To learn more about the regulation’s details, you can refer to this article: What does DORA mean for Resilience of financial organisations?

The key deadline of January 17, 2025, marks the theoretical compliance date for financial entities. It also signals the beginning of supervisory operations by regulatory authorities.

In this context, Damien LACHIVER and Etienne BOUET, Senior Managers at Wavestone and experts in DORA compliance, with extensive experience supporting CAC40 entities, share their insights into the practical challenges and opportunities brought by this regulation, as well as the regulators’ expectations and essential actions for effective preparation.

How does DORA go beyond mere regulatory compliance?

E.BOUET: DORA should not be seen merely as a compliance exercise. Yes, there are regulatory requirements to meet, but the real challenge lies in building resilience. The question to ask is: how can compliance with DORA effectively enhance operational resilience? This connection is not always straightforward. For instance, gap analyses or cybersecurity audits often reveal vulnerabilities, and compliance alone is insufficient if it doesn’t come with genuine improvements in resilience.

D.LACHIVER: Many entities are still focused on compliance since DORA addresses areas already well established, such as cybersecurity, business continuity, and IT risk management. Large organizations, in particular, already benefit from high compliance levels due to decades of experience.

However, beyond this compliance phase, it is crucial to shift towards remediation and anticipation, implementing initiatives that will not be fundamentally different from the historical programs already initiated. The real focus should be on identifying new scenarios or solutions that can strengthen resilience.

What are the critical scenarios to consider for improving resilience?

D.LACHIVER: Two major scenarios require significant attention and investment:

• Total loss of internal IT systems: how can information systems be restored and fully rebuilt after a large scale cyberattack?
• The sudden loss of a critical third party: what happens if I lose a partner or service provider whose operational disruption has a significant structural impact on my business?

E.BOUET: The growing dependence on third parties has noy yet been fully recognized as a major risk. The associated scenarios are not sufficiently integrated into strategic priorities, leading to a lack of investment in preparedness.

Will financial entities be ready by January 17, 2025?

E.BOUET: It is unlikely that all companies will be fully ready by January. The market as a whole faces delays, although significant progress has been made. For instance, most of the normative documents required for compliance have been finalized, and priorities have been aligned with risk management needs.

D.LACHIVER: Indeed, January 17, 2025, will mark more of a milestone than a conclusion. Most operational projects, such as third-party management, remain to be addressed and will require ongoing effort.

What are the main challenges in implementing DORA?

E.BOUET: Initially, the main challenge was mobilizing a wide range of stakeholders: cybersecurity, risk management, procurement, legal, business, IT… While the topics addressed by DORA were already familiar to these teams, the regulation raises expectations and introduces additional requirements to roles thar are already well-defined.

D.LACHIVER: Historically, these areas have often been handled in a fragmented, siloed manner. However, DORA demands significant and measurable progress in resilience, which requires a more coherent and integrated approach. Today, two key priorities stand out:

• Third-party management, which represents a massive challenge.
• Threat-Led Penetration Testing (TLPT), an ambitious but complex novelty.

Why is third-party management such a significant challenge?

E.BOUET: Third-party management (TPRM) is one of the key challenges posed by DORA. Third parties are everywhere, but they are often poorly managed. It’s not always clear whether they are critical or not, and relationships often lack proper structure. Managing reliance on critical third parties is common sense, but it goes far beyond contractualization: organizations need to identify their third parties, assess their criticality, and manage this dependency operationally, a challenge for many.

D.LACHIVER: Historically, this has been a neglected area, often handled in silos by procurement, cybersecurity, business continuity, and other functions. There is a lack of a comprehensive view of third-party risks. DORA’s aims is precisely to move beyond this fragmented approach and build a cohesive end-to-end management framework throughout the contract lifecycle.

What does “testing exit strategies” with critical third parties mean?

D.LACHIVER: Testing exit strategies means anticipating how an organization would respond if a third party’s services were interrupted, whether voluntarily or involuntarily. For example, in the case of a cyberattack on a service provider, it may be necessary to sever the relationship to protect the organization’s own information systems.

