Accueil
>
Ressources
>
Blog
>
Comprendre la réglementation DORA sur la résilience opérationnelle numérique
La crise financière de 2008 a révélé l’interconnexion profonde entre les banques et les assureurs, ce qui a conduit à la mise en place des accords Bâle II et Bâle III. Ces accords visaient à atténuer le risque de crédit et à intégrer le risque opérationnel dans les exigences minimales de fonds propres. Selon le Comité de Bâle, le risque opérationnel est défini comme « un risque de pertes résultant de processus, de personnes et de systèmes internes bancaires inadéquats, défaillants, ou d’événements externes ».
Cependant, ces accords se concentrent principalement sur les erreurs humaines et les problèmes techniques, négligeant deux formes de malveillance :
- Les cyberattaques criminelles, souvent motivées par des gains financiers.
- Les cyberattaques étatiques, menées dans le cadre d’activités de renseignement politique ou économique.
Avec la transformation digitale en accélération, en particulier après la pandémie, la finance numérique a gagné plusieurs années et se popularise en raison de ses avantages tels que la praticité, la rapidité, la traçabilité et le respect de l’environnement. Cependant, elle présente également des inconvénients, notamment sa vulnérabilité aux attaques informatiques. Selon une étude IBM de 2022, le secteur financier est particulièrement exposé aux cyberattaques, se situant au deuxième rang après l’industrie manufacturière, avec un taux de 22 %.
Pour adapter la législation aux particularités du secteur financier, l’Union Européenne a entrepris une réflexion sur la création d’une réglementation spécifique, suivant les directives NIS1 et NIS2. Cette démarche a abouti à la signature de l’acte final de DORA le 14 décembre 2022.
Qu’est-ce que la réglementation DORA ?
Le Digital Operational Resilience Act, abrégé en DORA, représente une réglementation européenne qui instaure un cadre de gouvernance et de contrôle interne spécifiquement conçu pour garantir la résilience opérationnelle en matière informatique au sein du secteur financier.
DORA impose des normes de sécurité minimales et des règles contraignantes à divers acteurs, notamment les banques, les bourses, les gestionnaires de fonds, les compagnies d’assurance, ainsi que les fournisseurs de services informatiques tels que les services cloud, les services de paiement, et les infrastructures de marché. Ces règles englobent les domaines suivants :
- La gestion des risques liés à l’informatique.
- La déclaration des incidents de sécurité majeurs en lien avec les technologies.
- La réalisation de tests de résilience opérationnelle informatique.
- La gestion du risque associé aux tiers, incluant la supervision directe des prestataires de services jugés « critiques ».
Dans l’ensemble, DORA vise à unifier la gestion des risques informatiques au sein du secteur financier et à garantir la continuité des activités ainsi que la fonctionnalité des services considérés comme critiques en cas d’incident de sécurité informatique majeur.
Pour vous aider à vous préparer à cette réglementation, la formation à la cybersécurité existe.
Quel est l’impact de la réglementation DORA sur les entreprises ?
La loi DORA devrait avoir un impact significatif sur les institutions financières qui opèrent au sein de l’Union européenne (UE). Voici comment ce règlement est susceptible d’influencer ces institutions :
- Augmentation des coûts de conformité : Les institutions financières seront tenues d’investir dans des ressources, des processus et des systèmes supplémentaires pour se conformer aux nouvelles exigences énoncées dans le règlement. Cette conformité accrue pourrait entraîner une hausse des coûts liés à la mise en conformité.
- Surveillance réglementaire renforcée : Le règlement confère aux autorités de surveillance des pouvoirs élargis pour contrôler et évaluer la résilience opérationnelle des institutions financières. Cela se traduira par une surveillance réglementaire plus intense et des examens réglementaires potentiellement plus fréquents et plus rigoureux.
- Changements dans les pratiques commerciales : Les institutions financières pourraient être contraintes de revoir leurs pratiques commerciales pour se conformer aux nouvelles exigences du règlement. Par exemple, elles pourraient devoir réexaminer et mettre à jour leurs accords d’externalisation, renforcer leurs mesures de cybersécurité et améliorer leurs plans de continuité des activités.
- Accent sur la gestion des risques : Le règlement met l’accent sur la gestion des risques et impose aux institutions financières la mise en place d’un cadre solide de gestion des risques, nécessitant l’élaboration et la mise en œuvre de processus et de procédures de gestion des risques plus rigoureux.
- Amélioration de la résilience opérationnelle : En fin de compte, l’objectif du règlement est d’améliorer la résilience opérationnelle des institutions financières. En se conformant à ces exigences, les institutions financières seront mieux préparées à résister et à réagir face à des perturbations opérationnelles telles que les cyberattaques, les pannes informatiques et autres menaces.
Bien que le règlement DORA puisse présenter des défis pour les institutions financières, il devrait également renforcer leur résilience opérationnelle, ce qui sera bénéfique tant pour ces institutions que pour leurs clients.
