15 juin 2026

Votre système hérité vient d'échouer à son audit DORA. Et maintenant ?

DORA met en évidence les limites structurelles des systèmes hérités qui vont au-delà des processus et des politiques.
gft-contact-carlos-kazuo.png
Carlos Kazuo Missao
Global Head of Innovation Solutions
blogAbstractMinutes
blogAbstractTimeReading
A glowing cube bursting through a cracked surface symbolizes the disruptive power of AI-driven modernization. The fractured outer layer represents rigid legacy systems, while the radiant energy and circuitry emerging from within reflect innovation, agility, and new digital capabilities. This image captures the moment organizations break free from constraints to unlock scalable, future-ready transformation.
AI Modernization
contact
share
DORA met en évidence les limites structurelles des systèmes hérités qui vont au-delà des processus et des politiques. De nombreuses architectures ne sont pas en mesure de prendre en charge le reporting en temps réel, l'observabilité ou encore la cartographie des dépendances. Cet article explique pourquoi la conformité réglementaire devient un défi architectural. Il décrit également les caractéristiques d’une démarche de modernisation crédible.

La loi DORA (Digital Operational Resilience Act) impose des exigences strictes en matière de résilience opérationnelle, de signalement des incidents, de gestion des risques liés aux TIC et de transparence des systèmes dans l'ensemble du secteur financier européen. Des cadres réglementaires similaires émergent à l'échelle mondiale, reflétant une plus grande attention portée aux risques technologiques et à la résilience opérationnelle. Les architectures héritées manquent souvent des capacités nécessaires pour répondre efficacement à ces exigences, faisant de la modernisation un levier essentiel, tant pour la conformité que pour la résilience à long terme.

Points clés à retenir

  • DORA et NIS2 mettent en évidence des lacunes architecturales que les politiques seules ne peuvent pas combler.
  • Les systèmes hérités basés sur le traitement par lots ne répondent pas aux exigences en matière de détection et de rapports en temps réel.
  • Les dépendances non documentées compromettent les obligations d'inventaire des actifs TIC
  • Le risque de concentration des ordinateurs centraux est désormais un sujet de vigilance pour les autorités de supervision.
  • Un programme de modernisation documenté constitue la réponse la plus crédible face aux exigences réglementaires.

Pourquoi la loi DORA pose-t-elle un problème d'architecture pour les systèmes hérités ?

La loi DORA (Digital Operational Resilience Act) exige des capacités pour lesquelles les architectures existantes n'ont jamais été conçues.

La loi DORA n'est plus un exercice de conformité à anticiper. Elle est en vigueur, activement appliquée et axée sur la résilience opérationnelle, l'observabilité et le contrôle. De nombreux environnements existants peuvent répondre aux exigences documentaires, mais rencontrent des difficultés à satisfaire les exigences d’architecture.

Le traitement par lots, les dépendances non documentées et les platesformes reposant sur un fournisseur unique créent des écarts qui ne peuvent pas être comblés uniquement par des améliorations de processus.

DORA n'est pas seulement un enjeu de conformité. C'est un déclencheur de modernisation.

Pourquoi l'inventaire des actifs TIC est-il si difficile dans les environnements existants ?

Dans la plupart des environnements existants, les dépendances critiques sont intégrées dans le code et non dans la documentation.

La loi DORA exige un inventaire des actifs TIC et de leurs interdépendances, à jour en continu, traçable et auditable. Dans de nombreux parcs d'ordinateurs centraux, ces relations n'existent que dans les chaînes de lots, les planificateurs de tâches et les connaissances informelles détenues par les ingénieurs présents depuis de nombreuses années.

La cartographie automatisée des dépendances devient de plus en plus la seule approche crédible pour répondre à cette exigence et devient également le socle de toute feuille de route de modernisation réaliste.

Pourquoi les systèmes hérités ne peuvent-ils pas répondre aux exigences en matière de rapports d'incidents en temps réel ?

Les architectures existantes détectent les incidents trop tard, souvent seulement après la fin des cycles de traitement par lots.

La loi DORA impose la détection et la notification des incidents TIC majeurs dans des délais de quelques heures. Les systèmes basés sur le traitement par lots retardent la visibilité jusqu’à la fin des traitements planifiés, rendant une réaction rapide difficile, voire impossible.

L'observabilité moderne, la surveillance en temps réel, le traçage et les mécanismes d'alerte ne peuvent pas être ajoutés de manière réellement efficace à des architectures qui n'ont jamais été conçues pour les prendre en charge. Il ne s'agit pas d'un problème de gouvernance, mais d'une limitation de conception.

Cela explique également pourquoi de nombreuses initiatives d'IA échouent dans des environnements hérités dépourvus de données en temps réel et de systèmes d'observabilité, ce qui renforce la nécessité d'une modernisation de l'IA.

genericImageAlt

Comment DORA modifie-t-elle le profil de risque des dépendances mainframe ?

La loi transforme des dépendances longtemps considérées comme acceptables en risques de concentration clairement identifiés.

La loi DORA impose aux établissements d’identifier et de gérer les risques de concentration liés aux prestataires tiers TIC. Les systèmes centraux dépendant de :

  • un seul fournisseur de matériel ;
  • une pile d'intergiciels ;
  • un vivier de compétences en diminution ;

entrent désormais directement dans le périmètre de supervision.

Si la loi DORA n'impose pas l'abandon immédiat des ordinateurs centraux, elle exige toutefois que les établissements démontrent une démarche active de gestion et de réduction des risques dans le temps.

Les efforts de modernisation passent donc d’un objectif de réduction des coûts à une nécessité réglementaire.

A quoi ressemble une réponse réglementaire crédible ?

Les superviseurs ne recherchent pas la perfection, mais la maîtrise et la capacité d’exécution.

La position la plus solide repose sur un programme de modernisation documenté et validé par le conseil d’administration, qui met explicitement en correspondance les mesures correctives architecturales et les exigences réglementaires. Les institutions capables de démontrer des progrès structurés sont bien mieux placées que celles qui s'appuient sur des intentions ou des plans futurs.

Concrètement, cela implique de dépasser les correctifs isolés pour adopter une modernisation globale, de la cartographie des dépendances et de la refonte de l'architecture, jusqu'à l'observabilité en temps réel et la mise en place de fondations de données prêtes pour l’IA. Ces capacités sont également essentielles à la réussite des initiatives de modernisation de l'IA, permettant aux organisations de mettre à l'échelle l'IA sur des fondations technologiques résilientes, observables et conformes.

Des cadres réglementaires similaires émergent dans le monde entier. Des dispositifs tels que la réglementation britannique sur la résilience opérationnelle, la norme CPS 230 en Australie, les directives de gestion des risques technologiques de la MAS à Singapour et la directive NIS2 renforcent tous la nécessité d'une meilleure résilience, d'une visibilité accrue des risques technologiques et d'une gestion efficace des systèmes et des dépendances critiques. Si les détails de la réglementation diffèrent, la direction est claire : les organisations doivent renforcer les fondations architecturales qui soutiennent les opérations d'affaires critiques.

Préparez votre modernisation IA aux enjeux de conformité et de réglementation.

gft-contact-carlos-kazuo.png

Carlos Kazuo Missao

Global Head of Innovation Solutions
message
dataProtectionDeclaration