"DORA va transformer la fonction Achats vers une gestion stratégique des risques numériques", Antony Derbès, président d'Open Lake Technology

Comment le Digital Operational Resilience Act (DORA) redéfinit-il les priorités et les responsabilités de la direction des achats dans les entreprises européennes, en particulier dans le contexte de la résilience numérique ?

Antony Derbès : DORA, ou le Digital Operational Resilience Act, marque une transformation majeure pour les entreprises financières européennes en introduisant des règles strictes en matière de cybersécurité et de gestion des risques informatiques. Pourquoi cibler le secteur financier ? Parce que l'Europe a identifié ce secteur comme étant le squelette de l'économie. Si une institution financière venait à être paralysée, ce serait l'ensemble de la chaîne économique qui s'effondrerait. Ce cadre réglementaire impose donc une approche beaucoup plus structurée pour assurer la résilience numérique, et la direction des achats n'échappe pas à ces nouvelles exigences.

La résilience numérique est désormais intégrée comme un critère central dans la gestion des fournisseurs. Cela se traduit par la nécessité de définir, dès la rédaction des contrats, des clauses spécifiques sur la gestion des incidents, les tests de résilience, et la transmission d'informations aux autorités. Par exemple, si un fournisseur critique subit une cyberattaque ou une panne, les entreprises doivent désormais mettre en oeuvre un protocole clair pour identifier et signaler l'incident rapidement.

En outre, la direction des achats doit collaborer étroitement avec les autres services pour garantir que les prestataires respectent des normes rigoureuses de cybersécurité. Ce besoin inclut la réalisation de tests réguliers pour s'assurer que les solutions fournies sont capables de résister à des incidents majeurs. L'impact de DORA va donc bien au-delà des simples relations contractuelles : il exige une vision stratégique et une gestion proactive des risques liés aux tiers.

Avec les exigences accrues en matière de gouvernance IT et de cybersécurité, comment les entreprises doivent-elles repenser leur processus de sélection et d'évaluation des fournisseurs pour garantir leur conformité à DORA ?

Le processus de sélection et d'évaluation des fournisseurs doit désormais intégrer des critères de conformité beaucoup plus exigeants. Dès le lancement d'un appel d'offres, les entreprises doivent inclure des exigences précises relatives à DORA dans leurs cahiers des charges. Il s'agit d'une identification claire les risques liés aux technologies de l'information et de demander aux fournisseurs des preuves tangibles de leur résilience, comme des résultats de tests ou des certifications.

Ensuite, ce nouveau cadre oblige également les directions des achats à renforcer leurs connaissances en matière de gouvernance IT et de cybersécurité. Une compréhension approfondie des exigences de DORA est essentielle pour évaluer correctement les propositions des prestataires. Il ne s'agit pas seulement de vérifier que ces derniers respectent les normes minimales, mais aussi d'anticiper leur capacité à gérer des incidents critiques ou des interruptions de service.

Les entreprises doivent donc repenser leur approche : les achats ne se limitent plus à obtenir des services ou des produits au meilleur prix, mais à choisir des partenaires capables de garantir la continuité d'activité et de protéger les données sensibles, même dans les conditions les plus difficiles.

Comment les directions des achats peuvent-elles assurer la continuité d'activité en cas de défaillance d'un partenaire clé ?

DORA introduit des mécanismes pour réduire les risques liés aux fournisseurs critiques, notamment en exigeant des plans de continuité d'activité (PCA) et des plans de continuité de service (PCS). Ces dispositifs garantissent qu'une entreprise peut poursuivre ses opérations, même en cas de défaillance d'un partenaire clé.

Pour les directions des achats, cela se traduit par une obligation de veiller à ce que chaque fournisseur critique dispose de solutions redondantes et résilientes. Pour donner un exemple, un prestataire de services "cloud" doit prouver que son infrastructure est capable de faire face à une panne ou à une cyberattaque. En effet, cela passe par des audits réguliers, des tests de résilience, et la vérification des plans de gestion de crise.