Les dates importantes du calendrier d’application
Ce règlement a été publié au Journal officiel de l’Union européenne (JOUE) le 27 décembre 2022, et il est entré en vigueur au début de l’année 2023. Son application sera obligatoire dans les 27 États membres de l’Union européenne à partir de 2025. Il est important de noter que, contrairement à une « directive, » un « règlement » est applicable en l’état dans tous les pays de l’UE, sans nécessité de transposition. Par conséquent, les institutions financières et les fournisseurs de services informatiques doivent dès à présent planifier leur mise en conformité.
Saisir les enjeux juridiques de la réglementation DORA
Il existe de nombreux enjeux juridiques importants liés à la réglementation DORA :
- Responsabilité et obligation de conformité : DORA impose des obligations spécifiques aux acteurs du secteur financier pour garantir leur résilience opérationnelle face aux cybermenaces et aux pannes.
- Sanctions et amendes : DORA envisage des sanctions en cas de non-conformité avec les exigences.
- Partage d’informations et coopération : DORA encourage la coopération entre les autorités de supervision nationales et l’échange d’informations sur les incidents de cybersécurité.
- Gestion des données et confidentialité : La réglementation DORA pourrait avoir des implications sur la manière dont les données sont collectées, stockées et utilisées pour surveiller la résilience opérationnelle. Les enjeux juridiques concernent la conformité aux lois sur la protection des données, notamment le RGPD (Règlement général sur la protection des données).
- Standardisation et normes techniques : DORA peut exiger que les acteurs du secteur financier se conforment à des normes techniques spécifiques en matière de cybersécurité. Les enjeux juridiques portent sur la définition de ces normes, leur mise en œuvre et leur application.
- Evaluation des risques et tests de résilience : DORA peut exiger des évaluations de risques régulières et des tests de résilience pour s’assurer que les acteurs du secteur financier soient préparés aux menaces potentielles.
Quelles sont les principales obligations du règlement DORA ?
Maîtrise des risques associés aux TIC
Les institutions financières doivent mettre en place un dispositif de gestion des risques liés aux technologies de l’information (TIC) qui soit robuste, complet, et bien documenté. Ce dispositif doit leur permettre de réagir rapidement, de manière efficiente et complète, afin d’assurer un niveau élevé de résilience opérationnelle dans le domaine numérique.
Ce dispositif de gestion des risques TIC fait partie intégrante du cadre global de gestion des risques et repose sur une stratégie de résilience opérationnelle numérique. Cette stratégie définit la manière dont le dispositif doit être mis en œuvre et elle doit faire l’objet d’améliorations continues en se basant sur les enseignements tirés de sa mise en place et de son suivi.
Administration, catégorisation et signalement des incidents TIC
DORA a pour objectif de renforcer le processus de gestion des incidents, en incluant les éléments suivants :
- L’instauration de procédures de gestion des incidents liés aux technologies de l’information, visant à détecter, gérer et signaler ces incidents de manière efficace.
- La catégorisation des incidents TIC et des menaces cybernétiques.
- L’obligation de signaler les incidents majeurs en matière de TIC et la possibilité de volontairement notifier les cybermenaces significatives aux autorités compétentes.
Un exemple concret de mise en pratique de ces mesures serait la création de procédures uniformes pour suivre, classifier et notifier les incidents majeurs liés aux technologies de l’information aux autorités nationales ou européennes.
Pour vous aider à préparer vos collaborateurs au signalement des incidents, intégrez une solution de formation à la cybersécurité ! Grâce à elle, les enjeux et les obligations de la réglementation DORA n’auront plus de secret pour vos équipes.
Évaluation de la résilience dans l’environnement numérique
Contrôle des risques liés aux fournisseurs de services TIC
DORA traite de manière exhaustive la gestion et la supervision des risques associés aux prestataires tiers de services en matière de technologies de l’information. Elle énonce notamment les principes fondamentaux à suivre pour la gestion des risques liés aux prestataires de services TIC, tels que :
- La tenue d’un registre recensant tous les contrats, avec une distinction entre ceux couvrant des fonctions critiques et les autres.
- L’établissement d’exigences contractuelles minimales pour assurer une surveillance complète des risques associés aux tiers.
- La mise en place d’un cadre de surveillance à l’échelle européenne pour les prestataires de services considérés comme critiques.
Un exemple concret de mise en application de ces mesures pourrait inclure l’introduction de sanctions financières et de nouvelles options de résiliation en cas de non-respect des exigences stipulées dans DORA
Mécanismes de partage d’informations
DORA donne aux institutions financières la possibilité d’établir des mécanismes pour partager des informations et des renseignements sur les menaces cybernétiques, dans le but de renforcer et d’améliorer leurs capacités de défense ainsi que leurs techniques de détection.
Un exemple concret d’application de cette mesure consisterait à mettre en place des systèmes de partage d’informations qui définissent les conditions d’adhésion, ainsi que les aspects opérationnels du partage, y compris l’utilisation de plates-formes spécialisées.
Principaux défis de la mise en application des obligations
- Complexité de mise en place d’un cadre cohérent de gestion des risques liés aux TIC et d’une gouvernance dans différentes disciplines.
- Obligations de déclaration étendues et normalisées.
- Exigences renforcées en matière de gestion des risques liés aux TIC pour les tiers.
Vous souhaitez vous équiper de solutions de cybersécurité ? Demandez une démo !