La crise financière de 2008 a mis en lumière l’interconnexion entre les banques et les assureurs, entraînant la mise en place des accords Bâle II et Bâle III. Ces cadres réglementaires visaient à réduire les risques de crédit et à inclure le risque opérationnel dans les exigences de fonds propres. Le Comité de Bâle définit ce dernier comme « un risque de pertes résultant de processus, de personnes et de systèmes internes bancaires inadéquats ou défaillants, ou d’événements externes ».

Toutefois, ces accords ne prennent pas en compte deux menaces majeures :

  • Les cyberattaques criminelles, motivées par des gains financiers.
  • Les cyberattaques étatiques, menées dans un cadre de renseignement politique ou économique.

Avec l’accélération de la transformation numérique, notamment après la pandémie, le secteur financier s’est fortement digitalisé. Cette évolution offre de nombreux avantages (rapidité, traçabilité, praticité) mais accroît également la vulnérabilité aux cyberattaques. Selon le Fonds monétaire international, en 2024, les sociétés financières sont concernées par près d’un cinquième des attaques, les banques étant particulièrement vulnérables. 

Pour pallier ces risques et harmoniser la gestion de la cybersécurité dans le secteur financier, l’Union Européenne a adopté la réglementation DORA, entrée en application le 17 janvier 2025.

Cette réglementation s’inscrit dans la continuité des directives NIS1 et NIS2, qui ont respectivement introduit et renforcé les mesures de cybersécurité pour les infrastructures critiques en Europe. NIS2 impose spécifiquement des exigences supplémentaires en matière de gestion des risques, de surveillance et de coopération entre les États membres. DORA complète ces initiatives en ciblant spécifiquement le secteur financier.

Qu’est-ce que la réglementation DORA ?

Le Digital Operational Resilience Act (DORA) est un règlement européen visant à renforcer la résilience opérationnelle du secteur financier face aux risques liés aux technologies de l’information et de la communication (TIC). Contrairement aux directives qui nécessitent une transposition dans le droit national, DORA est directement applicable dans l’ensemble des 27 États membres de l’UE.

Issu du Digital Finance Package, le règlement européen 2022/2554 impose un cadre rigoureux pour les institutions financières et leurs prestataires de services TIC. Il couvre :

  • La mise en œuvre d’un cadre de gestion du risque lié aux TIC, incluant les menaces informatiques.
  • La déclaration obligatoire des incidents majeurs liés aux TIC auprès des autorités compétentes.
  • La réalisation de tests de résilience opérationnelle numérique, incluant des tests de pénétration.
  • La gestion des risques liés aux prestataires tiers de services TIC, avec des exigences contractuelles spécifiques.
  • Le partage d’informations sur les cybermenaces entre acteurs financiers pour renforcer la sécurité collective.
  • Un cadre de supervision pour les prestataires TIC jugés critiques, sous la surveillance des autorités européennes (EBA, ESMA, EIOPA).

L’objectif principal de DORA est de limiter le risque de contagion d’un incident ou d’une cyberattaque et de garantir la continuité des services financiers.

Pour vous aider à comprendre cette réglementation, la formation à la cybersécurité existe.  

Qui est concerné par DORA ?

Le périmètre d’application de DORA est large et concerne :

  • Les banques et institutions de crédit.
  • Les assurances et réassurances, y compris les courtiers.
  • Les sociétés de gestion de portefeuille.
  • Les infrastructures de marché et entreprises d’investissement (MIF 2).
  • Les établissements de paiement.
  • Les prestataires de services sur crypto-actifs.
  • Tous les prestataires tiers de services TIC jugés critiques.
À lire aussi :  Formation en entreprise : la clé pour sensibiliser vos collaborateurs aux cyberattaques

À noter : certaines microentreprises bénéficient de régimes simplifiés en fonction de leur taille et de leur impact sur le système financier.

Que contient DORA ?

Le règlement DORA élève les exigences en matière de gestion des risques TIC en imposant :

  • Une organisation stricte et une gouvernance dédiée.
  • Une gestion proactive des risques informatiques et cyber.
  • Des procédures de déclaration des incidents : toute entreprise concernée devra classer un incident (critique ou non) et le signaler aux autorités de tutelle dans un délai de quatre heures.
  • Des tests de résilience opérationnelle : obligation d’engager des tests avec des hackers éthiques pour évaluer la sécurité des infrastructures informatiques.

