« DORA vise à instaurer une harmonisation des règles européennes applicables aux acteurs du secteur financier en matière de résilience opérationnelle et de cybersécurité »
DORA (Digital Operational Resilience Act) est une règlementation européenne qui vise à renforcer la cybersécurité et la résilience opérationnelle des institutions financières. C’est en quelque sorte une extension de NIS 2 sur la continuité des activités financières.
En d’autres termes, il s’agit d’un ensemble de règles visant à protéger à la fois les banques, les compagnies d’assurance et autres acteurs financiers, mais également leurs fournisseurs de services TIC contre les cyberattaques et les pannes technologiques qui pourraient perturber leurs activités. Pour tous ces acteurs, il s’agit non seulement d’un défi réglementaire, mais aussi d’une opportunité de renforcer leur crédibilité et la confiance de leurs clients en démontrant leur engagement pour une sécurité numérique renforcée et une gestion proactive des risques technologiques.
Qu’est-ce que la réglementation DORA et quel est son calendrier ?
La réglementation DORA, qui établit un cadre unifié en matière de cybersécurité et de gestion des risques pour les acteurs financiers au sein de l’Union européenne, prend effet le 17 janvier 2025. À partir de cette date, les autorités de supervision, comme l’ACPR en France, pourront initier les premiers contrôles de conformité. Ces derniers porteront sur plusieurs aspects, notamment l’évaluation des risques, la robustesse des infrastructures informatiques, la gestion des incidents numériques et la capacité des entreprises à collaborer avec des prestataires tiers tout en maintenant un haut niveau de sécurité.
La réglementation DORA est structurée sur un corpus de textes complexes de plusieurs niveaux. Son articulation représente un premier défi, puisqu’on retrouve :
Le Règlement (UE) 2022/2554 du 14 décembre 2022
- Publication: le 27 décembre
- Entrée en vigueur: le 16 janvier 2023 et application le 17 janvier 2025,
- Contenu: pose les exigences applicables aux entités concernées ;
- La Directive (UE) 2022/2556 du 14 décembre 2022
- Publication: le 27 décembre
- Entrée en vigueur: le 16 janvier 2023,
- Contenu: encadre les aspects relatifs à l’organisation des autorités de contrôles et la gestion des sanctions ;
- Les normes techniques de réglementation (abrégées RTS pour Regulatory Technical Standards ou ITS pour Implementing Technical Standards) élaborées par les Autorités Européennes de Surveillance (AES)
- Publication: Pour le moment, 2 lots de RTS ont été publiés
- Entrée en vigueur: sans objet
- Contenu: précisent et détaillent l’application de certaines exigences techniques.
Quelles sont les principales entités financières concernées par DORA ?
Les entités financières concernées par Dora sont actuellement classées dans 21 catégories (liste complète).
Nous les avons regroupés en 8 catégories pour faciliter leur lecture :
- Établissements de crédit : Il s’agit des banques traditionnelles, mais aussi d’autres institutions financières qui octroient des crédits.
- Entreprises d’investissement : Ces entreprises sont impliquées dans des activités d’investissement, telles que le conseil en investissement, le négoce de valeurs mobilières, etc.
- Établissements de paiement et de monnaie électronique : Ces entités facilitent les paiements électroniques et la gestion de la monnaie électronique.
- Sociétés de gestion : Elles gèrent des actifs pour le compte de tiers, comme les fonds de pension ou les fonds d’investissement.
- Entreprises d’assurance et de réassurance : Ces organisations offrent une protection financière contre divers risques.
- Intermédiaires d’assurance et de réassurance : Ils jouent un rôle de médiateur entre les assureurs et les assurés.
- Prestataires de services de crypto-actifs : Les plateformes d’échange de cryptomonnaies et les fournisseurs de portefeuilles numériques sont également concernés.
- Fournisseurs de services TIC tiers : Les entreprises qui fournissent des services informatiques aux entités financières sont également visées par DORA.
Une attention particulière doit être portée sur la dernière catégorie, celle des intervenants tiers. Elle représente en effet des organisations intermédiaires avec des structures qui peuvent être modestes, comme les moyens à leur disposition pour mettre en œuvre la cyber résilience. Ces dernières ont donc tout intérêt à se faire accompagner pour établir à minima un SMSI (Système de Management de la Sécurité de l’Information) et initier une gouvernance de la cybersécurité.
