•  
  •  Accueil 
  •  Veille CERT 
  •  Veille Techno 
  •  CyberSécurité 
  •  Livrables gratuits 
  •  Articles LinkedIn 
  •  A propos 
  •  

     

     

     

     

  • La conformité ne sauve pas une prod qui tombe.

  •  

  • Publié sur LinkedIn le 22 juin 2026
  •  

  • DORA, NIS2, ISO 22301, RGPD, audits, politiques, procédures, preuves, contrôles… Tout cela est utile. Mais soyons clairs : la conformité ne redémarre pas une production arrêtée. Elle peut structurer. Elle peut guider. Elle peut imposer une discipline. Elle peut obliger à documenter, tester, tracer et améliorer. Mais le jour où une application critique tombe, ce n’est pas une grille d’audit qui remet le service en ligne. Ce sont les équipes. Les procédures réellement utilisables. Les sauvegardes restaurables. Les dépendances connues. Les accès disponibles. Les décisions prises au bon niveau. Les priorités métiers assumées. Les scénarios testés avant la crise. La conformité est un cadre. La résilience est une capacité. Et confondre les deux est dangereux. Une organisation peut être capable de produire beaucoup de documents, mais incapable de reprendre proprement une activité critique. À l’inverse, une organisation réellement résiliente doit pouvoir démontrer autre chose que son intention : un test de restauration réussi, un exercice PRA rejoué, un RTO confronté au réel, un runbook corrigé après retour d’expérience, une cellule de crise entraînée, une cartographie des dépendances tenue à jour, une stratégie de continuité comprise par les métiers. C’est là que les textes réglementaires deviennent intéressants. Pas quand ils sont traités comme une contrainte administrative. Mais quand ils servent de levier pour améliorer la capacité réelle de l’entreprise à encaisser un choc. La bonne approche n’est donc pas : “Comment être conforme au minimum ?” Mais plutôt : “Comment transformer la conformité en preuve opérationnelle de résilience ?” Parce qu’un contrôle coché n’a de valeur que s’il correspond à une réalité terrain. Un RTO validé mais jamais testé reste une hypothèse. Une sauvegarde jamais restaurée reste une promesse. Un runbook jamais exécuté reste une intention. Une cellule de crise jamais entraînée reste un organigramme. La conformité rassure. La résilience protège. Et dans un monde où les interruptions peuvent venir d’une cyberattaque, d’un fournisseur, d’une erreur humaine, d’une mise à jour défectueuse ou d’une panne majeure, les entreprises n’ont plus besoin de simples preuves documentaires. Elles ont besoin de preuves de reprise. La vraie question pour 2026 n’est donc pas : “Sommes-nous conformes ?” Mais : “Sommes-nous capables de continuer, de reprendre et de prouver que cela fonctionne ?” PS : Si vous découvrez mon contenu (veille CERT, Post), je vous invite à me suivre ici sur LinkedIn hashtag#DORA hashtag#NIS2 hashtag#ISO22301 hashtag#RésilienceIT hashtag#CyberRésilience hashtag#ContinuitéDActivité hashtag#DSI hashtag#RSSI