©DR

Le règlement DORA impose de nouvelles exigences de résilience numérique aux institutions financières. Applicable depuis près d’un an, le défi dépasse la simple conformité. Fort de 20 ans d'expérience en risques tech et cyber au Luxembourg, Laurent de la Vaissière partage une vision pragmatique. Interview de Sylvain Aubry : Head of AIFM of Carlyle pour l’Alco

Quels sont les défis les plus courants que vous observez dans l'implémentation de DORA au Luxembourg ?

Au-delà du caractère prescriptif du texte, l'essentiel des défis réside chez les fournisseurs IT. La difficulté vient du périmètre très étendu de DORA, qui inclut tous les services IT (logiciels compris), et pas seulement l'outsourcing traditionnel. Cela génère des activités chronophages : la tenue du registre d'information, la mise à jour massive de contrats et la gestion du changement humain avec des fournisseurs pas toujours matures sur le sujet. Les principaux facteurs de différenciation entre les entités ne sont pas tant leur type de licence (banque, AIFM…) que deux autres éléments. Le premier est leur niveau de mutualisation IT avec le groupe (pouvons-nous nous appuyer sur notre groupe ?). Le second est la taille de l’entité luxembourgeoise (avons-nous les ressources internes suffisantes pour absorber la charge ?).

"DORA est un vrai game changer pour l'implication des organes de direction sur les sujets de technologie et de risque cyber."

En dehors des fournisseurs, quels aspects de DORA sont les plus sous-estimés par les organisations ?

Deux éléments majeurs : le principe de proportionnalité, qui relève d'une démarche stratégique, et la gestion des exceptions, qui relève d'une démarche tactique. La proportionnalité est essentielle : elle exige de l'institution qu'elle se caractérise (taille, complexité…) et qu'elle définisse sa gouvernance interne afin d'adapter ses contrôles. La gestion des exceptions est, quant à elle, cruciale au quotidien ; il faut un processus formalisé, documenté et auditable pour gérer et approuver les déviations. Ces deux points nécessitent une implication forte de la direction. DORA est un vrai « game changer » pour l'implication des organes de direction sur les sujets de technologie et de risque cyber.

L'échéance de mise en œuvre étant passée, quel est le véritable enjeu pour la suite ?

L'enjeu est de passer d'une conformité projet, souvent gérée sur Excel, à une gestion « industrialisée » et pérenne. Le Registre d'Information (ROI) illustre ce point : il ne s'agit pas d'un exercice ponctuel ; il doit être maintenu à jour et peut être réclamé par la CSSF à tout moment. La résilience doit s'ancrer durablement dans les processus de GRC (Gouvernance, Risque, Conformité). Pour y parvenir, l'utilisation d'outils technologiques dédiés constitue un investissement rentable. Ils permettent de se concentrer sur la qualité des données plutôt que sur le formatage technique, tout en établissant un lien avec les autres processus de gestion des risques tiers (TPRM).