Contexte : un cadre réglementaire en mutation
L’entrée en vigueur de DORA (Digital Operational Resilience Act) et la transposition de NIS2 imposent aux organisations luxembourgeoises du secteur financier et au-delà de revoir leur gouvernance IT. Ce n’est pas seulement une contrainte : c’est une opportunité de clarifier les rôles, les responsabilités et les processus de décision.
Priorité 1 — Clarifier le modèle opérationnel cible (TOM IT)
Beaucoup d’organisations opèrent avec un TOM IT implicite, hérité de l’histoire. 2025 est l’année pour le formaliser : qui décide quoi, comment les projets sont priorisés, quel est le rôle de la DSI vis-à-vis des métiers.
Priorité 2 — Cartographier les actifs critiques et leurs dépendances
DORA exige une cartographie des fonctions critiques. Mais au-delà de la conformité, cette cartographie est un outil de pilotage : elle révèle les single points of failure, les dépendances opaques, les fournisseurs tiers sous-surveillés.
Priorité 3 — Structurer la gestion des risques IT
La gestion des risques IT reste souvent silotée — entre la sécurité, l’infrastructure et les projets. Construire un registre des risques intégré, avec des owners clairs et un suivi régulier, est devenu non négociable.
Priorité 4 — Renforcer la résilience opérationnelle
Tests de continuité, plans de reprise, gestion des incidents : les organisations qui n’ont pas encore formalisé ces processus sont sous pression réglementaire. Mais la résilience est d’abord une question de maturité opérationnelle.
Priorité 5 — Piloter les tiers et les fournisseurs cloud
L’outsourcing IT est une réalité. DORA impose un cadre strict pour la gestion des prestataires critiques. Il est temps de construire un registre des tiers, de définir des KPI contractuels et d’organiser des revues régulières.
Aurrera Consulting accompagne les organisations luxembourgeoises dans la mise en œuvre de ces chantiers. Prenez contact pour discuter de vos priorités.