Réglementation DORA : la résilience opérationnelle numérique au coeur des entreprises

Chaque année, de nouvelles technologies ne cessent de se développer pour aider les entreprises dans leur quotidien. Bien qu’elles permettent souvent un gain de temps et d’argent considérables, elles peuvent présenter des risques pour les systèmes de cybersécurité : la dernière étude « Global Cybersecurity Outlook 2025 » du Forum économique Internationale révèle que les cybermenaces ont augmenté de 72% au cours des dernières années. 

Face à ces enjeux critiques, les États européens élaborent régulièrement de nouvelles mesures afin d’encadrer au mieux ce domaine en perpétuelle évolution et d’assurer la sécurité des entreprises. Le Digital Operational Resilience Act (DORA) est l’une des dernières réglementations adoptées par les législateurs européens. Entrée en vigueur le 17 janvier 2025, elle doit permettre de renforcer la résilience numérique des entités financières européennes et de leurs prestataires en matière de cybersécurité.

Comprendre les enjeux et les impacts de cette réglementation

De nombreux acteurs européens sont impactés par la réglementation DORA, tels que les banques, les compagnies d’assurances ou les entreprises d’investissement. Les prestataires de services de technologies de l’information et de la communication, ainsi que les ESN devront également se conformer à ces exigences puisqu’ils contribuent de différentes manières à la cybersécurité de leurs clients.

La réglementation DORA prévoit 4 mesures clés auxquelles les entreprises devront se conformer pour assurer une bonne résilience opérationnelle numérique :

• La gestion des risques liés aux TIC : en cas d’incidents de cybersécurité, les entreprises doivent veiller à identifier leurs origines, à déployer des correctifs et à suivre leur efficacité.
• La déclaration des incidents majeurs : elles doivent les classifier, puis assurer une communication transparente et une gestion de crise rapide. 
• Le déploiement de tests de résilience : les entreprises doivent évaluer leur capacité à résister aux incidents et déployer des solutions pour résoudre les faiblesses identifiées.
• La gestion des risques liés aux prestataires de services TIC : les risques de ces partenaires doivent être identifiés et intégrés dans la gestion des risques des entreprises.

Si la réglementation DORA fournit un cadre crucial pour assurer la sécurité des entités financières face aux cybermenaces, elle s’ajoute à de nombreuses normes déjà existantes. Cela complexifie davantage la gestion administrative et financière des mises en conformité, impactant de manière inégale les entreprises. 

Bien que les PME et TPE bénéficieront de régimes simplifiés, elles risquent de rencontrer des difficultés à recruter les bons talents et auront probablement recours à des prestataires externes, ce qui occasionnera des coûts supplémentaires. Pour les grandes entreprises, les enjeux porteront sur le recrutement et la formation des collaborateurs afin de répondre à ces nouvelles exigences de manière pérenne et efficace.

Le marché de l’emploi de la cybersécurité en tension

La transition numérique apparaît comme un enjeu clé pour assurer la compétitivité des entreprises. 

Bien que les besoins en recrutements dans la cybersécurité soient de plus en plus importants, le marché est confronté à une pénurie des talents : selon le Forum économique mondial, il manquait 4 millions d’experts en cybersécurité dans le monde en 2024. Cette situation contribue à ralentir le développement des entreprises : 39% d’entre elles mentionnent le manque de talents comme l’un des principaux obstacles à leur résilience opérationnelle numérique.

Face aux nombreuses innovations, les compétences techniques deviennent de plus en plus rapidement obsolètes, complexifiant davantage la capacité des entreprises à s’adapter. Pour résoudre cette problématique, le Forum économique mondial constate différentes approches : 

• 76% des entreprises forment leurs collaborateurs en interne
• 54% recrutent des profils seniors
• 24% déploient des programmes d’apprentissage
• 23% recrutent des profils non orientés dans l’IT afin de suivre la digitalisation de nombreux métiers, tels que la finance ou le droit

En réponse à ces besoins, de nombreux CFA et écoles développent des formations pour accompagner les futurs professionnels des métiers de demain. Ces dernières années, de plus en plus d’initiatives sont déployées à l’échelle nationale pour sensibiliser et susciter des vocations afin de répondre à ces pénuries de compétences. Face à ces véritables viviers de futurs talents, il est primordial de bien savoir identifier et approcher les bonnes structures.

La nécessité d’une approche RH innovante et adaptée

La réglementation DORA risque de complexifier davantage des recrutements déjà difficiles, notamment pour les TPE et les PME. Pour rester compétitives et respecter les mises en conformité, elles devront être stratégiques dans leur gestion des ressources. Bien que l’externalisation puisse être une solution, elle n’en reste pas moins coûteuse et peut créer des dépendances à l’égard des prestataires.

Sur le long terme, il peut être préférable de recruter de nouveaux collaborateurs afin d’assurer une stratégie pérenne et une gestion de la résilience internalisée. Face à un marché pénurique et des compétences rares, le recrutement par approche directe peut constituer une solution idéale pour identifier et attirer les bons talents.

Identifier des talents à former en interne est aussi une stratégie envisageable, à condition de sélectionner et d’accompagner correctement les bons profils. Dans un contexte de changements rapides, les soft skills sont des critères de plus en plus importants afin d’assurer la capacité des collaborateurs à monter en compétences sur ces métiers techniques et à s’adapter aux évolutions constantes du marché. Les Development Centers permettent alors de créer des mises en situation adaptées à l’environnement de travail pour s’assurer de la qualité et de l’objectivité de la prise de décision.