7 min de lecture

En 2026, la résilience informatique n’est plus un processus distinct de gestion de la continuité d’activité (BCM), géré par une équipe secondaire en marge de la direction informatique. Elle s’impose comme une discipline centrale, intégrée à la gestion des risques ICT, au pilotage des chaînes d’approvisionnement et à la réponse aux incidents. C’est précisément ce que demandent les réglementations DORA, NIS2 et la norme ISO 22301. Les organisations qui consolident dès maintenant ces processus, au lieu de les gérer en parallèle, en tirent des avantages financiers et obtiennent des résultats d’audit plus crédibles.

En lienIntégration informatique post-fusion-acquisition : économies réalisées  /  Le CIO en 2026 dans le cadre A.R.T.

Ce qui change vraiment en 2026

Qu’est-ce que la résilience informatique ? La résilience informatique désigne la capacité d’une organisation à maintenir ses services IT en cas de perturbation, à les rétablir rapidement et à tirer les leçons des incidents. Elle englobe la planification classique de la continuité d’activité (Business Continuity Planning, BCP), la reprise après sinistre (Disaster Recovery, DR), la réponse aux incidents (Incident Response) et la gestion des risques liés à la chaîne d’approvisionnement. En 2026, ces disciplines fusionnent en un cadre intégré, abordé simultanément par DORA, NIS2 et la norme ISO 22301.

Le moteur de cette consolidation est opérationnel. Les organisations qui géraient séparément des équipes dédiées à la continuité d’activité, des responsables de la reprise après sinistre et des gestionnaires des risques ICT se voient poser, lors des audits, une question récurrente : comment ces trois niveaux s’articulent-ils ? Dans la pratique, cette articulation laisse souvent à désirer, chaque groupe disposant de ses propres procédures, indicateurs et cycles de révision. Le temps perdu à coordonner ces équipes en cas d’incident réel se répercute directement sur la durée de rétablissement.

DORA (Digital Operational Resilience Act) aborde cette fragmentation de manière explicite dans son article 11. Le cadre de gestion des risques ICT doit inclure une politique de continuité d’activité intégrée à la réponse aux incidents et à la gestion des risques fournisseurs. NIS2 (Network and Information Security Directive 2) impose des mesures similaires dans son article 21, mais pour une base industrielle plus large. Bien que ces deux réglementations couvrent des secteurs différents, elles reposent sur la même logique : la résilience est un concept global, et non une simple juxtaposition de plans individuels.

À quoi ressemble un cadre de résilience consolidé en 2026

Un cadre consolidé suit une logique simple. Il définit les processus métiers critiques, leur associe les services TIC (technologies de l’information et de la communication) de support, fixe des objectifs de temps de reprise (RTO) et des objectifs de perte de données (RPO), et les relie à des playbooks concrets. En parallèle, une gestion des risques fournisseurs évalue la dépendance aux tiers critiques. La communication de crise, la réponse aux incidents et la formation des équipes en font partie intégrante – et ne sont plus des sujets marginaux.

Les rôles évoluent dans une configuration consolidée. Le responsable classique de la continuité d’activité (BCM) se transforme en responsable de la résilience, avec des domaines de responsabilité élargis. Les gestionnaires des risques TIC et les responsables de la sécurité de l’information (Information Security Officer) travaillent au sein des mêmes structures, souvent sous la même ligne hiérarchique. La direction de l’exploitation informatique fournit les capacités techniques de reprise. Pour les DSI, cela signifie : une ancrage organisationnel clair et un budget consolidé pour les investissements en résilience, au lieu de trois postes distincts répartis dans différentes centres de coûts.

La coordination entre les fonctions est le facteur déterminant. Une entreprise dotée d’un cadre de résilience commun réagit sensiblement plus vite en cas d’incident réel qu’une organisation aux structures parallèles. L’indicateur clé est le temps moyen de reprise (MTTR). Dans la pratique, la différence entre organisations consolidées et fragmentées se situe entre un facteur deux et trois. Pour les services critiques, cela peut faire la différence entre quatre heures d’interruption et vingt-quatre.

Contexte DACH : DORA (Digital Operational Resilience Act) et NIS2 (Network and Information Security Directive 2) sont des réglementations européennes visant à renforcer la résilience opérationnelle et la cybersécurité des entités financières et des opérateurs de services essentiels. L’ISO 22301 est une norme internationale pour la gestion de la continuité d’activité.