E.BOUET: Tabletop exercises help assess reliance on third parties and theoretically simulate the procedures to follow in different scenarios. They also encourage organizations to rethink their relationships with certain providers, particularly those unable to align with DORA’s requirements.

What makes TLPT (Threat-Led Penetration Testing) a specific challenge?

D.LACHIVER: TLPT is one of the key innovations introduced by DORA. It involves threat-led penetration tests guided by the DORA regulation, the theoretical TIBER framework and adapted by national authorities. While the theoretical framework is well-defined, practical implementation remains challenging, as these tests are not yet common in the financial sector. Their limited frequency (one test every three years) and the regulator’s resources reduce the immediate urgency, but they are crucial for strengthening resilience.

E.BOUET: These tests still raise many questions, as they require a new approach for some players, especially those less experienced with this type of exercise. Currently, we are in a waiting phase, with a few dry-run initiatives underway. The actual implementation will depend on the regulator’s planning and the lessons learned from the first fully executed TLPTs in the coming months.

How can DORA transform IT risk governance?

D.LACHIVER: DORA promotes a unified approach to IT risk management by breaking down silos between various functions, such as cybersecurity, business continuity, and procurement. This involves:

• Harmonizing key terminologies and concepts (for example, ensuring that the concept of criticality is understood consistently across all functions) to streamline and improve interactions with business units.
• Implementing structural changes (such as adopting a CSO model – Chief Security Officer) to establish unified governance across functions, enabling more effective and coherent decision-making.

What are the concrete requirements to comply with DORA by January 17, 2025, and beyond?

E.BOUET: The first major expectation for January 17 is the ability to identify a major incident according to DORA’s criteria and notify the regulator. This requires well-defined operational processes to ensure rapid detection and reporting. This requirement is justified, given the history of IT and security teams in a sector accustomed to managing critical incidents.

D.LACHIVER: Then, by April 30, 2025, financial entities will need to produce a register of information on their third parties. I believe organizations will be able to provide such a register by this date. However, additional work will likely be needed to improve its quality and completeness.

E.BOUET: Finally, throughout 2025, what matters is demonstrating that entities are making progress. Regulators expect projects to be initiated, identified gaps to be gradually addressed, and tangible advancements to be made. The key is to have a clear and structured roadmap to meet DORA’s expectations.

What are the long-term benefits expected from DORA?

D.LACHIVER: DORA has the potential to create a virtuous cycle by strengthening risk management, business alignment, and operational resilience within the sector. It encourages entities to go beyond compliance and integrate these priorities into their overall strategy.

E.BOUET: One key aspect is the reaffirmed responsibility of executive leadership. Their involvement, particularly through regular risk validation, enhances overall awareness and drives the investments necessary to improve resilience.

D.LACHIVER: This connection between operational teams and leadership aligns strategic and operational priorities, fostering a culture of continuous improvement. It also empowers IT risk teams and supports the transformation of organizations toward greater digital resilience.

For any support in achieving DORA compliance, you can contact:

• damien.lachiver@wavestone.com
• etienne.bouet@wavestone.com

Cet article DORA – The Challenges of Digital Resilience in the Financial Sector by 2025 est apparu en premier sur RiskInsight.

Comment intégrer une vision plus « positive » du risque au sein de la cartographie ?

Ne pas savoir saisir les opportunités peut être considéré comme un risque vis-à-vis de la stratégie de l’entreprise. Dès lors, on doit attendre de la cartographie qu’elle accompagne cette prise de risques.
Prenons l’exemple d’une entreprise qui souhaite se développer sur un nouveau marché. Cette stratégie pourrait notamment s’appuyer sur l’acquisition d’une société disposant d’expertises sur ce marché. On pourrait raisonnablement considérer cette démarche comme intrinsèquement risquée : la société ciblée apportera-t-elle tout le potentiel attendu ? La valeur d’acquisition sera-t-elle bien évaluée ? Son intégration dans la culture de l’entreprise sera-t-elle facile ?… À ne considérer que les risques, la cartographie pourrait inciter à ne pas se lancer dans une telle démarche d’acquisition qui est pourtant ici nécessaire au développement de l’entreprise.
La bonne réponse passe dès lors par la prise en compte, au sein de la cartographie, non seulement des risques mais également des opportunités. On ne masquera pas les risques car ils nécessitent d’être gérés mais les différents scénarios seront relativisés au regard des bénéfices attendus. La cartographie deviendra alors un vrai outil d’aide à la décision permettant d’équilibrer la prise de risques.

