Transformer DORA & NIS2 en avantage compétitif durable

La conformité réglementaire s’intensifie : DORA, NIS2, RGPD, Cyber Resilience Act… Chaque nouvelle directive semble ajouter une couche de sédiment sur un Système d’Information (SI) déjà complexe à piloter. Beaucoup d’organisations vivent ces échéances comme un fardeau, une "taxe à payer", ou une série de cases à cocher pour éviter les sanctions.

Pourtant, si l'on prend un peu de hauteur, ces textes dessinent une évolution majeure : la fin de l'opacité technologique.

Ces règlements partent d'un constat simple : l'informatique n'est plus un support, elle est le moteur de la productivité et de la croissance. Et on ne peut pas conduire une formule 1 les yeux bandés. Ces textes obligent les entreprises à connaître, visualiser et maîtriser leur système d’information. C’est précisément cette contrainte qui, bien traitée, devient un moteur de performance. Autrement dit : derrière l’obligation se cache une opportunité d'excellence opérationnelle. Car mieux cartographier son SI, ce n’est pas seulement "être compliant", c'est retrouver la capacité de décider vite et bien.

Les nouvelles règles du jeu : comprendre l'esprit des lois

Les réglementations récentes ne sont plus de simples check-lists techniques. Elles transforment la conformité en un exercice d’introspection et de gouvernance. Elles posent toutes la même question aux dirigeants : "Si votre IT tombe, savez-vous ce qui se passe et savez-vous comment vous relever ?"

DORA : La résilience opérationnelle avant tout

Le règlement DORA (Digital Operational Resilience Act), applicable depuis janvier 2025, cible le secteur financier.

Pourquoi ce texte ? Parce que la finance est devenue purement numérique et hyper-connectée. Une panne chez un fournisseur Cloud ou une cyberattaque sur une banque peut créer un effet domino systémique, menaçant la stabilité économique de l'Europe. Contrairement aux normes précédentes axées sur la "protection" (les murs de la forteresse), DORA se concentre sur la résilience : la capacité à continuer de fonctionner pendant et après un incident.

DORA impose une logique de preuve radicale :

• Cartographie des fonctions critiques : Vous devez savoir exactement quelles applications soutiennent vos processus vitaux.
• Maîtrise des tiers (TPRM) : Vous êtes responsables de vos prestataires. Si votre hébergeur flanche, c'est votre faute.
• Tests de résilience : Il ne suffit pas de dire que ça marche, il faut le prouver par des tests d'intrusion et de restauration.

Ce n’est plus de la documentation, c’est une radiographie en temps réel du SI.

NIS2 : La cyber-responsabilité élargie

La directive NIS2 étend cette exigence de robustesse à des secteurs entiers jugés essentiels (Énergie, Santé, Transports, Eau, Gestion des déchets...).

La nouveauté juridique majeure ? La responsabilité personnelle des dirigeants. Avec NIS2, la cybersécurité sort du bureau du RSSI pour atterrir sur la table du Conseil d'Administration. En cas de négligence grave, la responsabilité des mandataires sociaux peut être engagée.

NIS2 force les entreprises à :

• Gouverner le risque cyber de manière structurelle.
• Sécuriser leur chaîne d'approvisionnement (vos fournisseurs sont-ils sûrs ?).
• Signaler les incidents majeurs en un temps record.

L'objectif est d'élever le niveau de "l'hygiène numérique" de tout le marché européen pour éviter la paralysie des services publics et économiques.

RGPD, SecNumCloud, ISO 27001… La convergence

Bien que leurs finalités diffèrent, ces cadres convergent vers un point unique : la maîtrise de la donnée et des actifs.

• RGPD : Focus sur la privacy (où est la donnée personnelle ?).
• SecNumCloud : Focus sur la souveraineté et l'étanchéité (qui opère mon cloud ?).
• ISO 27001 : Focus sur le système de management (comment je m'améliore en continu ?).

Tous exigent la même chose : une vision claire, à jour et traçable du SI. Les outils traditionnels (fichiers Excel, Visio statiques) sont désormais obsolètes face à cette demande de dynamicité.

De la contrainte réglementaire à la compréhension profonde du SI

La rupture introduite par ces textes n’est pas dans le volume de travail, mais dans l'intention. Le régulateur ne veut plus de "papier", il veut de la maîtrise.

La fin de la conformité "Papier"

Pendant des années, la conformité consistait à produire un document PDF de 200 pages, signé et rangé dans un placard jusqu'au prochain audit. Avec DORA ou NIS2, cette méthode est dangereuse. Pourquoi ? Parce que le SI change tous les jours (CI/CD, Cloud, SaaS). Une cartographie figée est fausse à l'instant même où elle est imprimée.

