Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
Alliancy Les Cercles
Le 17 janvier 2025, le Digital Operational Resilience Act (DORA) est entré en application. Pour conclure sa série de chroniques consacrées à cette réglementation, Gilles Chevillon prend de la hauteur et s’interroge : l’Europe est-elle en train de construire une forteresse numérique ou de vraiment poser les bases d’un écosystème agile et résilient ?
Depuis plusieurs années, l’Union européenne multiplie les initiatives pour encadrer le monde numérique et renforcer la sécurité des infrastructures critiques. Avec la mise en application de la directive NIS2* et du règlement DORA, deux piliers essentiels de cette stratégie ont récemment pris corps.
La directive NIS2 élargit le champ d’application de la directive NIS originale (2016) en incluant davantage d’entreprises et d’organisations jugées essentielles pour la société. Elle impose une série de mesures obligatoires en matière de gestion des risques, de notification des incidents et de cybersécurité. Des secteurs variés, allant de l’énergie à la santé en passant par les services financiers, doivent désormais se conformer à ces exigences.
Le règlement DORA, quant à lui, s’adresse spécifiquement au secteur financier européen. Il introduit des règles uniformes pour garantir la résilience opérationnelle numérique, avec un accent particulier sur la gestion des risques liés aux fournisseurs tiers (notamment dans le cloud), la surveillance des cyber incidents et la préparation aux crises.
Cette multiplication des cadres législatifs montre une volonté claire : protéger l’Europe contre des menaces de plus en plus sophistiquées. Cependant, pour beaucoup d’entreprises, cette avalanche de normes peut être perçue comme une contrainte bureaucratique, lourde et coûteuse à mettre en œuvre.
La résilience comme nouvelle boussole stratégique
Au-delà de leur caractère obligatoire, ces réglementations traduisent une ambition stratégique plus large : faire de la résilience opérationnelle un pilier central de la transformation numérique. Dans un monde où les cybermenaces sont en constante évolution, une approche purement réactive n’est plus suffisante.
La résilience, dans ce contexte, ne se limite pas à la capacité de résister à une attaque. Elle englobe également la préparation, la capacité d’absorber un choc, de s’adapter et de se rétablir rapidement. Cela nécessite de repenser les processus internes, de cartographier les risques, mais aussi de former et sensibiliser les employés à tous les niveaux.
Par exemple, le rôle des fournisseurs tiers est aujourd’hui critique. De nombreuses entreprises s’appuient sur des infrastructures cloud, des services numériques externalisés ou des technologies émergentes. Une gestion proactive de ces interdépendances, devient essentielle pour réduire les risques systémiques.
En s’appuyant sur des cadres comme la directive NIS2, la directive sur la résilience des entités critiques, dite directive « REC », ou encore DORA, l’Union européenne semble en fait vouloir encourager les organisations à dépasser une simple logique de conformité, avec l’idée d’instaurer une culture de la résilience et d’en faire une forme d’avantage concurrentiel.
Une complémentarité nécessaire
Si la réglementation impose un socle commun, elle ne doit pas être perçue comme une fin en soi. La résilience véritable repose sur une démarche proactive et continue, où les organisations vont au-delà des exigences minimales.
Prenons l’exemple des exercices de simulation de crise, désormais encouragés dans les deux cadres législatifs que nous avons pris pour exemple dans cette chronique. Ces simulations ne doivent pas se limiter à cocher une case pour répondre aux attentes des régulateurs. Elles doivent être vues comme une opportunité d’identifier des vulnérabilités, d’améliorer les temps de réaction et de renforcer la coordination interne.
De même, la mise en place d’une gouvernance solide, d’outils d’automatisation avancés et d’une gestion rigoureuse des données sont autant de leviers pour transformer une obligation réglementaire en une démarche stratégique.
Ainsi, la réglementation peut établir des fondations, mais la résilience véritable est une posture, un état d’esprit qui se construit sur le long terme.
L’Europe, leader ou suiveur ?
Avec des initiatives comme le RGPD, NIS2, MiCA, l’IA Act ou DORA, l’Europe s’affirme comme une puissance normative dans le domaine du numérique. L’objectif affiché est clair : protéger les citoyens, les entreprises et les institutions tout en construisant un écosystème de confiance.
Mais comment cette approche se compare-t-elle à celle des autres grandes puissances ? Aux États-Unis, par exemple, les règlementations en matière de cybersécurité sont souvent sectorielles et décentralisées. En Chine, l’accent est mis sur un contrôle étatique renforcé des infrastructures critiques et des données.
En optant pour une approche à la fois prescriptive et inclusive, l’Union européenne veut tracer une voie originale. Elle mise sur la transparence, la coopération et la responsabilisation des acteurs privés pour créer une résilience systémique. Ce modèle, bien qu’ambitieux, pose des défis : il impose des coûts significatifs et une adaptation rapide dans un contexte de concurrence mondiale.
La Directive NIS2 et le règlement DORA peuvent être des outils précieux pour guider les entreprises vers une transformation numérique plus sécurisée et durable. Cependant, leur succès dépendra largement de la manière dont les organisations choisiront de les mettre en œuvre. Verront-elles ces cadres comme un fardeau réglementaire ou comme une opportunité pour bâtir un avantage concurrentiel durable ?
La réponse à cette question déterminera si l’Europe sera perçue comme une forteresse figée ou comme un acteur agile et résilient, capable de relever les défis d’un monde numérique toujours plus complexe.
*la majorité des Etats membres l’ont réalisé en octobre 2024, même si la France attend encore sa propre transposition dans la loi nationale du fait de l’instabilité gouvernementale de ces derniers mois
