La règlementation DORA pour une meilleure résilience numérique
Face à la montée des risques de cyberattaques et à l'évolution rapide de la technologie, l'Union européenne a adopté le règlement sur la résilience opérationnelle numérique du secteur financier, communément appelé « règlementation DORA », entrée en vigueur le 16 janvier 2023 et qui s’appliquera à tous les Etats membres à partir du 17 janvier 2025.
DORA, qu’est-ce que c’est ?
DORA (Digital Operational Resilience Act ) a été adopté pour répondre aux besoins du secteur financier en matière de résilience opérationnelle, dans un environnement numérique en constante évolution.
Le règlement instaure un cadre en vertu duquel les entreprises doivent tout mettre en œuvre pour résister aux divers types de perturbations et menaces liées aux Technologies de l’information et de la communication (TIC), et réagir de manière adéquate pour en atténuer les conséquences.
Réglementation DORA : qui est concerné ?
La réglementation DORA concerne un large éventail d’acteurs du secteur financier devant intervenir de façon chronologique.
Auparavant, les Etats membres devront veiller à ce que les dispositions du règlement soient transposées de manière effective dans leurs législations respectives. Les autorités européennes de surveillance des secteurs financiers devront ensuite élaborer des normes techniques à l’usage de leurs établissements de services financiers de tutelle. Il s’agit principalement de l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP).
Ce n’est qu’alors que les normes techniques édictées conformément à la réglementation DORA devront s’appliquer à tous les établissements de services financiers, qu’ils soient chargés d’opérations bancaires, de produits d’assurance ou de la gestion d’actifs.
Selon le texte, les acteurs concernés sont :
- les banques ;
- les compagnies d’assurance ;
- les entreprises d’investissements etc. ;
Conformément à la directive 2022/2555, les tiers critiques fournissant des services liés aux TIC sont aussi concernés. Il s’agit des entreprises telles que :
- les plateformes d’informatique en nuage ou les services d’analyse de données ;
- les fournisseurs de services DNS etc. ;
Les autorités nationales compétentes auront enfin la charge de surveiller et de faire respecter la réglementation DORA au sein de chaque État.
Réglementation DORA : quels risques sont concernés ?
Le règlement DORA vise globalement à parer aux risques liés aux TIC. Il souligne d’ailleurs à cet effet que les incidents liés aux TIC et l’absence de résilience opérationnelle sont susceptibles de compromettre la solidité des entités financières.
Selon le législateur, les risques financiers sont accrus par l’absence de résilience opérationnelle numérique des entreprises. C’est pourquoi les principales catégories de risques financiers sont aussi visées. Par exemple :
- le risque de crédit ;
- le risque de marché ;
- le risque de crédit de contrepartie ;
- le risque de liquidité ;
- le risque lié à la conduite sur le marché etc. ;
Les 5 piliers de DORA
La réglementation DORA repose sur 5 piliers essentiels, visant à renforcer la résilience des acteurs financiers.
- la gestion des risques : les banques, les assurances doivent disposer d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique ;
- les rapports d’incidents : les entreprises concernées doivent mettre en place des mécanismes pour anticiper et prévenir les risques numériques, notamment par la mise en œuvre de plans de continuité d’activité et de plans de réponse aux incidents. Les plans de réponses doivent intégrer une déclaration des incidents majeurs ;
- les tests de résilience opérationnelle numérique : les entités financières doivent mettre en place un programme de tests de résilience opérationnelle numérique pour évaluer leur préparation à traiter les incidents liés aux TIC, détecter les lacunes et prendre des mesures correctives. Ces tests doivent être effectués annuellement par des entreprises indépendantes ;
- le partage d’informations : le règlement DORA exige un échange d’informations sur les cybermenaces entre acteurs financiers, afin de renforcer leur sensibilisation et leur capacité à prévenir ces menaces, à contenir les incidents liés aux TIC et à rétablir rapidement leurs opérations ;
- la gestion saine du risque lié aux prestataires tiers de services TIC : les entités financières doivent maintenir un registre des contrats avec ces tiers, effectuer des vérifications avant tout engagement, et inclure des clauses minimales relatives à la sécurité des données et à la disponibilité.
iQera, acteur engagé contre le risque cyber
Selon Richard Burbaud, Directeur des systèmes d’information chez iQera, le fait que l’entreprise ait accès à des données sensibles de ses clients l’oblige à être exemplaire du point de vue de la sécurité et de la prévention des risques cybers.
C’est ce que nous faisons en mettant en place des mesures de protection - qui doivent évidemment rester secrètes- pour faire face à toutes sortes de plans d’attaque. Nous sensibilisons également nos collaborateurs à être extrêmement vigilants vis-à-vis des mails frauduleux. De faux e-mail de phishing leurs sont envoyés régulièrement afin d’installer les bons réflexes et de renforcer la vigilance chez tout le monde. Nos matériels, PC, Data center sont protégés, et nous remontons jusqu’aux développeurs de nos applications pour nous assurer que les bonnes pratiques sont respectées. Nous organisons régulièrement des audits conjoints avec nos donneurs d’ordre et nous nous soumettons à des tests de sécurité de leur part -y compris d’accès physique à nos bâtiments. Nous savons que la confiance de nos clients est à ce prix et qu’elle constitue pour nous la plus grande des valeurs.
,