Quelles sont les principales exigences auxquelles doivent désormais se conformer les entreprises du secteur financier ?
DORA vise à instaurer une harmonisation des règles européennes applicables aux acteurs du secteur financier en matière de résilience opérationnelle et de cybersécurité. Cette résilience est définie comme la capacité d’une entité financière à maintenir, renforcer et évaluer en continu l’intégrité et la fiabilité de ses opérations. Ce qui inclut l’utilisation directe ou via des prestataires tiers des technologies nécessaires pour sécuriser ses réseaux et systèmes d’information, garantissant ainsi une fourniture ininterrompue et de qualité des services financiers, même en cas de perturbation.
En d’autres termes, il s’agit de la capacité à assurer la continuité des activités opérationnelles de son système d’information (SI). Cette réglementation impose donc aux acteurs concernés des règles spécifiques en matière de cybersécurité, qui se présentent comme une lex specialis du cadre strict établi par la directive NIS 2, pouvant elle-même s’analyser comme inspirée par la norme ISO 27001. Les exigences de DORA s’articulent autour de cinq piliers principaux :
- Gestion des risques liés aux TIC : Identification et atténuation des risques associés aux technologies de l’information et des communications (TIC).
- Gestion des incidents TIC : Mise en place de processus pour détecter, signaler et résoudre les incidents liés aux TIC.
- Tests de résilience : Vérification régulière des capacités de résilience opérationnelle face aux cybermenaces.
- Gestion des prestataires de services TIC : Encadrement des risques liés aux fournisseurs, avec un focus particulier sur les fonctions critiques ou importantes.
- Partage d’informations sur les menaces : Favoriser la collaboration et l’échange d’informations pour mieux anticiper et contrer les cybermenaces.
Comment les institutions financières peuvent-elles se préparer à mettre en œuvre les exigences de DORA ?
Les exigences établies par DORA s’appuient largement sur les bonnes pratiques existantes en matière de cybersécurité, et notamment sur les principes des normes ISO 27001 et 27002 en ce qui concerne la gestion de la sécurité de l’information. On peut également rapprocher DORA du cadre TIBER-EU, particulièrement en ce qui concerne le choix des prestataires pour les tests de pénétration.
Un des chantiers prioritaires dans la mise en œuvre de DORA réside donc dans la gestion des risques cyber, gestion qu’il semble de plus en plus judicieux d’implémenter au travers d’un SMSI. Ainsi, les risques identifiés dès la conception du SMSI pourront être intégrés aux analyses de risque spécifiques prévues par DORA.
Cependant, une distinction clé réside dans la définition du risque dans le cadre de DORA : il ne s’agit pas uniquement de risques cyber, mais plutôt d’une vision transversale des risques financiers, tels qu’ils concernent l’ensemble des établissements financiers. Ce qui nécessite une consolidation efficace des différents types de risques et une articulation avec des méthodologies parfois distinctes, afin de garantir une approche intégrée et alignée avec les exigences financières spécifiques du texte.
Peu importe les travaux réalisés, il faudra en effet que la gestion du risque Cyber alimente la gestion du risque transverse, et non pas qu’elle prenne l’ascendant sur cette dernière.
Consultant cybersécurité spécialiste en protection des données, j’accompagne l’ensemble des sujets de conformité : RGPD, ISO 27001 et ISO27701, ainsi que DORA. J’interviens fréquemment en tant que DPO externalisé, ou sur des sujets ponctuels d’expertise dans les secteurs publics, bancassurance, industrie et grande distribution, conseil et recrutement.
TVH Consulting
Partenaire de référénce des éditeurs Microsoft, SAP et Talend, le groupe TVH Consulting est intégrateur expert de solutions ERP, Data, BI, CRM et Cybersécurité avec plus de 400 collaborateurs qui s’engagent sur 100% de réussite des projets IT.
Ces contenus pourraient vous intéresser :
Pour en savoir plus sur les contenus et outils de Business Intelligence, visitez le site :
Contact
22, rue Guynemer – B.P. 112
78 601 Maisons-Laffitte Cedex
- +33 (0)1 34 93 17 27
- +33 (0)1 34 93 49 49
- infos@tvhconsulting.com