Au-delà des détails techniques de la réglementation, qui enjoint les acteurs financiers à une plus grande résilience numérique, cette chronique d’invité détaille les chocs culturels que l’on pourrait espérer dans les organisations.
Il a beaucoup été question de DORA dans l’écosystème, j’avais moi-même proposé un récapitulatif sur le sujet juste avant l’été. Mais au-delà de ces éclairages sur la réglementation elle-même, je souhaitais attirer votre attention sur un point moins générique : son impact sur la culture d’entreprise des institutions financières. Si l’accent est mis sur les questions techniques, on oublie souvent que DORA, en imposant de nouvelles normes en matière de résilience opérationnelle numérique, va aussi transformer la manière dont les entreprises perçoivent et intègrent la gestion des risques au quotidien.
La culture d’entreprise est souvent façonnée par les priorités stratégiques de l’organisation. Avec DORA, la gestion des risques technologiques, la résilience face aux crises et la cybersécurité ont vocation à devenir des préoccupations centrales à tous les niveaux. Ce changement ne se limite pas aux équipes IT ou aux responsables de la conformité : il doit imprégner l’ensemble des collaborateurs, du dirigeant à l’employé le plus opérationnel. Cela représente un défi culturel considérable pour des institutions qui, pendant des décennies, ont peut-être relégué ces questions à des services spécifiques, souvent cloisonnés du reste de l’organisation.
L’une des conséquences directes de cette nouvelle réglementation est donc la nécessité de promouvoir une culture de la résilience au sein des entreprises financières. Cela signifie que chaque employé doit être formé et sensibilisé à l’importance de la continuité des activités, de la gestion proactive des incidents et de la sécurité des systèmes d’information. Cette approche va au-delà des procédures techniques ou des mesures de conformité. Elle demande un changement d’état d’esprit où la gestion des risques devient un réflexe, intégré à la routine de travail. Des audits réguliers, des tests de crise, des simulations de panne… tout cela devient partie intégrante du quotidien des équipes. Ainsi, le risque numérique, souvent perçu comme un problème isolé ou technique, doit être reconnu comme un enjeu collectif qui mobilise toute l’entreprise.
Par ailleurs, la mise en œuvre de DORA soulève la question de la transparence et de la communication interne. Pour qu’une culture de résilience puisse se développer, les dirigeants doivent encourager la communication ouverte sur les vulnérabilités et les erreurs, sans pour autant créer une atmosphère de peur ou de sanction. La résilience implique d’accepter qu’aucun système n’est infaillible, mais qu’il est possible de s’adapter et de réagir efficacement. Cela suppose une approche plus collaborative entre les départements IT, les équipes métiers, et la direction générale. DORA impose également la mise en place d’un reporting régulier sur la gestion des risques et des incidents. Cette exigence pourrait pousser les entreprises à instaurer des canaux de communication plus fluides et transparents, renforçant ainsi une culture d’ouverture et de dialogue sur les risques.
Un autre angle rarement exploré par les analyse de DORA est son impact sur la responsabilité individuelle au sein de l’entreprise. Alors que les exigences réglementaires en matière de cybersécurité et de continuité des services augmentent, les employés sont de plus en plus appelés à assumer des rôles clés dans la protection des systèmes et des données. Ce changement fait que la responsabilité individuelle et collective en matière de sécurité informatique devient une composante essentielle de la culture d’entreprise. Ce ne sont plus seulement les dirigeants ou les experts IT qui sont tenus responsables des défaillances, mais potentiellement chaque employé, selon son rôle et ses accès aux données critiques. Ce meilleur partage de la responsabilité a souvent été un grand absent dans les entreprises.
Enfin, il convient de mentionner que DORA pourrait indirectement influencer la gouvernance d’entreprise en incitant les dirigeants à redéfinir leurs priorités stratégiques. Face à la complexité croissante des menaces, les conseils d’administration devront intégrer davantage de profils experts en gestion de risques technologiques, modifiant ainsi peut-être la composition et les préoccupations des organes dirigeants. Cette évolution pourrait également influencer la manière dont les entreprises structurent leurs processus décisionnels, avec une plus grande attention portée à l’anticipation de ces risques.
Ainsi, si la réglementation DORA est souvent abordée sous l’angle de la cybersécurité et des outils techniques, son véritable impact sur la culture d’entreprise ne doit pas être sous-estimé. La promotion d’une culture de la résilience, de la transparence, et de la responsabilité à tous les niveaux est cruciale pour assurer une mise en conformité efficace et durable. Plus qu’un simple cadre réglementaire, DORA pourrait bien devenir un levier pour transformer en profondeur les mentalités au sein des entreprises financières.