Alors que les organisations s'engagent sur la voie de la conformité à la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA), beaucoup considèrent que les étapes initiales de démarrage et d'adhésion sont les plus difficiles.
J'ai eu l'occasion de m'entretenir avec Pål Myren, directeur technique de ZTL Payments, qui dirige actuellement son entreprise dans le cadre de la mise en œuvre du règlement DORA. Comme nous l'avons indiqué précédemment sur notre blog, DORA est une réglementation destinée à transformer la gestion des risques numériques dans le secteur financier de l'Union européenne (UE). Bien qu'elle soit entrée en vigueur en janvier 2023, son application est prévue pour janvier 2025.
Lors de mon entretien avec Pål, il m'a éclairé sur la mise en conformité avec la loi DORA et sur ce que les organisations peuvent faire pour surmonter les difficultés.
Andy : Pål, pourriez-vous nous parler un peu de vous et de votre parcours ?
Pål : Je suis directeur technique d'une startup norvégienne de Paytech B2B, réglementée par la FSA norvégienne, d'où l'importance que nous accordons à DORA. Tout au long de ma carrière, depuis le développement de logiciels jusqu'à l'occupation de plusieurs postes de direction, j'ai toujours été lié d'une manière ou d'une autre à la conformité et aux attestations ou certifications réglementaires.
Andy : Quand avez-vous entendu parler pour la première fois de DORA et quand votre organisation a-t-elle commencé à s'y préparer ?
Pål : J'ai entendu parler de DORA pour la première fois il y a deux ans par la FSA norvégienne. Elle a présenté des informations de haut niveau avant qu'aucune échéance ne soit réellement fixée. Étant donné que la réglementation norvégienne en matière de TIC est obsolète, il était temps de la revoir.
Andy : Quelle a été la première mesure prise par votre organisation pour lancer le processus de mise en œuvre de DORA ?
Pål : La première étape consiste à comprendre ce qu'est le DORA, à lire les exigences et à identifier les similitudes avec d'autres réglementations ou certifications. J'ai pris les cinq piliers énoncés dans le cadre et je les ai mis dans une feuille de calcul. Ensuite, j'ai dressé la carte de ce que nous avions déjà mis en place, qu'il s'agisse de la gestion des incidents, de la reprise après sinistre ou des procédures de gestion des risques. Il est important de noter que vous avez besoin de l'appui de la direction, d'une personne au niveau C qui comprenne que c'est primordial pour votre entreprise.
Les cinq piliers de DORA sont les suivants :
- Gestion des risques liés aux TIC
- Rapport et réponse aux incidents cybernétiques
- Tests de résilience opérationnelle
- Gestion des risques pour les tiers
- Partage d'informations
Andy : Comment la loi DORA se compare-t-elle à d'autres contrôles, mandats ou réglementations dont vous avez fait l'expérience ?
Pål : Il y a beaucoup de similitudes, et la plupart de ces points relèvent du bon sens si vous avez travaillé dans les technologies de l'information. Les principaux domaines d'intérêt des régulateurs sont la cybersécurité, compte tenu du paysage géopolitique actuel, et la gestion des fournisseurs, en particulier la réalisation d'évaluations des risques des entreprises ou des fournisseurs avec lesquels vous travaillez.
Andy : Comment avez-vous géré et favorisé la collaboration entre les différents départements pendant la mise en œuvre de DORA ?
Pål : La collaboration croisée est probablement le plus grand défi dans le processus d'adoption de DORA. La clé est la mise en œuvre - vous pouvez avoir les meilleurs systèmes ou processus de qualité en place, mais s'ils ne sont pas utilisés, cela n'a pas d'importance. Nous nous sommes concentrés sur la sensibilisation et la formation. Nous avons organisé des réunions avec les principales parties prenantes, telles que les chefs de service, les cadres supérieurs, les juristes et les responsables du risque et de la conformité, afin de discuter du cadre. Nous avons également organisé des jeux de rôle, comme la simulation d'une attaque de cybersécurité, pour nous assurer que chacun connaissait ses responsabilités.
Andy : Un dernier conseil pour les organisations qui commencent leur parcours DORA ?
Pål : Concentrez-vous sur la mise en œuvre et sur l'engagement de vos parties prenantes. Lorsque vous commencez à parler de ces défis au niveau interdépartemental, vous ne répondez pas seulement aux exigences réglementaires et financières, mais vous changez aussi la culture. Cela élimine la polarisation et fait tomber les barrières entre les divisions. Le fait d'amener les gens à collaborer sur les incidents ou la reprise après sinistre met l'accent sur le travail d'équipe et fait tomber les silos. C'est l'un des avantages cachés de la mise en œuvre d'un cadre tel que DORA.
Je ne saurais trop remercier Pål, car ses réflexions soulignent l'importance de la préparation, de la collaboration et de la mise en œuvre pratique dans le cadre de la mise en conformité avec la loi DORA. En se concentrant sur la sensibilisation, la formation et la promotion de la communication interdépartementale, les organisations peuvent non seulement se mettre en conformité, mais aussi récolter les bénéfices cachés d'une amélioration de la culture et du travail d'équipe. Alors que de plus en plus d'entreprises s'engagent dans cette voie, le partage des expériences et des meilleures pratiques sera crucial pour aider le secteur à s'adapter à ce nouveau paysage réglementaire.
Pour plus d'informations :
- Qu'est-ce que la loi sur la résilience opérationnelle numérique (DORA) ?
- DORA dans Atlassian Cloud : Une approche experte de la conformité
- Votre guide pour répondre aux exigences en matière de continuité et de résilience des activités dans la réglementation de l'UE
- Commencez dès maintenant !
Obtenir les dernières informations et mises à jour
.png){kind=small}
