Gouvernance
La responsabilité de l'organe de direction dans DORA (et ce que ça implique vraiment)
DORA place la résilience TIC sous la responsabilité directe de l'organe de direction. Ce que cela signifie concrètement pour un conseil, un comité de direction, un dirigeant.
Il existe un malentendu tenace autour de DORA : le croire « technique ». Beaucoup d'entités l'ont traité comme un chantier de DSI ou de RSSI. Or le règlement place la résilience opérationnelle numérique sous la responsabilité directe de l'organe de direction — conseil d'administration, directoire, comité de direction selon les structures. Ce n'est pas un détail de gouvernance : c'est un point que le superviseur regarde, et l'une de ses priorités de contrôle pour 2026 porte précisément sur les cadres de gestion du risque TIC et l'identification de la fonction de contrôle.
Ce que DORA attend de la direction
La direction ne peut pas se contenter d'être informée. DORA lui attribue une responsabilité finale et active sur plusieurs dimensions :
- La stratégie de résilience. Définir et approuver la stratégie de résilience opérationnelle numérique de l'entité.
- L'appétence au risque TIC. Fixer le niveau de risque acceptable — le risk appetite — en matière de technologies de l'information.
- Le pilotage et les arbitrages. Allouer les ressources, arbitrer les budgets, suivre les remédiations. La résilience a un coût, et c'est à la direction de le porter.
- L'organisation des contrôles. Garantir des rôles clairs, l'indépendance des fonctions de contrôle, un dispositif d'audit et un reporting réguliers.
Le message de fond : on ne délègue pas la responsabilité, même quand on externalise la technique.
La notion de « preuve » appliquée à la gouvernance
Ce qui rend cette responsabilité concrète, c'est que le superviseur attend des preuves de son exercice effectif. Une gouvernance qui existe dans l'organigramme mais ne laisse pas de traces ne suffit pas. Les preuves typiques attendues :
- Décisions et comptes rendus de comités traitant des sujets TIC.
- Reporting régulier à la direction sur l'état de la résilience.
- KPIs et KRIs TIC suivis dans le temps.
- Arbitrages budgétaires et allocations de ressources documentés.
- Suivi des plans de remédiation et de leur avancement.
Autrement dit, la question n'est pas « votre direction est-elle responsable ? » (le règlement le dit), mais « pouvez-vous le démontrer ? ».
Le point d'attention 2026 : la complétude des rapports narratifs
L'ACPR a annoncé une vigilance particulière sur la complétude des rapports narratifs, avec des attentes renforcées sur deux volets qui touchent directement la gouvernance : le profil de risque (incluant l'exposition aux risques TIC et prestataires) et le système de gestion des risques, avec l'identification explicite de la fonction de contrôle du cadre de gestion du risque TIC. Un rapport qui reste vague sur « qui contrôle quoi » est désormais un signal négatif.
Les obligations sectorielles qui rappellent la direction à ses devoirs
Le lien entre DORA et les instances de gouvernance se matérialise aussi dans les remises réglementaires. Côté banque, une annexe sur la gestion des risques TIC doit être transmise avec le rapport de contrôle interne. Côté assurance, les rapports liés au RSR intègrent désormais des informations DORA. La résilience TIC entre ainsi dans les documents que la direction valide et assume formellement.
Ce que la direction devrait pouvoir affirmer
En pratique, un organe de direction bien positionné sur DORA devrait pouvoir répondre « oui, et voici la preuve » à des questions comme :
- Avons-nous approuvé une stratégie de résilience TIC, et quand ?
- Notre appétence au risque TIC est-elle définie et documentée ?
- Recevons-nous un reporting régulier et exploitable sur le sujet ?
- Nos fonctions de contrôle sont-elles clairement identifiées et indépendantes ?
- Nos décisions et arbitrages sont-ils tracés ?
- Nos rapports narratifs sont-ils complets sur le profil de risque ?
Si l'une de ces réponses est floue, c'est un chantier prioritaire — car c'est exactement ce que le contrôle 2026 vient examiner.
Rendre la gouvernance démontrable
Le défi n'est pas d'inventer une gouvernance, mais de la rendre traçable et présentable. Beaucoup d'entités font les choses sans pouvoir facilement les prouver : les décisions existent, mais éparpillées ; le reporting existe, mais reconstruit à chaque demande. Structurer ces preuves en continu évite l'exercice pénible de reconstitution avant chaque comité ou chaque contrôle.
Le rôle d'Axenia. Axenia relie les preuves de gouvernance — décisions, indicateurs, suivis de remédiation — aux exigences DORA correspondantes, et facilite la production d'un reporting consolidé pour vos comités et votre conseil. La responsabilité de la direction devient démontrable sur pièces, pas seulement affirmée.
Cet article a une vocation pédagogique et ne constitue pas un avis juridique. Référez-vous aux textes officiels et aux orientations de votre autorité compétente.
Voir comment Axenia outille votre reporting de gouvernance. Réserver une démo →
