Adopté le 16 janvier 2023, le DORA (règlement sur la résilience opérationnelle numérique) est un nouveau règlement de l’UE visant à garantir la résilience des organisations du secteur financier face à des perturbations mineures ou catastrophiques, comme les cyberattaques. Son entrée en vigueur est prévue pour le 17 janvier 2025. Le cadre réglementaire exige des organisations qu’elles démontrent qu’elles peuvent résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux données, aux communications et à la technologie. Le règlement inclut des capacités de protection, de détection, de confinement, de récupération et de réparation.
La loi s’applique à plus de 20 types d’entités financières différentes telles que les banques, les assureurs et les entreprises d’investissement, et aux tiers qui interagissent avec elles. Les règlements couvrent également tous les fournisseurs de services tiers dans le domaine des technologies de l’information et de la communication (TIC). Tout comme le RGPD coordonne la réglementation sur la confidentialité des données, le DORA est conçu pour consolider et améliorer la cyber-résilience, les risques informatiques et la gestion des cyber-risques dans les services financiers.
Les exigences rigoureuses et l’approche structurée du DORA aideront le secteur financier à se protéger contre les risques numériques complexes et les menaces de cybersécurité, garantissant ainsi un environnement financier stable, résilient et sécurisé dans toute l’UE. L’intégration de ces exigences dans le cadre de votre organisation la prépare aux défis numériques actuels et jette les bases de l’adaptation aux futures avancées technologiques.
La gestion des risques liés aux TIC n’est pas une nouveauté. Cependant, les mandats étendus du DORA exigent des entités financières qu’elles procèdent à des révisions minutieuses et approfondies de leurs pratiques et cadres actuels. Le règlement n’exige pas seulement des révisions complètes des pratiques de gestion des risques liés aux TIC ; il renforce également la responsabilisation des organes de gestion internes d’une institution financière chargés de jouer un rôle central dans l’élaboration et l’approbation de la stratégie de l’entreprise en matière de résilience opérationnelle numérique. La stratégie doit également être soutenue par des tolérances au risque de perturbation des TIC clairement définies, des indicateurs clés de performance (KPI) et des mesures de risque qui s’alignent sur les normes de sécurité renforcées des TIC du DORA.
À la suite d’une perturbation importante des activités, le DORA exige des entités financières qu’elles effectuent des analyses rigoureuses de l’impact pour :
Cette approche proactive garantit que les entités financières sont prêtes à gérer les perturbations et sont capables de poursuivre leurs activités avec un impact ou un temps d’arrêt minimal.
Le DORA impose des mesures de protection de la cybersécurité, y compris des politiques concernant les éléments suivants :
Les meilleures pratiques en matière de cyber-résilience couvrent ces mesures de protection de la cybersécurité et bien d’autres pour permettre aux organisations financières de se préparer en cas de cyberincident, en minimisant les temps d’arrêt et l’impact d’une cyberattaque.
Soulignant en outre la nécessité de transparence et de responsabilité, le DORA exige la création d’une stratégie de communication solide au sein de chaque organisation, y compris la désignation d’un interlocuteur spécialisé chargé de gérer et de signaler les incidents liés aux TIC. Ces lignes de communication claires sont essentielles pour la production de rapports et la réponse en temps opportun, ce qui réduit l’impact potentiel de tout problème de TIC sur les opérations de l’entité.
En outre, une compréhension approfondie des interconnexions entre les actifs, les processus et les systèmes TIC d’une entité est cruciale. Le DORA exige des institutions financières et des fournisseurs qu’ils entreprennent une cartographie complète de ces composants afin d’identifier les vulnérabilités critiques et d’améliorer la résilience opérationnelle globale en cas d’incident ou de violation. Les meilleures pratiques d’élaboration de playbooks de reprise et d’exercices de simulation clarifient le processus entre les départements et s’appuient sur la cartographie des interconnexions pour une résilience accrue de l’entreprise.
Les organisation devraient également veiller à ce que leurs fournisseurs de services TIC critiques se préparent eux aussi aux changements à venir et comprennent leur rôle dans le soutien aux institutions financières dans le nouvel environnement réglementaire.