Les dates importantes du calendrier d’application 

Le règlement DORA a été publié au Journal officiel de l’Union européenne (JOUE) le 27 décembre 2022 et est entré en vigueur officiellement le 16 janvier 2023. Les Autorités européennes de surveillance (AES) avaient jusqu’au 17 janvier 2024 pour soumettre à la Commission européenne un premier ensemble de normes techniques réglementaires (RTS) et de normes techniques d’exécution (ITS), suivi d’un second ensemble déposé avant le 17 juillet 2024. 

Depuis le 17 janvier 2025, la directive 2022/2556 est désormais obligatoire pour toutes les entités financières concernées au sein de l’Union européenne. Contrairement à une directive, qui nécessite une transposition dans le droit national, un règlement est directement applicable dans tous les pays de l’UE, ce qui signifie que les institutions financières et les fournisseurs de services informatiques devaient anticiper et organiser leur mise en conformité bien en amont.

Quel est l’impact de la réglementation DORA sur les entreprises ? 

La loi DORA devrait avoir un impact significatif sur les institutions financières qui opèrent au sein de l’Union européenne (UE). Voici comment ce règlement peut influencer ces institutions : 

Augmentation des coûts de conformité : Les institutions financières devront investir dans des infrastructures, des outils et des compétences spécifiques pour répondre aux nouvelles exigences. La mise en œuvre de tests de résilience et la supervision des prestataires critiques entraîneront des coûts supplémentaires.

Surveillance réglementaire renforcée : Le règlement confère aux autorités de supervision (ACPR, AMF, ESMA, EBA, EIOPA) des pouvoirs élargis pour contrôler et évaluer la conformité des institutions financières. Cela impliquera des audits et des examens réglementaires potentiellement plus fréquents et plus rigoureux. 

Renforcement des exigences contractuelles avec les prestataires TIC : Les institutions financières devront tenir un registre détaillé de leurs prestataires de services TIC, en identifiant précisément les fonctions critiques. Ce registre devra être soumis aux autorités compétentes avant le 15 avril 2025.

Répercussions sur les coûts pour les consommateurs : Certains experts estiment que l’adaptation aux nouvelles obligations nécessitera des ressources supplémentaires, ce qui pourrait avoir un impact sur les frais bancaires et les coûts d’assurance.

Changements dans les pratiques commerciales : Les institutions financières pourraient être contraintes de revoir leurs pratiques commerciales pour se conformer aux nouvelles exigences du règlement. Par exemple, elles pourraient devoir réexaminer et mettre à jour leurs accords d’externalisation, renforcer leurs mesures de cybersécurité et améliorer leurs plans de continuité des activités. 

À lire aussi :  Comment accompagner ses équipes dans un projet de formation anti-phishing ?

Accent sur la gestion des risques : Le règlement met l’accent sur la gestion des risques et impose aux institutions financières la mise en place d’un cadre solide de gestion des risques, nécessitant l’élaboration et la mise en œuvre de processus et de procédures de gestion des risques plus rigoureux. 

Amélioration de la résilience opérationnelle : En fin de compte, l’objectif du règlement est d’améliorer la résilience opérationnelle des institutions financières. En se conformant à ces exigences, les institutions financières seront mieux préparées à résister et à réagir face à des perturbations opérationnelles telles que les cyberattaques, les pannes informatiques et autres menaces. 

Saisir les enjeux juridiques de la réglementation DORA 

La réglementation DORA soulève plusieurs enjeux juridiques majeurs pour les acteurs du secteur financier et leurs prestataires de services numériques.

  • Responsabilité et obligation de conformité : DORA impose des obligations strictes aux institutions financières et à leurs prestataires de services TIC afin d’assurer leur résilience opérationnelle face aux attaques cybernétiques et aux interruptions de service. Chaque entité est tenue de démontrer sa capacité à prévenir, détecter et réagir efficacement aux incidents numériques.
  • Sanctions et obligations : Les sanctions en cas de non-conformité peuvent être particulièrement sévères, pouvant atteindre 2 % du chiffre d’affaires annuel mondial ou 10 millions d’euros, selon le montant le plus élevé. Cette approche vise à garantir une adoption rigoureuse des exigences réglementaires et à responsabiliser l’ensemble des acteurs concernés.
  • Partage d’informations et coopération : DORA encourage une coopération renforcée entre les autorités de supervision nationales et les institutions financières, avec des exigences en matière d’échange d’informations sur les incidents de cybersécurité. Cette transparence vise à améliorer la prévention et la gestion des risques à l’échelle européenne.
  • Gestion des données et confidentialité : La mise en conformité avec DORA peut avoir un impact sur la collecte, le stockage et l’utilisation des données nécessaires à la surveillance de la résilience opérationnelle. Ces obligations doivent être alignées avec le RGPD (Règlement général sur la protection des données), soulevant des enjeux liés à la protection des données personnelles et à la sécurité des informations sensibles.
  • Standardisation et normes techniques : DORA impose l’adoption de normes techniques spécifiques en matière de cybersécurité et de résilience numérique. Les institutions financières doivent s’assurer que leurs systèmes et processus respectent ces standards, ce qui peut nécessiter des ajustements opérationnels et technologiques pour garantir leur mise en œuvre et leur conformité.
  • Évaluation des risques et tests de résilience : DORA prévoit la mise en place d’évaluations de risques régulières et de tests de résilience pour s’assurer que les acteurs du secteur financier soient préparés aux menaces potentielles. Ces exigences impliquent des audits périodiques et des simulations de scénarios de crise pour tester l’efficacité des dispositifs de gestion des risques et de continuité des activités.

