La transformation numérique a profondément modifié le paysage financier, rendant les systèmes de plus en plus complexes et interconnectés. Une évolution qui expose les acteurs financiers à une menace cyber croissante. En réponse, l’Union européenne a mis en place la réglementation DORA (Digital Operational Resilience Act), un cadre conçu pour renforcer la résilience opérationnelle numérique des institutions financières et à maintenir la confiance. On vous explique tout ce qu’il faut savoir pour vous préparer à l’entrée en application de cette nouvelle réglementation.
À l’ère du numérique, la digitalisation des services financiers sous-tend la complexité des systèmes utilisés. La raison : l’interconnexion des réseaux et des infrastructures critiques accentue le risque informatique et expose davantage le système financier aux cybermenaces ou à des dysfonctionnements.
En 2014, la Banque des règlements internationaux (BRI) a identifié les cybermenaces comme l’une des principales préoccupations pour la stabilité des infrastructures financières mondiales. En réponse à ces développements, l’Union européenne a commencé à élaborer des régulations pour harmoniser la gestion des risques numériques, d’abord avec la directive NIS1 (2016) puis, plus récemment, avec NIS2.
Cependant, le secteur financier nécessitait un cadre spécifique en raison de la criticité de ses opérations et de sa dépendance croissante aux technologies de l’information. C’est dans ce contexte que DORA (Digital Operational Resilience Act) a vu le jour. Objectif : viser à créer un cadre harmonisé pour garantir la résilience opérationnelle numérique des acteurs financiers, protéger la continuité des services essentiels, et maintenir la confiance du public dans un environnement économique de plus en plus digitalisé. Cette digitalisation exposant les entreprises à un risque de cyber croissant.
Le risque cyber
Parmi les risques opérationnels, le risque cyber représente l’une des principales sources.
En raison des conséquences potentielles qu’un incident cyber majeur peut entraîner sur les infrastructures réseau, celui-ci fait donc l’objet d’une préoccupation croissante de la part des régulateurs.
Selon le Rapport sur la cyber-résilience des infrastructures de marché, publié en novembre 2014 par la BRI, les cybermenaces sont définies comme :
« Une circonstance ou un événement pouvant potentiellement exploiter, de manière intentionnelle ou non, une ou plusieurs vulnérabilités des systèmes d’une infrastructure, se traduisant par une perte de confidentialité, d’intégrité ou de disponibilité des données ».
Vous voulez en savoir plus ?
Découvrez notre livre blanc « Cybersécurité : 4 bonnes pratiques pour éviter une cyberattaque » pour anticiper et éviter les cyberattaques, avec des conseils d’experts.
Quel impact lié à un risque cyber majeur ?
En 2019, Capital One, l’une des plus grandes banques américaines, a subi une importante violation de données qui a exposé les informations personnelles de plus de 100 millions de clients. Cette attaque a été rendue possible en exploitant une faille dans les services cloud de l’entreprise, mettant en lumière la vulnérabilité des institutions financières aux cybermenaces dans un environnement de plus en plus digitalisé.
Cet incident a non seulement entraîné des coûts énormes pour la banque en termes de régulation et d’amendes, mais il a aussi ébranlé la confiance des consommateurs dans la capacité des banques à protéger leurs données.
De même, en 2017, la cyberattaque mondiale du ransomware « WannaCry » a frappé plusieurs grandes entreprises et institutions financières, paralysant temporairement leurs systèmes informatiques. Autre exemple : en 2016, la banque centrale du Bangladesh a été victime d’une cyberattaque qui a permis à des hackers de voler 81 millions de dollars via le réseau de paiement SWIFT.
Avec le règlement européen DORA, l’ensemble des acteurs financiers mettront en place les garanties nécessaires pour atténuer les risques liés aux cyberattaques.
Quelles sont les informations essentielles sur la règlementation DORA et comment s’y préparer ?
La règlementation DORA établit les règles en matière de cybersécurité et de gestion des risques informatiques pour les entités financières. Son objectif est de renforcer la résilience opérationnelle numérique des acteurs financiers dont la transformation numérique et l’innovation progressent de manière pragmatique.
Qui est concerné par le règlement DORA ?