En cas de défaillance d'un fournisseur, DORA prévoit également des procédures de communication claires. Les achats doivent collaborer avec les équipes internes pour mettre en place des protocoles définissant qui interviennent, dans quel délai, et avec quels outils, pour minimiser les perturbations. Ce niveau de préparation est inédit et demande un effort important en termes de coordination et de documentation.

Comment les outils comme l'automatisation et l'IA peuvent-ils aider les directions des achats à évaluer et surveiller la conformité des fournisseurs aux nouvelles normes de DORA ?

L'automatisation et l'intelligence artificielle jouent un rôle clé dans l'évaluation et la surveillance des fournisseurs. Ces technologies permettent d'identifier rapidement les risques potentiels liés aux fournisseurs et de simplifier les audits de conformité. C'est-à-dire qu'une IA peut analyser des contrats pour vérifier qu'ils intègrent bien toutes les clauses exigées par DORA ou encore évaluer les réponses des prestataires dans les appels d'offres pour repérer d'éventuelles lacunes.

Au-delà de la phase de sélection, l'IA s'avère également précieuse pour surveiller en continu la conformité des fournisseurs. Si un prestataire subit un incident, une solution automatisée peut remonter l'information en temps réel, analyser les causes, et proposer des mesures correctives. De plus, ces outils permettent d'assurer une traçabilité complète, essentielle pour répondre aux exigences des régulateurs.

De fait, l'IA et l'automatisation ne remplacent pas les équipes achats, mais elles leur offrent des outils puissants pour anticiper les risques, garantir la conformité, et renforcer la résilience globale de l'entreprise.

Comment tirer parti de DORA ?

À chaque fois qu'il y a une conformité qui est mise en place, il y a un but spécifique. À chaque fois, c'est fait pour protéger quelqu'un ou une entreprise d'une problématique externe. L'une des erreurs les plus courantes serait de considérer DORA uniquement comme une contrainte réglementaire et de se limiter à une mise en conformité minimale. Ce type d'approche peut conduire à négliger des aspects critiques, comme l'intégration des tests de résilience dans les contrats ou la classification précise des fournisseurs en fonction de leur niveau de criticité.

Une autre erreur fréquente est de sous-estimer l'importance de la collaboration entre les différentes équipes : achats, IT, juridique et conformité. Une gestion isolée des exigences de DORA risque de créer des silos et de laisser des zones d'ombre dans la gestion des risques.

Cependant, pour les entreprises qui adoptent une approche proactive, DORA offre des opportunités stratégiques significatives. En renforçant leur résilience et en démontrant une conformité exemplaire, elles peuvent se positionner comme des partenaires fiables et attractifs sur le marché. Par ailleurs, cette conformité renforcée peut également devenir un argument de confiance pour leurs propres clients, renforçant ainsi leur compétitivité.

En quoi DORA représente-t-il un tournant pour les PME et ETI ?

Pour les PME et ETI, la première étape essentielle est de se former en profondeur sur les exigences de DORA. Une bonne compréhension des obligations réglementaires permet d'éviter les erreurs et de s'assurer que tous les éléments requis sont en place.

Un autre conseil clé serait de s'appuyer sur des partenaires externes, comme des cabinets de conseil spécialisés ou des clubs d'achat. Ces ressources peuvent aider les entreprises à élaborer des documents conformes et à se préparer aux audits réglementaires.

Enfin, les PME et ETI doivent adopter une approche collaborative en échangeant avec des structures plus grandes ou des entreprises similaires. Cela peut leur permettre de partager des bonnes pratiques et de mutualiser des ressources, notamment pour la création de plans de continuité ou la rédaction de clauses contractuelles adaptées.

Avec une préparation adéquate et une approche collective, même les plus petites structures peuvent non seulement se conformer à DORA, mais également en faire un levier de croissance et de crédibilité sur le marché.