Les questions posées exigent des réponses dynamiques :

• Si ce serveur tombe, quel processus métier s'arrête ?
• Quelles données sensibles transitent par ce nouveau prestataire SaaS ?

Seule une approche d'Architecture d'Entreprise vivante peut répondre à cela.

Piloter dans le brouillard n'est plus une option

Il est impossible de piloter ce que l'on ne voit pas. Aujourd'hui, beaucoup de DSI subissent l'effet "Boîte Noire" : une complexité technique accumulée (dette technique) qui rend les impacts imprévisibles. La réglementation force à allumer la lumière. C’est ici que l'exigence de transparence rejoint l'intérêt stratégique. Rassurer un régulateur et rassurer son Board, c'est le même combat. Cela nécessite de passer d'une transmission orale du savoir ("C'est X qui sait comment ça marche") à une base de connaissance structurée et partagée.

La cartographie : le véritable moteur de transformation

C'est là que la bascule s'opère. Si vous faites cet effort de cartographie uniquement pour le régulateur, c'est un coût. Si vous le faites pour vous, c'est un investissement.

Rationaliser pour financer l'innovation

La cartographie exigée par DORA, notamment le registre des actifs TIC, agit comme un audit de vérité. Elle révèle souvent :

• Des applications "zombies" (payées mais non utilisées).
• Des redondances fonctionnelles (3 outils pour faire la même chose).
• Des flux de données aberrants. En identifiant ces zones, vous pouvez couper les coûts inutiles. Le budget "Conformité" devient alors un levier d'optimisation du Run, libérant du cash pour le Build.

Gagner en agilité décisionnelle (Time-to-Decision)

Une cartographie maintenue dans un outil conçu pour évoluer change la dynamique de décision. Au lieu de lancer une étude d'impact de trois semaines pour savoir si on peut décommissionner une application, l'information est disponible immédiatement. Boldo s'inscrit dans cette logique : transformer la donnée technique aride en une information visuelle, compréhensible par les métiers. On ne parle plus de "serveurs", on parle de "capacités métiers". Cela permet d'aligner l'IT et la Stratégie beaucoup plus rapidement.

Construire un "Capital Confiance"

Dans un monde numérique incertain, la confiance est la monnaie ultime. Pouvoir démontrer à un grand client, un partenaire ou un auditeur que vous maîtrisez vos dépendances (fournisseurs, cloud, process) est un avantage concurrentiel massif. La conformité, lorsqu’elle est visuelle et narrative, devient un outil marketing : elle prouve votre maturité et votre solidité.

Passer d’un SI subi à un SI piloté avec Boldo

Beaucoup d’entreprises n'ont pas encore de démarche d'Architecture d'Entreprise (AE) mature. DORA et NIS2 sont les parfaits chevaux de Troie pour l'instaurer. C'est l'occasion rêvée de réunir autour de la table la DSI, la Sécurité et les Métiers pour construire une vision commune : "Qui fait quoi, et comment ?"

Le rôle central de Boldo : simplifier et raconter

L'échec des projets de cartographie vient souvent de la complexité des outils. Si c'est trop dur à maintenir, personne ne le fait. Boldo prend le contre-pied des usines à gaz traditionnelles :

• Simple à produire : Une modélisation intuitive qui ne nécessite pas un doctorat en ingénierie.
• Collaborative : La donnée est maintenue par ceux qui la connaissent (le product owner, le tech lead), pas par un architecte isolé dans sa tour d'ivoire.
• Narrative : Boldo permet de "raconter" le SI. Les vues DORA ou NIS2 ne sont pas des extractions brutes, mais des présentations claires des risques et des impacts, lisibles par un ComEx.

Le registre TIC (DORA) ou la liste des actifs essentiels (NIS2) se construisent naturellement, comme sous-produit d'une démarche saine de gestion du SI.

Conclusion

DORA et NIS2 ne sont pas seulement des contraintes ; ce sont des occasions d’aligner les équipes, de clarifier les dépendances et de renforcer durablement la gouvernance du SI.
Une fois visualisé et compris, le SI devient plus résilient, plus efficace, plus agile et plus crédible face aux clients comme aux régulateurs. La conformité cesse alors d’être subie : elle devient un avantage durable, un moyen de piloter avec plus de clarté et de cohérence.

Boldo s’inscrit dans cette approche : une plateforme simple, collaborative et orientée storytelling, pensée pour accompagner la mise en conformité, mais surtout pour en faire un levier de transformation. Et si nécessaire, des partenaires spécialisés peuvent intervenir pour accélérer l’effort DORA… tout en s’appuyant sur une base solide et pérenne.