Quelles sont les principales obligations du règlement DORA ? 

Le règlement DORA impose aux institutions financières et à leurs prestataires de services informatiques un cadre strict pour renforcer leur résilience opérationnelle face aux attaques cybernétiques et aux perturbations numériques. Il fixe des exigences précises en matière de gestion des risques, de surveillance des incidents et de coopération avec les autorités de supervision. Voici les principales obligations à respecter :

À lire aussi :  Le salage de mots de passe : une couche de sécurité indispensable

Maîtrise des risques associés aux TIC

Les institutions financières doivent mettre en place un dispositif de gestion des risques liés aux technologies de l’information (TIC) qui soit robuste, documenté et intégré dans leur stratégie globale de gestion des risques. Ce dispositif doit leur permettre de réagir rapidement et efficacement aux incidents numériques afin de garantir un niveau élevé de résilience opérationnelle.

Ce cadre repose sur une stratégie de résilience opérationnelle numérique, qui définit la mise en œuvre des mesures nécessaires et doit être régulièrement amélioré sur la base des enseignements tirés de son application et de son suivi.

Administration, catégorisation et signalement des incidents TIC

DORA vise à renforcer la gestion des incidents TIC en introduisant plusieurs obligations spécifiques :

  • L’instauration de procédures de gestion des incidents informatiques, afin de détecter, traiter et signaler ces incidents de manière efficace.
  • La catégorisation des incidents TIC et des cybermenaces, permettant une meilleure évaluation des risques.
  • L’obligation de signaler les incidents majeurs liés aux TIC aux autorités compétentes, tout en offrant la possibilité de notifier volontairement les cyberattaques significatives.

Un exemple concret de mise en application de ces obligations serait la création de protocoles standardisés pour identifier, classifier et déclarer les incidents aux autorités. nationales et européennes, garantissant ainsi une réponse coordonnée face aux menaces numériques.

Contrôle des risques liés aux fournisseurs de services TIC

DORA traite de manière exhaustive la gestion et la supervision des risques associés aux prestataires tiers de services en matière de technologies de l’information. Elle énonce notamment les principes fondamentaux à suivre pour la gestion des risques liés aux prestataires de services TIC, tels que :

  • La tenue d’un registre recensant tous les contrats, avec une distinction entre ceux couvrant des fonctions critiques et les autres.
  • L’établissement d’exigences contractuelles minimales pour assurer une surveillance complète des risques associés aux tiers.
  • La mise en place d’un cadre de surveillance à l’échelle européenne pour les prestataires de services considérés comme critiques.

Un exemple concret de mise en application de ces mesures pourrait inclure l’introduction de sanctions financières et de nouvelles options de résiliation en cas de non-respect des exigences stipulées dans DORA.

Mécanismes de partage d’informations

DORA donne aux institutions financières la possibilité d’établir des mécanismes pour partager des informations et des renseignements sur les menaces cybernétiques, dans le but de renforcer et d’améliorer leurs capacités de défense ainsi que leurs techniques de détection.

Un exemple concret d’application de cette mesure consisterait à mettre en place des systèmes de partage d’informations qui définissent les conditions d’adhésion, ainsi que les aspects opérationnels du partage, y compris l’utilisation de plates-formes spécialisées.

Principaux défis de la mise en application des obligations

  • Complexité de mise en place d’un cadre cohérent de gestion des risques liés aux TIC et d’une gouvernance dans différentes disciplines.
  • Obligations de déclaration étendues et normalisées.
  • Exigences renforcées en matière de gestion des risques liés aux TIC pour les tiers.

Vous souhaitez vous équiper de solutions de cybersécurité ? Demandez une démo !

Demande de démo
Articles similaires

En savoir plus
Cybersécurité
18.05.2020

Quand mobilité rime avec sécurité

En savoir plus
Actualités
31.12.2024

5 tendances cyber 2025

En savoir plus
En savoir plus
En savoir plus