DORA et les PCA de l'AMRAE.

Date : Tags : , , , ,

Source : AMRAE - Collection Maîtrise des Risques : Les Plans de Continuité d'Activité (v2.0, 2026).

Sommaire :  Cet article, basé sur la documentation PCA de l'AMRAE pour 2026, présente la transition d'une conformité réglementaire vers une culture de résilience systémique. Il détaille l'intégration obligatoire des mécanismes de reprise (analyses d'impact métier, alignement des métriques RTO, RPO, DLO) au sein du cadre global de gestion des risques liés aux technologies de l'information et de la communication (TIC).
L'analyse met en évidence deux évolutions méthodologiques majeures préconisées par l'AMRAE : d'une part, le passage d'une logique de scénarios probabilistes à une approche déterministe axée sur l'indisponibilité des ressources (humaines, immobilières, techniques, tiers) ; d'autre part, l'évolution du RTO classique vers le RIO (Recovery of Integrity Objective), indispensable pour valider l'intégrité des données après une cyberattaque.
Enfin, la synthèse aborde la gouvernance des risques liés aux prestataires tiers (Cloud, APIs) afin de neutraliser les points de défaillance uniques (SPOF), et détaille la mise en œuvre de stratégies de continuité graduelles. Le texte conclut sur la nécessité d'une coordination globale et préparée à froid entre la gestion technique des incidents et le pilotage stratégique des crises.

1. Introduction : Le basculement réglementaire de janvier 2025

DORA dépasse la simple protection périmétrique pour imposer une culture de résilience systémique. L'objectif est de garantir que les entités puissent absorber les chocs et rétablir leurs fonctions critiques ou importantes face à des perturbations majeures des TIC. Ce règlement s'articule avec la directive REC (2022/2557), créant un écosystème où la continuité n'est plus une option technique, mais une obligation de survie opérationnelle coordonnée entre les dimensions physiques, numériques et humaines.

2. Les piliers structurels du cadre de gestion des risques TIC

DORA exige que les dispositifs de continuité soient rigoureusement intégrés au sein de l'ICT Risk Management Framework. Cette intégration repose sur des « dispositions documentées » et des « mécanismes de reprise » spécifiques. Les composantes obligatoires incluent :

  • Analyses d'impact métier (BIA) : Identification systématique des fonctions critiques ou importantes et évaluation des conséquences d'une interruption. Le BIA doit désormais intégrer la perte de substituabilité des tiers.
  • Définition des métriques de reprise :
    • RTO (Recovery Time Objective) : Délai technique de rétablissement des systèmes.
    • RPO (Recovery Point Objective) : Point de récupération technique des données.
    • DLO (Data Loss Objective) : Expression du besoin métier concernant la perte de données admissible, à laquelle le RPO technique doit impérativement s'aligner.
  • Plans de continuité d'activité (BCP) et de réponse : Procédures opérationnelles garantissant le fonctionnement en mode dégradé.
  • Tests périodiques et MCO : Exercices réguliers pour valider l'efficacité des mécanismes de reprise et maintenir les conditions opérationnelles.
  • Gestion des dépendances critiques : Cartographie exhaustive des prestataires tiers (Cloud, APIs, infogérants) en tant que maillons de la chaîne de résilience.

3. Transition méthodologique : De la logique de « scénario » à l'« indisponibilité des ressources »

L'approche traditionnelle par scénarios (pandémie, crue de Seine) est jugée inadéquate par l'AMRAE car elle repose sur des probabilités qui échouent face à la réalité délictuelle ou climatique. L'exemple du plan « Pandémie grippale » de 2006 illustre cet échec : le taux d'attaque fondé sur la Loi des Grands Nombres ne s'applique pas à l'échelle d'une équipe, où la contamination dépend de la proximité physique et non d'une distribution statistique. L'approche déterministe par « indisponibilité des ressources » offre une agilité supérieure en se concentrant sur l'impact final.