Une vision très dépendante d’un contexte évoluant très rapidement

La perception et la qualification d’un scénario en tant que risque pour l’entreprise dépend des objectifs et du contexte (économique, financier, social,…) de celle-ci. Une bonne conjoncture économique, une trésorerie avantageuse, un contrôle interne efficace,…peuvent être à l’origine de la relativisation de certains risques dans la mesure où leurs impacts sur les objectifs de l’entreprise pourraient être faibles.
Prenons, par exemple, la situation d’une entreprise disposant d’une forte trésorerie, qui l’inciterait peu à chercher des opportunités d’optimisation de celle-ci. Au sein de la cartographie, le risque de manque d’optimisation financière sera très certainement mineur voire inexistant. Dans un contexte business moins favorable, l’argent immobilisé constituera un risque nettement plus conséquent (endettement, pénalités financières, baisse du chiffre d’affaire…) pour l’atteinte des objectifs de l’entreprise.

Adopter une approche globale des risques en intégrant les points de vulnérabilités à traiter mais également les opportunités à saisir passe donc nécessairement par la mise à jour très régulière de la cartographie pour adapter cette dernière aux évolutions rapides du contexte de l’entreprise.

Cet article Gestion des risques : comment équilibrer opportunités de développement et risques ? est apparu en premier sur RiskInsight.

• Quels sont mes risques et parmi eux quels sont mes risques les plus critiques ?
• Sont-ils maîtrisés et dans le cas contraire quelle(s) décision(s) prendre ?

Au sein de l’entreprise, les acteurs à même d’apporter des réponses à ces questions sont nombreux (Risk Manager, Responsable des Risques Opérationnels, auditeurs…). S’agissant des risques de sécurité, au cœur de notre sujet, retenons, entre autres, la Direction des risques, le contrôle interne, l’audit interne et bien sûr le RSSI et ses équipes.

Si leur implication dans la gestion des risques SSI est évidente, les liens qui les unissent le sont moins. Apporter des réponses pertinentes aux deux questions ci-dessus passe donc nécessairement par la clarification des relations qui les lient – ou qui devraient les lier.

Quelles relations mettre en œuvre entre les différents acteurs de la gestion des risques SSI ?

À défaut d’organisation commune à toutes les entreprises, nous pouvons schématiser ainsi les principaux rôles de chacun de ces acteurs, ainsi que leurs interactions.

Pour gérer les risques de manière efficace et efficiente, il est nécessaire que les acteurs concernés partagent leurs informations.

Cette exigence de partage de l’information n’est pas toujours effective

Les différentes contributions à la gestion des risques SSI sont malheureusement peu souvent coordonnées voire parfois ignorées. Trois situations, trois questions reviennent en permanence, illustrant ce manque de communication :

• Quels contrôles relatifs à la sécurité des SI sont réalisés par le contrôle interne ? La fonction contrôle interne dispose-t-elle de l’expertise pour mener des contrôles de sécurité ?
• La politique de sécurité fait-elle partie du référentiel de contrôle ? Les contrôles réalisés permettent-ils d’en mesurer la mise en œuvre ?
• Les démarches, méthodes, référentiels, échelles…utilisés pour  gérer les risques sont-ils partagés

Mettre en œuvre des actions concrètes de rapprochement

Quelles solutions permettront un rapprochement ? À cette question il n’y a évidemment pas de réponse toute faite, pas d’organisation unique adaptable partout. Il existe néanmoins quelques bonnes pratiques qui vont faciliter l’atteinte de cet objectif.

1.    Évaluer les risques à couvrir ainsi que les contrôles à réaliser en s’appuyant sur  la même échelle de classification

Facteur de rapprochement essentiel, une échelle commune permet notamment de prioriser les contrôles à réaliser en se focalisant sur ceux liés aux situations les plus à risques.

