Entré en application le 17 janvier 2025, le règlement européen DORA (Digital Operational Resilience Act, règlement UE 2022/2554) marque un changement de paradigme : la résilience numérique n'est plus une bonne pratique, c'est une obligation légale pour l'ensemble du secteur financier européen — banques, assurances, sociétés de gestion, prestataires de paiement et leurs fournisseurs technologiques critiques.
Pour les institutions financières d'Afrique de l'Ouest, DORA n'est pas qu'un sujet européen. Toute banque travaillant avec des contreparties, des maisons mères ou des correspondants bancaires européens verra ces exigences ruisseler dans ses contrats et ses due diligences. Anticiper, c'est transformer une contrainte en avantage compétitif.
Les cinq piliers du règlement
- Gestion des risques TIC : cartographie des actifs, politiques de sécurité et gouvernance impliquant directement l'organe de direction.
- Notification des incidents majeurs aux autorités selon des seuils et délais harmonisés.
- Tests de résilience opérationnelle, jusqu'aux tests de pénétration fondés sur la menace (TLPT) pour les acteurs systémiques.
- Gestion des risques liés aux prestataires tiers TIC : registre des contrats, clauses obligatoires, stratégies de sortie.
- Partage volontaire d'informations sur les cybermenaces entre institutions.
Par où commencer ?
Notre retour d'expérience est constant : le chantier le plus sous-estimé est celui des prestataires tiers. Tenir un registre exhaustif des contrats TIC, qualifier la criticité de chaque service et renégocier les clauses contractuelles prend des mois. Le second point dur est la gouvernance : DORA rend l'organe de direction explicitement responsable de la stratégie de résilience — ce qui suppose des reportings lisibles et des indicateurs fiables.
Une démarche pragmatique en quatre temps fait ses preuves : auto-évaluation de maturité contre les exigences DORA, feuille de route priorisée par le risque, remédiation outillée (PCA/PRA, gestion d'incidents, surveillance), puis exercices de crise réguliers pour ancrer les réflexes.
La résilience ne se décrète pas dans un document : elle se prouve, incident après incident, exercice après exercice.
Optima Advisory accompagne les institutions financières dans leur mise en conformité DORA : diagnostic d'écart, registre des tiers, programme de tests et préparation aux exercices de crise. Parlons de votre exposition.
