Mise en œuvre de DORA : les leçons d'un directeur technique

Lorsque les entreprises se lancent dans la mise en conformité avec la loi sur la résilience opérationnelle numérique (DORA), elles sont nombreuses à trouver que les étapes initiales de démarrage et d'adhésion sont les plus difficiles.

J'ai eu la chance de m'entretenir avec Pål Myren, directeur technique chez ZTL Payments, qui dirige actuellement son entreprise dans le cadre de la mise en œuvre de la loi sur la résilience opérationnelle numérique. Comme nous l'avons indiqué précédemment sur notre blog, DORA est une réglementation destinée à transformer la gestion des risques numériques dans l'industrie financière de l'Union européenne (UE). Alors qu'il est entré en vigueur en janvier 2023, son application est prévue pour janvier 2025.

Dans ma conversation avec Pål, il a fait la lumière sur la mise en conformité avec la DORA et sur ce que les organisations peuvent faire pour surmonter les défis.

Andy : Pål, pourriez-vous nous parler un peu de vous et de votre parcours ?

Pål : Je suis le directeur technique d'une startup norvégienne de Paytech B2B, réglementée par la FSA norvégienne, d'où notre intérêt pour DORA. Tout au long de ma carrière, que ce soit en tant que développeur de logiciels ou en occupant plusieurs postes de niveau C, j'ai toujours été lié d'une manière ou d'une autre à la conformité et aux attestations ou certifications réglementaires.

Andy : Quand avez-vous entendu parler de DORA pour la première fois et quand votre organisation a-t-elle commencé à s'y préparer ?

Pål : J'ai entendu parler de DORA pour la première fois il y a deux ans par la FSA norvégienne. Elle a présenté des informations de haut niveau avant que des échéances ne soient réellement fixées. Étant donné que les réglementations actuelles en matière de TIC en Norvège sont dépassées, il était temps de les réexaminer.

Andy : Quelle a été la première mesure que vous avez prise en tant qu'organisation pour lancer le processus de mise en œuvre du DORA ?

Pål : La première étape consiste à comprendre ce qu'est le DORA, à lire les exigences et à identifier les similitudes avec d'autres réglementations ou certifications. J'ai pris les cinq piliers énoncés dans le cadre et je les ai mis dans une feuille de calcul. Ensuite, j'ai dressé la carte de ce que nous avions déjà mis en place, qu'il s'agisse de la gestion des incidents, de la reprise après sinistre ou des procédures de gestion des risques. Il est important de noter que vous avez besoin de l'appui de la direction, d'une personne au niveau C qui comprenne que c'est primordial pour votre entreprise.

Les cinq piliers de DORA sont les suivants :

• Gestion des risques informatiques
• Rapport et réponse aux incidents cybernétiques
• Tests de résilience opérationnelle
• Gestion des risques des tiers
• Partage des informations

Andy : Comment la DORA se compare-t-elle à d'autres contrôles, mandats ou réglementations dont vous avez fait l'expérience ?

Pål : Il y a beaucoup de similitudes, et la plupart d'entre elles relèvent du bon sens si vous avez travaillé dans le domaine des technologies de l'information. Les principaux domaines d'intérêt des régulateurs sont la cybersécurité, étant donné le paysage géopolitique actuel, et la gestion des fournisseurs, en particulier la réalisation d'évaluations des risques des entreprises ou des fournisseurs avec lesquels vous travaillez.

Andy : Comment avez-vous géré et favorisé la collaboration entre les différents départements pendant la mise en œuvre de la DORA ?

Pål : La collaboration croisée est probablement le plus grand défi du processus d'adoption de DORA. La clé est la mise en œuvre - vous pouvez avoir les meilleurs systèmes ou processus de qualité en place, mais s'ils ne sont pas utilisés, cela n'a pas d'importance. Nous nous sommes concentrés sur la sensibilisation et la formation. Nous avons organisé des réunions avec les principales parties prenantes, telles que les chefs de service, les cadres supérieurs, les juristes et les responsables du risque et de la conformité, afin de discuter du cadre. Nous avons également organisé des jeux de rôle, comme la simulation d'une attaque de cybersécurité, pour nous assurer que tout le monde connaissait ses responsabilités.

Andy : Un dernier conseil pour les organisations qui commencent leur parcours DORA ?

Pål : Concentrez-vous sur la mise en œuvre et sur l'engagement de vos parties prenantes. Lorsque vous commencez à parler de ces défis au niveau interdépartemental, cela permet non seulement de répondre aux exigences réglementaires et financières, mais aussi de changer la culture. Cela élimine la polarisation et fait tomber les barrières entre les divisions. Le fait d'amener les gens à collaborer sur les incidents ou la reprise après sinistre met l'accent sur le travail d'équipe et fait tomber les silos. C'est l'un des avantages cachés de la mise en œuvre d'un cadre tel que DORA.

Je ne saurais trop remercier Pål, car ses observations soulignent l'importance de la préparation, de la collaboration et de la mise en œuvre pratique lorsque l'on s'engage dans la mise en conformité avec DORA. En se concentrant sur la sensibilisation, la formation et la promotion de la communication interdépartementale, les organisations peuvent non seulement se mettre en conformité, mais aussi récolter les bénéfices cachés d'une amélioration de la culture et du travail d'équipe. Alors que de plus en plus d'entreprises s'engagent dans cette voie, le partage des expériences et des meilleures pratiques sera crucial pour aider l'industrie à s'adapter à ce nouveau paysage réglementaire.

Plus d'informations:

• Qu'est-ce que la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) ?
• DORA dans Atlassian Cloud : Une approche experte de la conformité
• Votre guide pour répondre aux exigences de continuité d'activité et de résilience de la réglementation européenne
• Démarrez maintenant !