentielles de DORA?
Pour rappel, DORA est une réglementation européenne qui vise à renforcer la résilience numérique des institutions financières. Elle impose aux entreprises du secteur financier des obligations strictes en matière de cybersécurité et de gestion des risques informatiques.Voici une présentation simplifiée des exigences de DORA (cliquez sur les bulles pour naviguer):
Gouvernance et gestion des risques IT
Les entreprises doivent identifier et gérer leurs risques liés aux technologies de l'information.
Un cadre de gestion des risques TIC doit être mis en place.
Le conseil d'administration doit être impliqué dans la supervision des risques numériques.
Gestion des incidents IT
Mise en place d'un processus de détection et de déclaration des incidents informatiques.
Obligation de signaler les incidents majeurs aux régulateurs sans délai injustifié.
Suivi et analyse des incidents pour éviter leur répétition.
Tests de résilience opérationnelle
Les entreprises doivent tester régulièrement la robustesse de leurs systèmes IT.
Des exercices de simulation (penetration testing, cyber attaques simulées) doivent être menés.
Ces tests et exercices doivent être réalisés par des internes ou tiers indépendants compétents (sauf pour les microentreprises).
Gestion des fournisseurs tiers
Suivi et gestion des risques liés aux prestataires IT.
Relations contractuelles avec des prestataires IT qui respectent des standards de sécurité appropriés.
Anticipation de clauses contractuelles en cas de non-conformité.
Audit et contrôle des fournisseurs critiques.
Partage d'informations sur les menaces
Encouragement à partager les informations sur les cybermenaces.
Les rapports AES et sectoriels exploitent ces échanges.
Collaboration avec les régulateurs et autres entreprises pour renforcer la cybersécurité.
Stratégies pour une mise en conformité efficace
L'implémentation de DORA dans une petite société peut sembler complexe, mais des solutions existent pour surmonter les principaux défis tout en optimisant les ressources disponibles (cliquez sur les menus déroulants pour en voir le contenu):
- Prioriser les actions essentielles : Mettre en place un plan de conformité progressif.
- Mutualiser les ressources : Rejoindre des groupements d'entreprises pour partager bonnes pratiques et formations.
- Externaliser les tâches complexes : Sous-traiter certaines obligations comme les tests de résilience.
- Automatiser la collecte des incidents : Utiliser des outils accessibles pour enregistrer les événements.
- Mettre en place un reporting minimaliste mais conforme : Adopter un registre simplifié.
- Former le personnel : Sensibiliser les équipes à la détection des incidents.
- Utiliser des modèles standardisés : Adapter des modèles existants.
- Définir des procédures claires et pragmatiques : Créer des directives adaptées à l'entreprise.
- Intégrer progressivement la gouvernance IT : Aligner les politiques internes progressivement.
- S'appuyer sur les benchmarks du secteur : Observer comment d'autres PME appliquent DORA.
- Adopter une approche itérative : Commencer par répondre aux exigences minimales.
- Mettre en place un cadre de suivi adapté : Ãtablir une grille d'évaluation des fournisseurs.
- Superviser la conformité en continu : Mettre en place un suivi régulier.
Adopter DORA sans stress: un chemin progressif pour les PME
DORA n'est pas qu'une contrainte réglementaire : c'est une occasion pour les PME d'élever leur résilience face aux cybermenaces et aux disruptions technologiques. Plutôt que de subir cette transition, elles ont tout à gagner en adoptant une approche pragmatique et progressive, alignée sur leurs moyens et leurs priorités.
Vous êtes une PME? Assurez-vous de la conformité de votre entreprise avec DORA en suivant les guidelines énoncées pour les PME dans notre guide DORA pour les PME . Besoin d'un accompagnement personnalisé ? N'hésitez pas à nous contacter !
