MtoM Mag - Le journal de l'MtoM.
- accueil .
- newsletter .
Flux RSS . - soumissions .
- publicité .
- contacts
Flux RSS .
Six mois après l’entrée en vigueur de la loi européenne sur la résilience opérationnelle numérique (DORA), une nouvelle étude réalisée par le cabinet Censuswide pour le compte de Veeam® Software, leader en parts de marché dans le domaine de la résilience des données, révèle que 96 % des entreprises de services financiers de la région EMEA (et 94 % des entreprises de services financiers françaises) estiment que leur niveau de résilience n’est pas encore conforme aux exigences de la nouvelle règlementation. L’étude, qui recueille les avis de décideurs informatiques de haut rang dans des sociétés de services financiers au Royaume-Uni, en France, en Allemagne et aux Pays-Bas, souligne les défis permanents auxquels le secteur est confronté pour s’adapter à la loi DORA, un cadre règlementaire introduit par l’UE en janvier 2025 pour renforcer les défenses du secteur financier contre les cybermenaces et les perturbations des TIC.
Bien que cette loi constitue une priorité stratégique pour l’ensemble du secteur financier, de nombreuses entreprises cherchent encore à atteindre une conformité totale. À titre d’exemple, 96 % des entreprises françaises accordent à présent à DORA une plus grande importance dans leurs priorités organisationnelles qu’au cours du mois précédant la date d’entrée butoir, 41 % la qualifiant de « priorité absolue pour la résilience numérique ». La moitié des personnes interrogées en zone EMEA déclarent avoir intégré les exigences de DORA à leur programme de résilience au sens large, et 39 % qu’elle demeure une priorité centrale.
Même si 94 % des entreprises de la zone EMEA ont une vision claire des mesures à mettre en place, nombre d’entre elles sont confrontées à des défis imprévus :
35 % des entreprises françaises font état d’une augmentation des contraintes et de la pression exercée sur les équipes informatiques et de sécurité ;
38 % des entreprises françaises doivent faire face à une hausse des coûts répercutés par les fournisseurs de technologies informatiques ;
22 % des entreprises de la région EMEA estiment que l’ampleur des règlementations numériques devient un obstacle à l’innovation ou à la compétitivité ;
34 % des entreprises françaises ne disposent pas encore du budget nécessaire pour répondre aux exigences de DORA.
« Il est encourageant de constater que la plupart des entreprises connaissent les exigences de la loi DORA et qu’elles pensent pouvoir y répondre en toute confiance », déclare Edwin Weijdema, Field CTO EMEA de Veeam. « La mise en conformité constitue une première étape essentielle pour garantir la résilience d’une entreprise, au vu de la complexité du paysage actuel des cybermenaces, le chemin à parcourir est encore long. La nouvelle étude publiée par Veeam montre que de nombreuses institutions financières constatent encore des lacunes dans leur posture de résilience au sens large et rencontrent des difficultés pour obtenir le budget nécessaire, et ce même si DORA représente un enjeu stratégique croissant. Il reste encore beaucoup à faire, et il ne fait aucun doute que la priorité accordée à la résilience des données jouera un rôle décisif dans le succès à long terme des entreprises. »
Malgré la priorité accordée à la résilience, une partie des entreprises françaises peinent encore à répondre aux principales exigences de la loi DORA :
22 % n’ont pas encore élaboré de tests de reprise et de continuité ;
21 % n’ont pas encore mis en œuvre un système de signalement des incidents ;
27 % n’ont pas encore identifié le responsable de la mise en œuvre de DORA ;
22 % n’ont pas encore effectué de tests de résilience opérationnelle numérique ;
20 % n’ont pas encore garanti l’intégrité des sauvegardes et la récupération des données en toute sécurité.
La surveillance des risques liés aux tiers est l’exigence de DORA qui pose le plus de problèmes : c’est le volet le plus difficile à mettre en application pour 38 % des entreprises françaises, même si seulement 16 % l’ont déjà fait. Les raisons ne manquent pas, qu’il s’agisse de la visibilité limitée dont disposent de nombreuses entreprises sur leurs activités avec des tiers ou, plus simplement, sur l’étendue des réseaux tierce partie.
Pour Andre Troskie, Field CISO EMEA de Veeam, « il est intéressant de constater que la surveillance des tiers représente un critère particulièrement sensible pour les entreprises. Plus de 30 % d’entre elles l’ont en effet identifiée comme la fonctionnalité la plus difficile à mettre en œuvre, et bon nombre ont sollicité des conseils supplémentaires en vue de son application. En tant qu’aspect souvent négligé de la résilience des données, il est encourageant de voir que les entreprises remettent en question leur posture de défense sur ce plan, ce qui est exactement le but recherché. Certes, il est essentiel de répondre aux exigences, mais DORA a également pour vocation d’amener les entreprises à évaluer leur résilience sous un angle holistique. À cet égard, l’objectif semble être atteint. »
De plus, 22 % des entreprises estiment que la façon dont DORA a été conçue aurait pu être améliorée afin de faciliter la mise en conformité ; c’est pourquoi elles appellent à une simplification, à une clarification et à des conseils plus détaillés s’agissant de la gestion des risques liés aux tiers.
Face au besoin croissant de stratégies de résilience structurées, Veeam et le cabinet McKinsey ont lancé en début d’année le premier modèle de maturité de la résilience des données (Data Resilience Maturity Model — DRMM) du secteur. Élaboré sur la base d’une étude approfondie et sur les informations fournies par plus de 500 responsables informatiques, de la sécurité et des opérations, le DRMM de Veeam a été validé sur la base de résultats concrets provenant de clients. Ce framework permet aux entreprises d’évaluer la résilience de leurs données sur la base d’une approche transversale intégrant les technologies de l’information, la sécurité et la conformité au sein d’une stratégie unifiée. Il définit une feuille de route précise pour améliorer la résilience et se conformer à des règlementations telles que la loi DORA.
« La loi DORA ne se limite pas à la conformité : elle a pour objectif d’encourager la réévaluation holistique de la résilience des données numériques », ajoute Andre Troskie. « À ce titre, le contrat est rempli. »