Sans ce partage, il est très difficile d’obtenir une vision consolidée des risques. Une fois cette échelle commune établie, il est alors possible de mettre en œuvre les points suivants.

 2.    Travailler sur un catalogue de risque partagé

Tous les acteurs doivent pouvoir s’appuyer sur un catalogue commun de risques. Le contrôle interne pourra y ajouter les résultats des contrôles réalisés afin de mettre à jour le niveau de maîtrise des risques correspondants. Le RSSI pourra y contribuer en renseignant les risques dont il est le porteur et en intégrant notamment les vulnérabilités pesant sur les actifs SI.

 3.    Gérer conjointement la relation avec l’ensemble des acteurs métier et SI

Les Directions métiers comme les experts du SI sont aujourd’hui sur-sollicités par l’ensemble des acteurs de la gestion des risques. Aboutir à une gestion des risques plus efficiente passe donc nécessairement par l’harmonisation des différentes démarches. Harmoniser, ce n’est pas fusionner (chacun garde ses spécificités) mais se doter d’un discours, d’un calendrier, d’un outillage le plus homogène possible afin de présenter aux acteurs métier une démarche cohérente et optimisée.

 4.    Clarifier les périmètres de chacun et acter la délégation de responsabilité les cas échéant

Le domaine de la sécurité des SI est un bon exemple de périmètre au sein duquel la clarification des responsabilités de chacun est souvent nécessaire. Prenons l’exemple des contrôles de niveau 2 touchant la SSI. Ceux-ci peuvent être gérés par la fonction contrôle interne si elle dispose de l’expertise ad-hoc mais ils sont régulièrement suivis par le RSSI. Dès lors l’enjeu est de bien définir les actions de contrôle portées par le RSSI en délégation du contrôle interne pour la spécificité du domaine SSI.

 Améliorer l’efficacité de sa gestion des risques est d’abord un enjeu de Gouvernance

Nous l’avons vu, au-delà des questions de méthodologie et d’outillage, faciliter et améliorer sa gestion des risques passe essentiellement par une plus grande communication entre les différents acteurs. Cet objectif ne vise pas à gommer leurs spécificités mais à faire en sorte que les résultats des travaux des uns puissent servir à mieux cibler et prioriser les travaux des autres.

La Direction des risques a dans ce schéma un rôle essentiel dans la mesure où elle est la mieux placée pour orchestrer les actions des uns et des autres. Son positionnement global (vision de l’ensemble des risques de l’entreprise) doit lui permettre d’être le facilitateur

Cet article Les relations risquées entre les acteurs de la gestion de risques est apparu en premier sur RiskInsight.

Découvrez quelques éléments de réponse dans la première partie de notre dossier consacré au Management des risques.

Une prise de risque au service de l’atteinte des objectifs de l’entreprise

Les démarches de gestion des risques peuvent donner l’impression de sur-traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient par­fois les gains potentiels d’une prise de risque. Se développer sur un nou­veau marché, adapter son offre com­merciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien sou­vent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exercice d’équilibre entre gains et pertes potentielles qui doit permettre de modi­fier la perception que les métiers ont des démarches de gestion des risques.

Une gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités.

Un prérequis : formaliser les objectifs de l’entreprise pour identifier les risques et leurs porteurs

Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (voir la norme ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs.

Les risques touchent tous les niveaux de l’entreprise et sont portés en consé­quence par des acteurs multiples. Au-delà des risques stratégiques gérés par la Direction générale et des risques métiers, bien souvent sectoriels et portés par les directions en charge de ces fonctions, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante ces dernières années. Le renforcement des réglementations, plus particulièrement dans le secteur financier, a mis en lumière un besoin fort de maîtrise de ces risques. Communs à toutes les entreprises, ils recouvrent les risques relatifs aux processus, aux personnes et aux systèmes de l’entreprise.

 Le SI, colonne vertébrale de l’entreprise, au cœur de la gestion des risques

Parmi les risques opérationnels, les risques liés aux systèmes d’infor­mation ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres.

