## DORA n’est pas un projet IT
Le règlement impose une gouvernance des risques numériques portée par la direction — pas déléguée à la seule équipe technique. Pour une SGP en gestion indépendante, c’est souvent là que le bât blesse.
Bonne nouvelle : les boutiques de gestion ont une marge de manœuvre réelle, à condition de s’y prendre dans le bon ordre. Voici les 4 actions prioritaires.
—
## Action 1 — Cartographier vos prestataires IT critiques
Logiciel de gestion, cloud, valorisateur, dépositaire, hébergeur : qui sont-ils, que gèrent-ils, et que se passe-t-il s’ils tombent ? DORA exige un registre et une analyse de criticité.
Dans une SGP indépendante, on identifie souvent 8 à 14 prestataires IT actifs. La moitié sont rarement connus de la direction générale.
C’est le point de départ de toute mise en conformité DORA — avant de formaliser des procédures, encore faut-il savoir sur quoi on s’appuie.
## Action 2 — Formaliser et tester votre plan de continuité IT
Un PCA/PRA non testé n’est pas un plan de continuité — c’est une déclaration d’intention. DORA impose des tests réguliers, proportionnés à votre taille.
Un test annuel de basculement sur le site de secours suffit pour une structure à taille humaine — mais il doit être documenté et tracé. La traçabilité est ce que contrôlera l’AMF.
## Action 3 — Mettre en place un registre des incidents IT
Toute indisponibilité, anomalie ou intrusion doit être détectée, classifiée et tracée. DORA fixe des délais stricts de notification aux autorités pour les incidents majeurs.
Un tableur partagé suffit pour commencer — l’essentiel est que la classification des incidents soit définie **avant** qu’ils arrivent, pas dans l’urgence.
## Action 4 — Réviser vos contrats avec les prestataires critiques
DORA impose des clauses spécifiques : droit d’audit, gestion des sous-traitants, niveaux de service, et surtout — stratégie de sortie réversible.
Les contrats signés avant 2025 contiennent rarement ces clauses. La renégociation peut prendre du temps — commencez maintenant, avant que l’échéance réglementaire vous y force dans la précipitation.
—
## Le point le plus sous-estimé : DORA exige une vision transverse
L’administrateur de vos machines ou de votre réseau gère l’infrastructure — et le fait souvent très bien. Mais DORA demande autre chose :
– Comprendre les risques métier liés aux outils
– Évaluer la criticité des prestataires pour les fonctions essentielles
– Dialoguer avec la conformité et la direction générale
DORA a besoin d’un interlocuteur avec une vision 360° — IT et fonctionnelle. Ce n’est pas une question de compétences techniques, c’est une question de périmètre.
**L’erreur à éviter : confier la conformité DORA à votre admin IT ou réseau.** Le résultat classique : une documentation formelle sans substance, un contrôle AMF difficile à préparer, et des prestataires non réévalués.
—
## En résumé : 4 actions + 1 réalité à intégrer
1. **Cartographier les prestataires critiques** — registre et analyse de criticité
2. **Formaliser et tester le PCA/PRA** — documentation tracée, test annuel minimum
3. **Créer un registre des incidents** — classification définie en amont
4. **Réviser les contrats** — clauses DORA, droit d’audit, stratégie de sortie
Et surtout : désigner un interlocuteur avec la vision transverse IT et fonctionnelle que DORA exige.
Votre SGP face à DORA ? [Parlons de votre dispositif, sans sur-ingénierie.](https://www.siampre.com/offre-dsi/)
