« Adoptée il y a deux ans, la réglementation européenne DORA (Digital Operational Resilience Act), contient un ensemble de règles relatives à la gestion des risques et incidents liés aux technologies de l’information et de la communication. Celles-ci concernent les systèmes directement opérés au sein de l’entreprise autant que ses fournisseurs de service. Il prévoit aussi d’effectuer des tests visant à s’assurer de la résilience opérationnelle des acteurs », commente Loris Rilli, Senior Advisory Consultant au sein de la société Anidris, qui accompagne des acteurs luxembourgeois dans la gestion de leur infrastructure IT. L’objectif est de renforcer la résilience opérationnelle des acteurs ainsi que de tout l’écosystème financier.

Partir des risques

« DORA renforce considérablement le niveau d’exigence vis-à-vis des acteurs. En introduisant un principe de responsabilité du board, le règlement positionne la résilience comme un enjeu prioritaire, poursuit Loris Rilli. Cela implique, en premier lieu, que les dirigeants soient formés, afin de pouvoir établir un cadre de gestion des risques adaptés, opérer les bons arbitrages et assumer pleinement leurs responsabilités vis-à-vis de ces obligations. En effet, il est crucial que les dirigeants soient capables de garantir une gestion efficace et responsable des risques. Sans une formation adéquate, ces derniers risquent de prendre des décisions mal informées qui pourraient compromettre la stabilité de l’organisation et la conformité réglementaire.»

Pour s’y conformer, chaque organisation doit partir d’une analyse des risques auxquels elle est exposée. « Cette notion de risque est au centre de tout. Chaque acteur doit pouvoir identifier ses services essentiels, les fonctions vitales lui permettant d’assurer un service minimal pour ses clients ou les autres opérateurs de l’écosystème financier, précise Loris Rilli. Considérant chaque risque identifié, l’entité doit alors mettre en place un ensemble de mesures visant à prévenir tout incident pouvant mettre à mal les systèmes d’information et, le cas échéant, des procédures permettant d’assurer la reprise rapide des activités. »

L’importance de bien former

Il est nécessaire de considérer cette réglementation à travers le prisme de la compliance, de la sécurité et de la résilience. « Les trois dimensions sont profondément imbriquées. Le véritable défi est de parvenir à bien les aligner, explique Loris Rilli. À cette fin, la formation est un enjeu clé. Il est essentiel que l’ensemble des personnes impliquées dans la gestion de la sécurité et la continuité aient la même compréhension des objectifs poursuivis et parlent le même langage. On se rend aussi rapidement compte de l’importance de sensibiliser l’ensemble du personnel vis-à-vis des enjeux de cyber-résilience. »

Une offre de formation unique

Si Anidris conseille ses clients dans la mise en œuvre d’une infrastructure informatique résiliente, la société a aussi développé une offre de formation pour accompagner les organisations vis-à-vis de ces enjeux. « Nous avons mis en place un ensemble de modules de formation accessibles via le web. Les deux premiers s’adressent à l’ensemble des collaborateurs. Ils permettent de proposer une introduction à la matière et d’aborder les cinq piliers de la résilience, explique Loris Rilli. Les modules suivants sont orientés pour répondre aux besoins des divers métiers impliqués dans la gestion de la résilience. Parmi ceux-ci, on aborde notamment les enjeux techniques – ce qui constitue le cœur de la mission de notre société – comme l’architecture des systèmes d’information, l’infrastructure mise en place et sa gestion, la mise en place de procédures de contrôle et de prévention des risques. »

Selon Anidris, cette offre de formation, la seule entièrement made in luxembourg, permet de bien aborder le défi de mise en conformité que vont devoir relever de nombreuses organisations dans les mois à venir : «

Pour plus d’informations sur le training DORA d’Anidris, veuillez écrire à : sales@anidris.lu