TRANSFORMATION & ORGANISATION
Une offre de formation complète pour bien aborder le défi DORA
Afin d’accompagner les défis liés au renforcement de la résilience des entités financières, dans le cadre de l’entrée en vigueur de DORA, la société Anidris a développé une offre complète incluant des modules de formation spécifiques. L’enjeu, nous explique Loris Rilli, Senior Advisory Consultant de Anidris, est de développer une culture de la résilience et de la gestion des risques partagée par l’ensemble des collaborateurs.
August 8, 2024
À partir du 17 janvier 2025, l’ensemble des entités régulées du secteur financier et du monde de l’assurance devront être conformes au Règlement sur la résilience opérationnelle numérique (le Digital Operational Resilience Act, DORA en abrégé). Face à l’augmentation des risques liés à l’utilisation des technologies de l’information et de la communication, considérant la multiplication ainsi que le renforcement des interconnexions entre les projets et les acteurs, ce texte vise à renforcer la résilience de chaque acteur concerné et du secteur dans son ensemble.
La responsabilité des dirigeants engagée
« Adopté il y a deux ans, DORA contient un ensemble de règles relatives à la gestion des risques et incidents liés aux technologies de l’information et de la communication. Celles-ci concernent les systèmes directement opérés au sein de l’entreprise autant que ses fournisseurs de services. Il prévoit aussi d’effectuer des tests visant à s’assurer de la résilience opérationnelle des acteurs », commente Loris Rilli, Senior Advisory Consultant au sein de la société Anidris, qui accompagne des acteurs luxembourgeois dans le gestion de leur infrastructure IT. Pour beaucoup d’institutions financières, 95% des exigences établies au niveau de DORA reprennent des obligations qui leur incombaient déjà en matière de continuité de service ou de sécurité. »
Il ne faut toutefois pas présupposer que, pour autant, les enjeux de mise en conformité vis-à-vis de cette réglementation s’apparentent à une promenade de santé. « DORA renforce considérablement le niveau d’exigence. En introduisant un principe de responsabilité du board, le règlement positionne la résilience comme un enjeu prioritaire, poursuit Loris Rilli. Cela implique, en premier lieu, que les dirigeants soient formés, afin de pouvoir établir un cadre de gestion des risques adapté, opérer les bons arbitrages et assumer pleinement leurs responsabilités vis-à-vis de ces obligations. En effet, Il est crucial que les dirigeants soient capables de garantir une gestion efficace et responsable des risques. Sans une formation adéquate, ces derniers risquent de prendre des décisions mal informées qui pourraient compromettre la stabilité de l’organisation et la conformité réglementaire. De plus, une formation continue leur permettra de rester à jour face aux évolutions des normes et des meilleures pratiques, assurant ainsi une réponse proactive aux défis futurs.»
La gestion des risques au cœur de la démarche
DORA n’est pas une liste de mesures directement applicables dans l’optique de garantir la sécurité des systèmes d’information et la continuité des activités. Pour s’y conformer, chaque organisation doit partir d’une analyse des risques auxquels elle est exposée. « Cette notion de risque est au centre de tout. Chaque acteur doit pouvoir identifier ses services essentiels, les fonctions vitales lui permettant d’assurer un service minimal pour ses clients ou les autres opérateurs de l’écosystème financier, précise Loris Rilli. Considérant chaque risque identifié, l’entité doit alors mettre en place un ensemble de mesures visant à prévenir tout incident pouvant mettre à mal les systèmes d’information et, le cas échéant, des procédures permettant d’assurer la reprise rapide des activités. »
L’importance de bien former
L’IT, plus que jamais, doit se familiariser avec les notions de gestion des risques. La fonction doit pour cela échanger avec les métiers dans une démarche de compréhension des dépendances et d’amélioration continue. Il est nécessaire de considérer cette réglementation à travers le prisme de la compliance, de la sécurité et de la résilience. « Les trois dimensions sont profondément imbriquées. Le véritable défi est de parvenir à bien les aligner », explique Loris Rilli. A cette fin, il est essentiel de former l’ensemble des personnes impliquées dans la gestion de la sécurité et la continuité, pour s’assurer que chacun parle le même langage et soit aligné sur les objectifs poursuivis. En abordant la réglementation, on se rend aussi rapidement compte de l’importance de sensibiliser l’ensemble du personnel vis-à-vis des enjeux de cyber et de résilience. « Pour s’assurer que tous prennent part à la résilience de l’entreprise, il faut commencer par une formation reprenant les principes de base et les bonnes pratiques. Chaque employé et partenaire constitue un maillon de la chaîne. Pour limiter les risques, il faut que chacun prenne conscience de son rôle et de sa contribution au renforcement de la résilience de l’activité. La démarche contribue à la promotion d’une culture de la résilience à l’échelle de l’entreprise », précise le consultant.
Une offre de formation unique
Si Anidris conseille ses clients dans la mise en œuvre d’une infrastructure informatique résiliente, la société a aussi développé une offre de formation pour accompagner les organisations vis-à-vis de ces enjeux. « Afin de répondre aux attentes des différents acteurs impliqués, nous avons mis en place un ensemble de modules de formation accessibles via le web. Les deux premiers s’adressent à l’ensemble des employés. Ils permettent de proposer une introduction à la matière et d’aborder les cinq piliers de la résilience, explique Loris Rilli. Les modules suivant sont orientés pour répondre aux besoins des divers métiers impliqués dans la gestion de la résilience. Parmi ceux-ci, on aborde notamment les enjeux techniques – ce qui constitue le cœur de la mission de notre société – comme l’architecture des systèmes d’information, l’infrastructure mise en place et sa gestion, la mise en place de procédures de contrôle et de prévention des risques. »
Un accompagnement global
Le renforcement de la résilience doit s’envisager au niveau des produits et services proposés, des processus opérationnels mis en œuvre et au niveau des collaborateurs, en définissant des rôles et des responsabilités. « Notre rôle est d’accompagner les clients vis-à-vis de chacun de ces enjeux et de garantir une mise en conformité de bout en bout, poursuit le consultant. La formation permet d’accompagner le changement et de valider, grâce à des tests proposés au terme de chaque module, les acquis. »
Selon Anidris, cette offre de formation, la seule entièrement made in luxembourg, permet de bien aborder le défi de mise en conformité que vont devoir relever de nombreuses organisations dans les mois à venir. « Notre avantage, en tant qu’intégrateur, est que nous avons une connaissance fine des aspects liés au déploiement de la technologie et aux opérations garantissant la résilience. Notre offre est complémentaire à celles proposées par les cabinets de consultance de la place, avec lesquels nous collaborons d’ailleurs, pour engager une démarche de renforcement de la robustesse de chaque activité », conclut Loris Rilli.
Pour plus d’informations sur le training DORA d’Anidris, veuillez écrire à : sales@anidris.lu