Ce que l’ISO 22301 apporte concrètement à une organisation

L’ISO 22301 est la norme internationale dédiée au management de la continuité d’activité (Business Continuity Management, BCM). Elle définit un cycle Plan-Do-Check-Act (PDCA) pour la résilience, avec des exigences claires en matière d’analyse d’impact sur l’activité (Business Impact Analysis, BIA), d’évaluation des risques, de stratégie, de mise en œuvre et d’exercices. Son atout majeur réside dans son articulation avec d’autres normes ISO, comme l’ISO 27001 (sécurité de l’information) et l’ISO 9001 (management de la qualité). Les organisations ayant déjà mis en place ces normes peuvent intégrer l’ISO 22301 avec un effort modéré.

Pour les entités soumises au règlement DORA (Digital Operational Resilience Act), l’ISO 22301 n’est pas une norme obligatoire, mais elle constitue une preuve reconnue. Un système de BCM certifié ISO 22301 réduit considérablement l’effort de conformité à DORA, car la logique de documentation est identique. Il en va de même pour NIS2 : les mesures exigées par la loi en matière de continuité d’exploitation, de gestion de crise et de reprise d’activité peuvent être directement dérivées des processus ISO 22301. Les échanges avec les autorités de régulation s’en trouvent raccourcis, car la norme est connue et apporte une structure claire.

Un aspect pratique de l’ISO 22301 : la norme impose une analyse d’impact sur l’activité (BIA), qui examine chaque processus métier critique sous l’angle de ses dépendances informatiques. Pour de nombreuses organisations, la BIA représente la partie la plus précieuse de la mise en œuvre, car elle fournit pour la première fois une vision exhaustive des systèmes à rétablir et de leur ordre de priorité. Sans cette BIA, les décisions ultérieures manquent de fondement. Avec elle, les investissements dans la redondance et les stratégies de sauvegarde deviennent justifiables et mesurables.

La discipline des exercices est le second aspect que l’ISO 22301 systématise. La norme prescrit des tests réguliers, allant des exercices sur table (tabletop exercises) aux tests techniques de reprise, en passant par des simulations complètes de panne. Les organisations qui intègrent cette discipline en voient les résultats non seulement dans les preuves d’audit, mais aussi lors d’incidents réels, qui sont résolus en quelques heures au lieu de plusieurs jours. C’est là que réside le principal facteur de retour sur investissement d’un système de BCM opérationnel – un bénéfice difficile à quantifier en euros avant le premier incident sérieux.

La certification en elle-même n’est toutefois pas une fin en soi. La véritable valeur réside dans le système de management mis en place. De nombreuses organisations détiennent des certificats ISO sans que le système ne soit réellement appliqué. En matière de résilience, cela peut s’avérer dangereux, car un dossier de certification ne résout pas un incident. Les organisations les plus performantes utilisent l’ISO 22301 comme cadre structurant et investissent dans des programmes d’exercices actifs, qui ancrent le système de management dans la pratique de manière continue.

Comment les DSI positionnent la résilience en 2026 au niveau du comité de direction

Le débat sur la consolidation n’est que rarement une question purement technique. Il s’agit avant tout d’une problématique organisationnelle. Le comité de direction doit y adhérer pleinement. Un DSI qui porte la consolidation de la résilience a toutes les chances d’obtenir un soutien s’il communique clairement trois éléments. Premièrement : l’obligation réglementaire. DORA et NIS2 (deux réglementations européennes clés en matière de cybersécurité et de résilience des infrastructures critiques) exigent des cadres consolidés. Les auditeurs des autorités de surveillance les examineront de près au cours des prochains trimestres. Deuxièmement : la réalité des coûts. Les structures fragmentées sont onéreuses à exploiter, notamment en raison des doublons dans les exercices de simulation (tabletop exercises), les cycles de documentation et les obligations de reporting. Troisièmement : la réalité de la réactivité. En cas d’incident, la rapidité est cruciale. Seules des équipes intégrées peuvent l’assurer.

