La pression réglementaire s’accélère pour un courtier en assurance. La direction générale doit lancer une mise en conformité, sans visibilité claire sur les coûts ni sur les priorités à traiter. Le niveau de maturité cybersécurité est jugé satisfaisant. Pourtant, face aux exigences, l’écart reste important. Le problème n’est pas la conformité en soi. C’est la capacité à prioriser et à la rendre pilotable.
Une conformité à engager… sans cadre clair pour arbitrer
L’entrée en vigueur de la réglementation DORA met la direction générale en première ligne. Elle doit démontrer un niveau de conformité, sans exposer l’entreprise à un risque de surinvestissement mal maîtrisé.
Sur le terrain, la situation est moins critique qu’elle n’y paraît. Le niveau de maturité cybersécurité est évalué à 3,9/5. Les dispositifs sont en place, les équipes sont mobilisées, les principaux risques sont identifiés. Pourtant, les réunions s’enchainent. Et rien n’est tranché. Chaque équipe pousse ses sujets, sans arbitrage global.
Quels écarts sont réellement critiques ? Par où commencer ? Et surtout : jusqu’où aller sans faire exploser les coûts ?
- Une direction générale exposée, attendue sur la conformité
- Des équipes IT et cyber structurées, mais sans lecture claire des exigences
- Une contrainte forte : avancer vite, sans désorganiser l’existant
Des exigences identifiées mais impossibles à prioriser
L’objectif est clair : mesurer les écarts et lancer la mise en conformité. Mais dès qu’il faut prioriser, tout se complique. Les exigences sont bien identifiées. Pourtant, aucune hiérarchie ne s’impose.
- Les écarts sont listés, mais rien ne permet de dire lesquels traiter en premier
- Aucun point de départ évident : risques, processus, contrôles… tout semble prioritaire
- Les ressources sont limitées, ce qui empêche de lancer plusieurs chantiers en parallèle
Le blocage ne vient pas d’un manque de volonté. Les équipes cherchent à renforcer la résilience, en s’appuyant sur le cadre réglementaire. Mais elles manquent de repères pour décider.
- Peu de visibilité sur l’effort réel associé aux exigences DORA
- Difficulté à distinguer ce qui est nécessaire, prioritaire… ou simplement souhaitable
Résultat : le sujet reste en suspens. La cible est connue, mais la trajectoire reste floue.
Poser des limites pour rendre la conformité pilotable
Pour sortir de l’impasse, il ne s’agissait pas d’en faire plus, mais de mieux cadrer. Trois arbitrages ont permis de débloquer la situation :
- Ne pas viser une conformité exhaustive à court terme, mais un niveau adapté aux risques réels
- Partir de l’existant, plutôt que relancer un chantier global
- Prioriser les actions en croisant impact sur la résilience et effort de mise en œuvre
Ce cadrage change la donne. La conformité n’est plus traitée comme une liste d’exigences à couvrir, mais comme une trajectoire à construire, avec des choix assumés.
Repères si vous devez cadrer une mise en conformité
- Commencez par clarifiez les enjeux métiers réellement exposés
- N’engagez pas plusieurs chantiers sans arbitrage clair des priorités
- Acceptez de ne pas traiter tous les écarts dès le départ
- Appuyez-vous sur l’existant avant de créer de nouveaux dispositifs
- Arbitrez vos décisions en fonction de leur impact réel sur la résilience, pas uniquement des exigences à couvrir
Comment DORA renforce votre résilience ?
Une approche terrain, pour mieux mesurer la portée des exigences DORA et passer d’une obligation réglementaire à une démarche utile et différenciante.
Accès au replay en 1 minute