Le DORA ne concerne pas seulement les banques et les institutions financières. Il cible l’ensemble du secteur financier de l’UE, y compris les fournisseurs critiques et les vendeurs tels que les responsables technologiques et les prestataires de services de paiement.
Les principaux secteurs et entités qui doivent se soumettre au règlement sont les suivants :
L’article 2, paragraphe 3, du DORA exempte certaines entités en raison de leur taille ou de leur importance limitées, notamment :
Les États membres peuvent, à leur discrétion, exempter des entités nationales de crédit ou d’investissement spécifiques.
Le DORA est une initiative réglementaire très importante et complète qui définit un cadre précis pour faire face à la complexité et à la connectivité croissantes des systèmes numériques au sein du secteur financier de l’UE. En établissant une norme unifiée entre les États membres, le règlement garantit que toutes les entités du secteur financier, y compris les banques, les compagnies d’assurance, les entreprises d’investissement et les prestataires de services de paiement, sont correctement équipées pour gérer et atténuer les risques associés à leurs systèmes et services TIC.
L’un des principaux domaines d’intérêt du DORA est l’amélioration des mesures de cybersécurité. Les institutions financières doivent mettre en œuvre des politiques et des contrôles de cybersécurité robustes qui préviennent, détectent et répondent à un large éventail de cybermenaces, y compris une surveillance et des tests continus de leurs cyberdéfenses ainsi que des mécanismes de récupération et de réponse rapides pour minimiser les impacts potentiels des cyberincidents.
La protection des données est également très surveillée dans le cadre du DORA, ses réglementations obligeant les entités financières à établir des cadres complets de gouvernance des données qui garantissent l’intégrité, la confidentialité et la disponibilité des données. Cela inclut la mise en œuvre de mesures de sécurité zéro confiance pour protéger les données sensibles des clients et les données financières contre les accès non autorisés, les violations de données et les pertes, renforçant ainsi la confiance dans les opérations numériques du secteur financier.
Tout comme les plans d'action fournissent des spécifications de construction exactes ou les partitions laissent peu de place à l’improvisation, le DORA est particulièrement prescriptif, contenant des instructions, des critères et des modèles spécifiques de conformité. Cette approche axée sur les détails indique que les organismes de réglementation ont l’intention de jouer un rôle pratique dans sa surveillance et son application.
Le DORA va au-delà de la normalisation des pratiques de résilience dans le secteur financier. Il garantit également que les institutions financières sont constamment préparées à relever les défis posés par le paysage numérique, préservant ainsi la stabilité du secteur et l’environnement économique au sens large. Son essence peut être distillée en cinq piliers fondamentaux qui traitent de divers domaines ou aspects des TIC et de la cybersécurité.
Les cinq principaux « piliers de la résilience opérationnelle » du DORA sont :
Examinons de plus près chaque pilier et son fonctionnement.
Pilier 1 : Gestion des risques liés aux TIC :
La gestion des risques liés aux TIC dans le cadre du DORA implique un large éventail de principes et d’exigences qui vont beaucoup plus loin que les normes précédentes. Elle établit un cadre formel de gestion des risques liés aux TIC qui exige des évaluations régulières des risques, une identification approfondie, des stratégies d’atténuation des risques bien définies et une surveillance continue. Contrairement aux pratiques antérieures au DORA, qui varient en rigueur et en portée, le DORA établit une norme uniforme dans toute l’UE, garantissant que toutes les entités financières ont une approche cohérente de la gestion des risques liés aux TIC. Par exemple, les banques doivent désormais tester périodiquement leurs défenses en matière de cybersécurité et mettre à jour leurs stratégies d’atténuation des risques en fonction des menaces émergentes. Elles doivent également mettre en place des mesures de protection de la cybersécurité, y compris des politiques relatives à l’IAM (gestion des identités et des accès), à la détection d'anomalies, à l’analyse des malwares, à la réponse aux menaces, à Data Insight, au SIEM, au SOAR et à la gestion des correctifs. La plupart des institutions devront revoir leurs dispositions de gouvernance, leurs politiques, leur évaluation des risques, leur contrôle et leurs activités de cartographie pour s’assurer qu’elles répondent aux exigences spécifiques du DORA.