En pratique, un plan d’action sur douze mois a fait ses preuves. Trois premiers mois : état des lieux de toutes les structures existantes en matière de BCM (Business Continuity Management), DR (Disaster Recovery) et gestion des risques ICT, avec une attention particulière portée aux chevauchements et aux lacunes. Mois quatre à six : conception du cadre consolidé basé sur la norme ISO 22301, avec des rôles et responsabilités clairement définis. Mois sept à neuf : mise en œuvre, incluant la consolidation des outils et des formations. Mois dix à douze : premier cycle d’exercices et préparation à l’audit interne en vue des contrôles externes DORA ou NIS2.

Un point ne doit en aucun cas être relégué au second plan dans ce processus : l’articulation avec le comité de direction lui-même. La résilience est une responsabilité du comité de direction, pas une simple priorité du DSI. Des exercices réguliers impliquant le comité de direction démontrent, lors des audits de surveillance, que la direction assume pleinement ses responsabilités. Les organisations qui réalisent ces exercices chaque trimestre réagissent, en cas d’incident réel, de manière significativement plus efficace. La préparation fait partie de la gouvernance. La gouvernance fait partie du leadership.

Un aspect souvent sous-représenté dans les présentations destinées au comité de direction : le débat sur la résilience ne se limite pas à une question de conformité, même s’il est impulsé par la réglementation. Une entreprise dotée d’un cadre de résilience solide dispose d’un avantage concurrentiel face à des organisations qui, en cas d’incident, restent paralysées plus longtemps. Sur les marchés B2B, la résilience est de plus en plus évaluée dans les critères de sélection des fournisseurs. Celui qui peut démontrer de manière transparente ses pratiques de continuité d’activité remporte des contrats que d’autres perdent.

La logique d’investissement à moyen terme est claire. Une organisation de résilience consolidée permet, après deux à trois ans, d’économiser plus de budget qu’elle n’en a coûté lors de sa mise en place. Cela se traduit par une réduction des efforts d’audit, moins de documentation en double et une réponse aux incidents plus rapide. Pour les DAF (Directeurs Administratifs et Financiers) qui examinent le business case avec scepticisme, cette temporalité est cruciale. Les douze premiers mois sont une période d’investissement ; à partir du dix-huitième mois, le rapport coût-bénéfice bascule en faveur de la solution consolidée. À condition que l’organisation applique réellement le système et ne le laisse pas devenir un projet fantôme.

Un autre point stratégique concerne l’intégration dans la chaîne d’approvisionnement. Quiconque dépend de services critiques fournis par des prestataires externes doit vérifier et documenter leurs engagements en matière de résilience. DORA et NIS2 l’exigent de manière contraignante. En pratique, cela implique des audits contractuels, des revues régulières et, le cas échéant, la volonté de changer de fournisseur si celui-ci ne répond pas aux exigences de résilience. Les organisations qui commencent tôt à développer cette capacité disposent, en cas de crise, d’alternatives plutôt que de simples espoirs. Cela fait la différence, dans les situations de stress, entre une gestion maîtrisée et une gestion de crise chaotique. Sans préparation, cette différence reste généralement hors de portée.

Enfin, un mot sur la communication interne. La résilience est souvent perçue comme un sujet de sécurité, car les deux disciplines sont étroitement liées. Pourtant, elles ne sont pas identiques. La sécurité protège contre les attaques, tandis que la résilience garantit le rétablissement après des perturbations de toute nature, y compris les pannes techniques, les problèmes de chaîne d’approvisionnement et les erreurs humaines. Communiquer clairement cette distinction permet d’obtenir des décisions budgétaires différentes et une attention accrue de la part du comité de direction. Les deux domaines doivent être étroitement coordonnés, mais sans être confondus. Un langage clair est plus efficace auprès du comité de direction que toute expertise technique, car il suscite les bonnes questions. En définitive, la résilience est une question de culture, façonnée par le langage et les rituels, et non par les seuls cadres. Les meilleurs cadres ne sont efficaces que si une organisation les vit réellement, au lieu de les ranger dans un tiroir. Les dirigeants qui comprennent cela sauront tirer parti du débat sur la résilience en 2026, y compris dans leurs échanges avec les organes de surveillance externes, qui insisteront de plus en plus sur une résilience vécue et appliquée.

Questions fréquentes

Plus d’articles du réseau média MBF

Source de l’image d’en-tête : Pexels / Sergei Starostin (px:6466141)