Atteindre la conformité au règlement DORA (EU) 2022/2554 ne s'improvise pas. Pour les banques françaises, le chemin de conformité passe par une analyse des écarts (gap analysis), un plan de remédiation priorisé, et une gouvernance de projet robuste. Voici le cadre pratique pour structurer ce chantier.
Phase 1 : Gap Analysis DORA
La première étape de toute démarche de conformité bancaire à DORA est l'analyse des écarts. Elle doit couvrir les cinq domaines du règlement : gouvernance et gestion des risques TIC, gestion des incidents, tests de résilience, gestion des tiers et partage d'informations. L'analyse comparative doit s'appuyer sur les RTS et ITS de niveau 2 déjà publiés pour être exhaustive.
Inventaire de l'Existant
Avant d'identifier les écarts, il faut inventorier l'existant : politiques de sécurité IT en place, cartographie des systèmes existante ou non, contrats prestataires TIC actuels, processus de gestion des incidents cyber opérationnel, tests de pénétration réalisés ces 3 dernières années. Cet inventaire révèle souvent que la banque dispose d'une base solide sur laquelle DORA vient ajouter des exigences formelles de gouvernance et de documentation.
Priorisation des Écarts
Tous les écarts ne présentent pas le même niveau de criticité réglementaire. Les gaps sur la gouvernance (article 5 : rôle de l'organe de direction) et sur le processus de notification des incidents (article 19 : délais) sont les plus urgents car vérifiables immédiatement par un superviseur. Les gaps sur les tests TLPT ont un horizon de remédiation plus long.
Phase 2 : Plan de Remédiation Structuré
Le plan de remédiation doit être approuvé par l'organe de direction — c'est une exigence implicite de DORA — et comporter des jalons mesurables. Les projets critiques à mener en priorité sont : la formalisation du cadre de gouvernance TIC, la mise à jour des contrats prestataires avec les clauses DORA obligatoires, et l'activation du processus de notification des incidents.
Gouvernance du Projet Conformité
La conformité DORA n'est pas un projet IT mais un projet de transformation gouvernance. Elle nécessite une direction de projet impliquant la DSI, la direction des risques, la direction juridique (pour les contrats), la conformité/compliance, et un sponsor au niveau de la direction générale. Un comité de pilotage dédié, avec reporting trimestriel au conseil d'administration, est fortement recommandé.
Documentation : Ce que Veut Voir le Superviseur
L'ACPR attend une documentation structurée et cohérente. Les documents clés à préparer sont : la politique de gestion des risques TIC approuvée par le conseil, le registre des contrats prestataires TIC, les plans de continuité et de rétablissement TIC testés, les comptes rendus des tests de résilience, et les fiches de classification des incidents avec les notifications envoyées. Cette documentation doit être accessible en temps réel en cas d'inspection.
Conclusion
La conformité bancaire à DORA est un chantier de 18 à 36 mois pour les établissements partant de zéro. Pour ceux qui avaient déjà mis en œuvre les orientations TIC de l'EBA de 2019, la marche est moins haute. Dans tous les cas, l'approbation formelle par l'organe de direction et la qualité de la documentation sont les deux prérequis incontournables.
Questions fréquentes
Combien de temps faut-il pour être conforme à DORA ?
Pour un établissement bancaire partant d'une maturité TIC moyenne, atteindre un niveau de conformité substantielle à DORA nécessite généralement 18 à 24 mois. Les établissements ayant déjà mis en œuvre les orientations EBA 2019 sur les TIC peuvent y parvenir en 12 à 18 mois.
Peut-on sous-traiter la conformité DORA à un prestataire ?
Certaines activités peuvent être confiées à des consultants (gap analysis, rédaction de politiques). Mais la responsabilité de la conformité reste entière dans l'établissement, et l'approbation par l'organe de direction ne peut pas être déléguée. La décision stratégique et la gouvernance doivent rester en interne.