DORA établit clairement que l’organe de direction d’une entité est responsable de la gestion des TIC. Cela inclut les membres du conseil d’administration, les cadres et les cadres supérieurs. Ils doivent établir et mettre en œuvre des stratégies de gestion des risques. Le non-respect de cette obligation pourrait entraîner une responsabilité personnelle.
Pilier 2 : Signalement des incidents liés aux TIC :
Le DORA oblige les organisations à établir un processus cohérent pour détecter, gérer et notifier dûment les cyberincidents importants. Il rationalise le signalement des incidents liés aux TIC en introduisant des exigences harmonisées en matière de signalement. Cela signifie qu'il oblige les organisations à établir un processus cohérent pour détecter, gérer et notifier dûment les cyberincidents importants. Cela garantit que toutes les institutions financières signalent les incidents de manière cohérente, ce qui facilite la collecte de données et la surveillance réglementaire. Avec une couverture plus large que celle du RGPD, il couvre à la fois les violations de données et les incidents informatiques.
En vertu du DORA, toutes les entités doivent adhérer à des conventions standardisées, alors que les normes de déclaration précédentes variaient souvent d’une juridiction à l’autre, entraînant des inefficacités et des lacunes dans les connaissances réglementaires. Par exemple, un prestataire de services de paiement victime d’une violation de données doit désormais suivre des protocoles spécifiques pour signaler l’incident aux régulateurs, garantissant ainsi des réponses rapides et uniformes dans tout le secteur.
Pilier 3 : Tests de résilience opérationnelle numérique :
Par rapport aux exigences précédentes, qui manquaient souvent de spécificité ou de normes uniformes, les institutions financières doivent désormais s’engager dans des tests de résilience de base et avancés. Ces tests comprennent des évaluations régulières des vulnérabilités et des tests d’intrusion conçus pour identifier et corriger les faiblesses potentielles des systèmes numériques. Par exemple, une société de valeurs mobilières effectue des tests annuels avancés basés sur des scénarios pour simuler une cyberattaque sophistiquée dans le but de mieux comprendre et d’améliorer ses stratégies de réponse.
Pilier 4 : Risque lié aux tiers TIC :
Ce pilier introduit des règles fondées sur des principes pour la surveillance et la gestion des risques associés aux prestataires de services externes. Il est plus complet que les normes précédentes, qui ne couvraient pas systématiquement les risques liés aux tiers. Le DORA exige des institutions financières qu’elles mettent en œuvre des cadres de surveillance rigoureux et incluent des dispositions contractuelles spécifiques pour également assurer la conformité des tiers. Par exemple, une banque qui fait appel à un fournisseur de services cloud externe doit désormais s’assurer que le fournisseur répond aux exigences de résilience opérationnelle du DORA et réexamine régulièrement ces dispositions.
Le DORA exige des entités qu’elles procèdent à des évaluations approfondies des fournisseurs de services tiers, cartographient leurs dépendances, garantissent la sécurité et l’intégrité, y compris des dispositions pour des stratégies de sortie claires. Des stratégies cohérentes doivent être mises en place pour la transition des données, des applications et des services d’un environnement de cloud computing vers un environnement sur site ou vers un autre fournisseur de cloud. Il est important de noter que les entités auront le pouvoir d’empêcher les fournisseurs de conclure des contrats avec ceux qui ne se conforment pas au DORA.
Pilier 5 : Partage d’informations :
Ce pilier marque un changement considérable par rapport à la procédure standard, qui encourage l’échange volontaire d’informations et de renseignements sur les cybermenaces entre les entités financières. Contrairement aux pratiques antérieures qui avaient tendance à être moins structurées et plus isolées, cette approche collaborative facilite le partage par des canaux désignés, améliorant ainsi la résilience numérique collective. Par exemple, les institutions financières peuvent désormais participer à une plate-forme partagée (ce que le DORA appelle une communauté de confiance d’entités financières) où elles signalent et discutent des indicateurs de cybermenaces, aidant ainsi l’ensemble du secteur à mieux se préparer aux cyberincidents potentiels.