Critères de comparaison

Approche par « Scénarios »

Approche par « Indisponibilité 
des ressources »

Base de raisonnement

Origine et cause de la menace

 (probabiliste).

Impact et conséquences (déterministe).

Principe

Construction a priori 

par hypothèses rigides.

Analyse a posteriori centrée sur la ressource.

Logique

Statistique (souvent mise en 

défaut localement).

Centrée sur les ressources (RH, SI, Locaux, Tiers).

Livrables

Plan de continuité périmétré et statique.

Combinaison modulaire 
de solutions thématiques.

4. L'évolution des métriques : Le passage du RTO au RIO

Face à un adversaire délictuel actif (ransomwares, wipers), le RTO classique est devenu insuffisant. La résilience cyber introduit le RIO (Recovery of Integrity Objective).

Le RIO définit le délai nécessaire pour restaurer la confiance après une perte de confiance dans les données. Si l'intégrité est compromise, un redémarrage technique (RTO) sans validation est inutile, voire dangereux. Le cadre de résilience doit intégrer :

  • Bulle de Confiance : Un réseau isolé et intègre dédié à la reconstruction sécurisée du SI.
  • Tests de « Dirty Data » : Simulation de données altérées pour éprouver les processus de validation d'intégrité.
  • Bouton Rouge / Bouton Vert : Mécanismes d'isolation d'urgence des segments du SI (Rouge) et activation immédiate de l'environnement de réponse à la crise (Vert).
  • Sauvegardes renforcées : Exigence d'immutabilité et de profondeur de sauvegarde suffisante pour remonter à un état antérieur à une compromission silencieuse.

5. La gestion des risques tiers et la chaîne d'approvisionnement

Sous DORA, l'externalisation ne décharge pas l'entité de sa responsabilité de conformité globale. La chaîne d'approvisionnement est un vecteur d'attaque majeur via les APIs, les fournisseurs Cloud et les infogérants (mouvements latéraux, compromissions logicielles).

Le Risk Manager doit enrichir le BIA par l'analyse de la perte de substituabilité. L'effet domino, illustré par les inondations en Thaïlande en 2011 impactant la production mondiale de composants électroniques, démontre qu'une dépendance non substituée devient un point de défaillance unique (SPOF) systémique.

6. Stratégies de continuité thématiques et graduelles

Ressources Immobilières (Locaux)

Stratégies de repli vers des sites internes ou externes dédiés, ou passage en télétravail. La solution n'est valide que si le site de report présente une exposition différente aux aléas climatiques (évitement du risque régional).

Ressources Humaines

Mesures face à la raréfaction du personnel : recours au « vivier de réserve » (intérimaires, retraités), transfert d'activités ou assouplissement temporaire des règles d'exploitation pour maintenir les fonctions critiques.

Systèmes d'Information

Le Plan de Secours Informatique (PSI) doit garantir la synchronisation entre les besoins métiers (DIMA - Durée d'Interruption Maximale Admissible) et les capacités techniques (RTO). La règle d'or pour le Risk Manager est : DIMA ≥ RTO. Les solutions incluent la haute disponibilité, la redondance de matériel et la réplication distante.

Ressources Partenariales et Fournisseurs

Sécurisation par la pré-identification de fournisseurs alternatifs, l'augmentation des stocks de sécurité et la définition de produits de substitution permettant un fonctionnement en mode dégradé.

7. Conclusion : Vers une résilience durable

La résilience opérationnelle est désormais repositionnée comme l'instrument de pilotage de la survie systémique de l'organisation. Elle impose une coordination totale entre la gestion d'incident technique, le pilotage stratégique de crise et la continuité d'activité. La capacité de réponse se prépare « à froid » - par l'analyse rigoureuse des dépendances et l'alignement des métriques (RIO/DLO) - pour garantir une efficacité opérationnelle maximale « à chaud ».