Le règlement DORA vise à harmoniser la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication) ; et à la sécurité des réseaux et des systèmes d’information au niveau de l’Union européenne.
Toutes les entités du secteur financier sont concernées, aussi bien les grandes entreprises que les PME :
- Les établissements de crédit ;
- Les sociétés d’investissement ;
- Les sociétés de gestion ;
- Les plateformes de négociation ;
- Les compagnies d’assurance et de réassurance ;
- Les prestataires de services de cryptoactif ;
- Ainsi que les prestataires de services tiers leur fournissant des services informatiques sur des fonctions importantes.
Quelles sont les exigences de DORA ?
Le règlement DORA est structuré autour de cinq exigences clés pour les institutions financières, dont nous vous présentons le détail ci-dessous.
Gestion des risques numériques
Les entreprises doivent établir un cadre solide et fiable pour identifier, évaluer et gérer les risques liés aux TIC.
Test de résilience
Les institutions financières doivent réaliser des tests réguliers, simulant le mode opératoire de véritables attaques cyber, pour vérifier leur capacité à résister aux perturbations majeures. Elles assurent ainsi leur capacité à maintenir leurs opérations essentielles en cas de crise.
Gestion des incidents
Les entreprises doivent disposer de procédures pour détecter, signaler et répondre efficacement aux incidents liés aux TIC. Elles doivent notifier les incidents majeurs et les failles de sécurité aux autorités compétentes (en France : l’AMF ou l’ACPR).
Résilience des tiers
Le règlement impose des exigences strictes pour la gestion des risques liés aux prestataires de services tiers, en s’assurant que les partenaires numériques sont également capables de maintenir des niveaux adéquats de résilience.
Reporting de surveillance
Les entreprises doivent mettre en place des dispositifs de surveillance et de reporting pour assurer la conformité aux exigences de DORA.
Ces cinq piliers visent à garantir que les institutions financières sont bien préparées à faire face aux défis posés par les risques numériques et à protéger l’intégrité et la continuité des services financiers.
Les différentes approches possibles des entités financières
Face aux défis de conformité à la réglementation DORA, les institutions financières ont le choix entre plusieurs approches.
La réévaluation de l’infrastructure TIC
DORA ne se limite pas à prévenir les risques : elle impose aux entreprises de se préparer à réagir de manière rapide et efficace face à une cyberattaque ou à toute autre perturbation numérique. Les entreprises doivent se préparer pour pouvoir identifier les failles – ou encore les zones sensibles et les points d’exposition dans leurs systèmes TIC –, et établir des mesures de sécurité solides pour les protéger.
À cet effet, elles peuvent mettre en place des tests pour simuler différents scénarii d’incidents, et ainsi évaluer la résilience de leurs systèmes et processus.
1.
L’accompagnement par des experts
Les experts en cybersécurité et en conformité réglementaire peuvent fournir des conseils spécifiques et des recommandations sur mesure pour répondre aux normes établies par DORA.
2.
Encourager la communication entre les équipes internes et externes
Une meilleure collaboration entre ces équipes permet de renforcer la sécurité et la prévention aux risques. La gestion des risques TIC ne relève pas seulement de la responsabilité du service de technologies de l’information. Il s’agit d’un enjeu collectif.
3.
La formation et la sensibilisation des salariés
Les employés, notamment ceux qui participent directement à la gestion des risques liés aux TIC, doivent recevoir une formation sur les meilleures pratiques en termes de sécurité.
4.
La supervision des relations avec les prestataires externes
Les entreprises devront s’assurer que leurs prestataires sont en conformité avec les normes de sécurité et de résilience opérationnelle. Pour ce faire, elles devront réaliser des audits périodiques, et établir une communication continue et transparente avec leurs fournisseurs.
5.
L’adoption d’un protocole de communication simple
La règlementation encourage des méthodes de communication claires en matière de gestion des incidents TIC. Ainsi, les équipes devront être en mesure de signaler rapidement tout incident potentiel et mettre en œuvre les procédures pour réduire les répercussions.
6.