En adhérant aux normes strictes du DORA, les organisations :
Le respect du DORA indique également un engagement à faire partie d’une approche unifiée qui facilite les opérations et les interactions au sein du marché financier de l’UE et avec les organismes de réglementation.
L’impact du DORA sera certainement important, nécessitant une refonte complète des systèmes et de la gouvernance actuels des TIC d’une organisation financière. Pour se préparer à la transition, les institutions doivent adopter des mesures strictes pour gérer les risques liés aux TIC, notamment en élaborant des cadres de gestion des risques solides, des procédures détaillées de signalement des incidents et des tests de résilience rigoureux. Pour être efficace, ce changement important nécessitera des changements initiaux et un engagement organisationnel soutenu en faveur de l’amélioration et d'une adaptation continues.
À mesure que les entreprises améliorent leurs mesures de cybersécurité et leur résilience opérationnelle, elles s’alignent naturellement sur les objectifs du DORA, en favorisant un environnement financier plus sûr.
Les Autorités européennes de surveillance (AES), composées de l’Autorité bancaire européenne (ABE), de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et de l’Autorité européenne des marchés financiers (AEMF), joueront un rôle essentiel dans cette transition, en veillant à ce que les institutions financières de l’UE appliquent uniformément les normes du DORA. En supervisant la mise en œuvre, en fournissant des lignes directrices et en surveillant la conformité, les AES contribueront à maintenir l’intégrité et la résilience du système financier de l’UE, leur surveillance garantissant que le secteur respecte les normes requises et adopte les principes de résilience numérique en tant que principes fondamentaux des opérations.
Pour assurer la conformité, les institutions financières doivent prévoir d’intégrer ces nouvelles exigences dans leurs opérations quotidiennes :
La promotion d’une culture de résilience et le maintien d’une communication ouverte avec les AES et d’autres organismes de réglementation permettront aux entités financières de rester agiles dans leurs efforts de conformité. En l’intégrant en tant que processus continu, les institutions peuvent se tenir au courant de l’évolution des réglementations et des meilleures pratiques tout en garantissant les avantages de la nature interconnectée de l’impact, de la surveillance et de la conformité dans le cadre de DORA.
Pour les organisations, le plus grand défi pour se conformer au DORA est probablement de devoir remanier en profondeur leurs cadres TIC existants pour répondre aux nouvelles réglementations strictes de la loi, notamment :
Pour de nombreuses entités, en particulier les plus petites, ces demandes pourraient s’avérer importantes en ressources et nécessiter d’importants ajustements financiers et opérationnels.
Les entreprises ont eu 24 mois pour relever ces défis en utilisant une approche progressive de la conformité, en donnant la priorité aux éléments les plus critiques et en élargissant progressivement leurs mesures de résilience. Investir dans la formation et le perfectionnement permettra à tous les employés de comprendre les nouvelles exigences. De plus, il peut être avantageux de faire appel à une expertise externe, en collaborant avec des professionnels spécialisés en cybersécurité et en conformité pour développer des stratégies et des solutions sur mesure. En adoptant une approche stratégique étape par étape, les organisations peuvent répondre efficacement aux exigences de DORA, en veillant à ce que leurs opérations soient à la fois conformes et résilientes.
DORA entrera en vigueur le 17 janvier 2025. Toutes les entités financières éligibles devront disposer d’un registre complet de leurs accords contractuels avec des prestataires de services tiers dans le domaine des TIC. Ces registres permettront :
Pour aider les organisations financières à préparer et à soumettre les registres DORA d’informations sur leurs fournisseurs de services tiers TIC, les AES et d’autres autorités mèneront des exercices d’essai dans la mesure du possible en 2024 :
Avec des années d’expérience dans la prise en charge des exigences de sécurité des données pour le secteur financier, Veritas est bien équipée pour répondre aux nouvelles exigences de sécurité strictes du DORA. Nous fournissons des systèmes logiciels et matériels sécurisés, fiables et évolutifs qui garantissent le fonctionnement efficace des systèmes critiques et aident les entités financières à maintenir la conformité.
Contactez-nous en ligne pour en savoir plus sur la conformité au DORA et sur la façon dont nous pouvons aider votre organisation.