Article précédent
Article suivant

La Résilience Opérationnelle et le Règlement DORA : enjeux, définitions et mise en œuvre

  • Actualité
  • 23 avril, 2025

Jean-Jaques Kohler

La résilience opérationnelle constitue aujourd’hui un pilier stratégique pour les institutions financières, confrontées à un environnement de risques toujours plus varié et complexe. Qu’il s’agisse de crises financières majeures, de cyberattaques, de pandémies ou de bouleversements géopolitiques, les établissements doivent non seulement pouvoir faire face à des interruptions sévères, mais aussi rétablir rapidement leurs fonctions critiques pour préserver leur pérennité et assurer la stabilité des marchés. Dans ce contexte, le cadre réglementaire suisse de la FINMA (circulaire 23/01) se voit complété par la Digital Operational Resilience Act (DORA), un règlement européen entré en vigueur en janvier 2025 qui vise à harmoniser les exigences relatives à la résilience numérique. Cet article propose une présentation synthétique de ces deux référentiels, suivi d’une comparaison de leurs approches et de recommandations pratiques pour une mise en œuvre efficace.

Définitions et concepts clés

Fonctions critiques

  • Il s’agit des activités, processus ou services dont l’interruption compromettrait la survie de l’institution ou la stabilité des marchés financiers.
  • Chaque établissement doit les identifier, les documenter et définir, pour chacune, une tolérance maximale à l’interruption (objectif de temps de rétablissement, niveau de service minimal)

Approches top-down et bottom-up

  • Top-down : vision stratégique, mobilisation de la direction et du Conseil d’administration pour déterminer les grands objectifs de résilience.
  • Bottom-up : remontée terrain des processus et des dépendances, permettant de hiérarchiser la criticité au plus fin niveau opérationnel.

Exigences de la FINMA (Circulaire 23/01)

Obligations principales

  • Identification et documentation des fonctions critiques avec tolérances d’interruption validées annuellement par le Conseil d’administration.
  • Élaboration et test régulier de plans de continuité d’activité (BCP) couvrant les scénarios « graves mais plausibles » (pandémies, cyber-attaques, catastrophes naturelles).
  • Rapport annuel à la direction et au Conseil d’administration, incluant analyse des risques opérationnels, contrôles clés et adéquation des mesures de continuité.

Calendrier de mise en œuvre

  • 1er janvier 2024 : identification des fonctions critiques et définition des tolérances d’interruption.
  • 1er janvier 2025 : documentation des risques opérationnels et cartographie des connexions entre processus critiques.
  • 1er janvier 2026 : déploiement et test des mesures de résilience face aux scénarios graves mais plausibles.

Risques et points d’attention

  • Charge administrative potentiellement lourde pour les établissements moins matures.
  • Risque de démarche purement formelle si les indicateurs ne sont pas alignés sur une amélioration continue.
  • Nécessité d’intégrer en permanence les nouveaux risques émergents (cyber, tiers, climat).

Aperçu de DORA (Digital Operational Resilience Act)

Champ d’application

Toutes les entités financières européennes (banques, assurances, entreprises d’investissement) et leurs fournisseurs de services TIC, y compris hors UE lorsque leurs services sont critiques pour des acteurs de l’UE.

Exigences clés

  • Gestion structurée des risques TIC : classification des actifs, évaluation des vulnérabilités, planification des capacités.
  • Notifications standardisées des incidents majeurs au régulateur.
  • Tests de résilience numérique périodiques (ex. tests de pénétration, exercices de simulation).
  • Supervision renforcée et certification des prestataires TIC externes.
  • Spécificité numérique
  • Focus sur les dépendances technologiques et la sécurité des systèmes d’information, complétant la vision plus générale de la FINMA.
  • Comparaison FINMA 23/01 vs. DORA

Aspect FINMA 23/01 DORA

Portée Risques opérationnels globaux (y compris TIC) Concentré sur la résilience numérique (TIC)
Fonctions critiques Identification + tolérances d’interruption Identification renforcée des actifs TIC
Reporting Rapport annuel au Conseil Notification rapide et standardisée des incidents
Tests de résilience Exercices BCP réguliers Tests de pénétration et simulations numériques
Fournisseurs externes Analyse ISAE 3402, contractualisation Certification et supervision accrue, portée extraterritoriale
Calendrier Échéances 2024-2026 Entrée en vigueur janvier 2025, déploiement continu

  • Points de convergence : importance d’une démarche proactive, exigences de reporting, tests et validation périodiques.
  • Différences majeures : DORA élargit le périmètre aux prestataires internationaux de TIC et impose des standards techniques plus précis pour la cybersécurité.

Recommandations d’implémentation

Structuration et gouvernance

  • Mettre en place un comité de résilience opérationnelle rattaché directement au Conseil d’administration.
  • Assurer la coordination entre les référentiels FINMA et DORA via un référentiel unique, modulable et mis à jour en continu.
  • Identification et hiérarchisation des fonctions critiques
  • Utiliser des outils d’analyse de dépendances (cartographie des processus, diagrammes de flux) pour quantifier l’impact.
  • Définir clairement les seuils de tolérance (RTO, RPO) et les niveaux de service minimaux exigés.

Gestion des fournisseurs externes

  • Intégrer dans les contrats des clauses de continuité et de notification d’incidents conformes à DORA et à la FINMA.
  • Réaliser des audits périodiques et établir des tableaux de bord de performance (SLAs, KPIs).

Culture et sensibilisation

  • Former régulièrement les équipes opérationnelles et IT aux scénarios de crise et aux procédures d’escalade.
  • Organiser des exercices de simulation croisés (BCP, cyber-attaques) impliquant tous les niveaux de l’organisation.
  • Technologies et automatisation
  • Adopter des solutions de monitoring en temps réel pour suivre les indicateurs de performance critiques.
  • Utiliser l’automatisation pour accélérer la détection d’incidents et le lancement des plans de reprise.

Conclusion

La résilience opérationnelle, qu’elle soit appréhendée sous l’angle global de la FINMA ou dans la dimension numérique renforcée par DORA, impose une vision stratégique, des méthodologies rigoureuses et un engagement continu de la gouvernance. L’harmonisation des standards, via un référentiel centralisé, et une culture interne orientée vers la préparation et la réaction constituent les meilleurs leviers pour réduire la vulnérabilité des institutions financières face aux perturbations. En appliquant de manière intégrée les bonnes pratiques issues de ces deux cadres, les établissements seront à même de répondre aux exigences réglementaires tout en renforçant leur capacité d’adaptation et de reprise face aux crises.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Besoin de plus d’informations ?
NOS SERVICES
Nous contacter
Partager
  • All Posts
  • Actualité
  • Evènement
  • Formation
  • Services
  • Webinaire
Load More

End of Content.

© 2025 E-Secure      Mentions légales     CGV     CGU    Outils