La collaboration au sein de l’industrie financière
De manière intrinsèque, en harmonisant les exigences au niveau de l’Union européenne, DORA crée une collaboration sectorielle entre les entités financières par laquelle elles peuvent partager leurs meilleures pratiques.
D’autres règlements majeurs similaires à DORA, tels que le RGPD (Règlement Général sur la Protection des Données) et le NYDFS (New York Department of Financial Services), abordent aussi des aspects liés à la sécurité des données et à la résilience opérationnelle. Mais chacun se concentre sur des enjeux spécifiques et vise des secteurs différents.
Voici un comparatif entre ces trois régulations :
| Règlement | DORA | RGPD | NYDFS |
| Périmètre géographique | Union européenne | Union européenne (international indirect) | État de New York (États-Unis) |
| Secteur | Secteur financier | Tous les secteurs traitants des données personnelles | Secteur financier |
| Objectif principal | Résilience opérationnelle numérique | Protection des données personnelles | Sécurité des systèmes financiers |
| Obligations principales | Gestion des risques IT, supervision des prestataires tiers, signalement d’incidents | Consentement, droits des individus, notification des violations | Programme de cybersécurité, CISO, audits réguliers |
| Incidents à signaler | Incidents technologiques majeurs | Violations de données personnelles | Incidents cyber majeurs dans les 72h |
| Acteurs concernés | Institutions financières, prestataires technologiques | Toute entreprise ou organisation manipulant des données personnelles | Institutions financières sous juridiction NYDFS |
En définitive :
- DORA est spécifiquement axé sur la résilience opérationnelle numérique des institutions financières au sein de l’UE.
- RGPD s’applique à tous les secteurs et vise à protéger les données personnelles des citoyens européens.
- NYDFS, bien qu’il partage des similarités avec DORA en matière de cybersécurité, se concentre principalement sur la réglementation des entreprises financières dans l’État de New York.
Chacune de ces régulations se focalise sur des aspects spécifiques (résilience, protection des données, cybersécurité). Mais toutes reflètent une prise de conscience accrue des risques numériques dans le monde moderne.
Pareillement pour la NIS2 (Directive sur la Sécurité des Réseaux et des Systèmes d’Information) qui présente des similitudes avec DORA, mais affiche un objectif différent qui renforce et complète les dispositions en vigueur.
Là où DORA est spécifiquement axé sur la résilience opérationnelle numérique des institutions financières, NIS2 vise une amélioration plus générale de la cybersécurité pour une variété de secteurs essentiels comme les secteurs de l’énergie, les transports, la santé, l’eau et les infrastructures numériques au sein de l’Union européenne.
Quel calendrier d’application pour le règlement DORA ?
Le règlement DORA est entré en vigueur depuis le 16 janvier 2023. Il entrera en application le 17 janvier 2025 et s’appliquera à l’ensemble des États membres de l’Union européenne. Les entreprises ont deux ans pour se conformer pleinement à ses exigences.
C’est pourquoi l’AMF (Autorité des Marchés Financiers) a appelé les acteurs à se préparer à l’entrée en application de ce texte et à anticiper leurs travaux de mise en conformité.
Conclusion
La réglementation DORA a pour objectif de créer un cadre réglementaire unifié à l’échelle européenne, imposant à toutes les entités financières, quelle que soit leur taille, de respecter des normes strictes en matière de gestion des risques liés aux TIC. Cela englobe non seulement la protection des données sensibles, mais aussi la garantie de la continuité des opérations en cas d’incidents liés aux TIC.
En définitive, elle vise à renforcer la stabilité financière et à préserver la confiance dans l’économie numérique.
Vous avez aimé cet article ?
Abonnez-vous à notre newsletter pour ne rien rater de l’actualité Tech et Finance.
Sources
- https://www.amf-france.org/fr/actualites-publications/actualites/cybersecurite-et-risques-informatiques-lamf-appelle-les-acteurs-se-preparer-lentree-en-application
- https://www.securities-services.societegenerale.com/fr/insights/views/news/dora/
- https://www.lemondeinformatique.fr/desk-okta/livre-blanc-reglementation-dora-quel-role-pour-l-identite-numerique-8427-236.html
- https://www.bis.org/cpmi/publ/d122.htm
Pas encore de commentaires