• Les risques du système d’information sont des risques trans­verses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI.
• Les risques sécurité de l’information comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés dans les pratiques de gestion de risques des entreprises, ils font sou­vent l’objet d’une filière dédiée.
• Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects conti­nuité informatique, mais débordent largement sur les risques opération­nels en traitant le secours utilisateur et les aspects logistiques, RH, juri­diques, etc.

De nombreux référentiels et des normes existent pour gérer ces risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en œuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
La mise en place de filières spécifiques à chaque type de risque les a souvent largement exploités ces dernières années, sans pour autant uniformiser les pratiques.

Dès lors, il peut s’avérer difficile de disposer d’une vision d’ensemble et un nouvel enjeu émerge : comment optimiser globalement la gestion des risques SI ? (Lire notre article “Casser les silos en articulant les filières de gestion de risques“)

Pour en savoir plus sur le management des risques, consultez également la synthèse Solucom “Management des risques, plaidoyer pour une vision unifiée”.

Cet article Management des risques : une gestion des risques SI au cœur de l’innovation et des métiers est apparu en premier sur RiskInsight.

Historiquement, la gestion des risques est abordée par silos au sein des entreprises. Chaque filière (SI, qualité, continuité, RH,…) traite son périmètre en toute autonomie et sans réels échanges avec les autres. Cette gestion très cloisonnée rencontre aujourd’hui ses limites car elle n’apporte pas de réponses satisfaisantes aux questions clés qui régissent la gestion des risques pour toute entreprise :

• Quelles actions de réductions des risques dois-je initier en priorité ?
• Comment mutualiser mes efforts pour un maximum d’efficacité et un minimum de coût ?
• Quel niveau de réduction de mes risques ai-je atteint ?

Aligner les démarches pour un partage et une consolidation des risques

La Direction des risques, acteur majeur de la démarche, se retrouve dès lors confrontée à un enjeu de taille : comment traiter globalement les risques de l’entreprise en s’affranchissant de cette structure par filière. Notre conviction est qu’elle doit, pour ce faire, mettre en place un cadre global de gestion en travaillant principalement sur deux axes :

–       Aligner et faire converger les pratiques : si la notion de risque et les concepts associés sont  très proches d’une filière à l’autre, il arrive trop souvent que les méthodes, les langages, les échelles,… divergent rendant ainsi la consolidation des risques remontés par chacune des filières difficile voire impossible.

–       Elaborer ou Rationaliser la gouvernance des risques : la mise en place d’une organisation intégrant les différentes parties et les faisant interagir permettra non seulement de décloisonner la gestion des risques mais aussi d’optimiser les plans de traitement et la maîtrise globale du risque.

Cette rationalisation doit également concerner les canaux de remontées des risques qui sont aujourd’hui extrêmement nombreux (au moins autant que de filières) entraînant une sur-sollicitation des opérationnels.

Au-delà du travail sur la méthode et l’adaptation de l’organisation, cette réponse globale doit s’appuyer sur un portefeuille de risques commun, réceptacle unique pour l’ensemble de l’entreprise. Véritable outil de pilotage, le portefeuille doit permettre, à la cible, un traitement plus adapté des risques par les différentes filières, basé sur des plans d’actions complémentaires et partagés.

S’appuyer sur l’existant pour une mise en place progressive

On ne passe pas d’une réponse éclatée à une approche globale en une seule étape, ou en faisant table rase de l’organisation et de ses contraintes. Face à ce challenge, la stratégie gagnante est, au contraire, celle qui implique l’ensemble des parties prenantes dans la réflexion pour en garantir l’acceptation et construire une véritable « culture du risque » au sein de l’entreprise. C’est également celle qui élargit pas à pas le spectre des risques couverts en commençant par la consolidation de risques de nature similaire, tels que les risques de sécurité et ceux liés au SI, avant d’inclure l’ensemble des risques opérationnels.

C’est en construisant sur l’organisation, en apportant de la cohésion entre les différentes filières et en appliquant une démarche progressive que les entreprises réussiront à transformer leur approche des risques.

Cet article Globaliser la gestion des risques : vers la mise en place d’un cadre unique est apparu en premier sur RiskInsight.