En France comme ailleurs, la digitalisation accélérée des services financiers a amplifié les risques en matière de cybersécurité et de résilience opérationnelle. C’est dans ce contexte que l’Union européenne a introduit le Digital Operational Resilience Act (DORA), un cadre réglementaire qui vise à renforcer la résilience des institutions financières face aux menaces numériques. Adoptés en novembre 2022 par le Conseil de l’UE, DORA et sa directive associée sont entrés en vigueur le 16 janvier 2023.
Pourquoi DORA ?
Le Digital Operational Resilience Act est une réglementation made in Europe. Elle a en effet été proposée, dès septembre 2020, par nul autre que la Commission européenne, dans le cadre de sa stratégie pour la finance numérique. Pourquoi cette législation est-elle apparue comme nécessaire ? Car les autorités ont pris acte de la vulnérabilité croissante des infrastructures financières aux cyberattaques et aux perturbations technologiques.
DORA vise donc à garantir que toutes les entités financières au sein de l’UE disposent des capacités, des ressources et des outils nécessaires pour prévenir, détecter, gérer et se remettre des incidents liés aux TIC (Technologies de l’Information et de la Communication).
Quels sont les principaux objectifs de DORA ?
- Renforcer la résilience opérationnelle des institutions financières, c’est-à-dire s’assurer que les entités financières peuvent continuer à fonctionner en cas d’incidents perturbateurs.
- Harmoniser les exigences réglementaires à travers l’UE en créant un cadre cohérent et uniforme pour toutes les institutions financières – réduisant ainsi les disparités réglementaires entre les États membres.
- Améliorer la surveillance et la gestion des risques en mettant en place des mécanismes robustes pour identifier et gérer les risques technologiques de manière proactive.
Qui est concerné par DORA ?
DORA s’applique à un (très) large éventail d’entités financières. En voici une liste non-exhaustive :
- les banques et institutions de crédit ;
- les entreprises d’investissement ;
- les assureurs et réassureurs ;
- les sociétés de gestion d’actifs ;
- les infrastructures de marché financier (chambres de compensation, dépositaires centraux de titres) ;
- les prestataires de services de paiement.
Et ce n’est pas tout : DORA impose aussi des obligations aux prestataires tiers qui fournissent des services essentiels aux entités financières. L’interdépendance critique entre ces fournisseurs et le secteur financier est donc (enfin) reconnue !
Les 5 piliers de la réglementation DORA
#1 La gestion des risques
Avant toute chose, DORA exige des entités financières qu’elles mettent en place un cadre de gestion des risques robuste et documenté. Il doit prendre en compte plusieurs volets : prévention, détection, réponse et apprentissage.
Une stratégie de gestion des risques efficace comprend donc :
- la mise en œuvre des mesures de sécurité appropriées pour prévenir les incidents ;
- la surveillance en continu des systèmes pour détecter les incidents et les vulnérabilités ;
- la conception de plans détaillés pour répondre aux incidents et restaurer les services ;
- l’organisation d’évaluations post-incidents pour améliorer les processus et les contrôles.
#2 Les tests de résilience opérationnelle
Les tests de résilience opérationnelle sont le premier niveau de test introduit par DORA. Le principe ? Simuler une attaque informatique contre un actif, afin d’identifier ses principales vulnérabilités.
Obligatoires pour toutes les organisations concernées par DORA, ces tests sont partagés en deux catégories :
- les tests internes, qui doivent être effectués régulièrement pour évaluer la capacité à résister et à se remettre des incidents ;
- les tests de pénétration basés sur les menaces (TIBER-EU), bien plus avancés, qui sont dédiés aux entités critiques.
Les résultats des tests doivent (bien évidemment) être partagés avec les régulateurs pour assurer transparence et conformité en toutes circonstances.
#3 La gestion des tiers et des fournisseurs de services
Ce n’est pas parce que les prestataires de services sont externes à l’entreprise qu’ils ne comptent pas ! Bien au contraire : les relations entretenues avec ces acteurs sont cruciales pour la résilience opérationnelle.
Fidèle à sa mission, DORA impose donc des obligations spécifiques en matière de gestion des tiers :
- mener une évaluation préalable approfondie des fournisseurs avant de conclure les contrats ;
- inclure des clauses contractuelles spécifiques pour garantir la résilience et la sécurité des services fournis ;
- mettre en place des mécanismes de surveillance pour évaluer la performance et les risques des fournisseurs en continu ;
- préparer des plans de sortie pour gérer la résiliation des contrats sans perturber les opérations.
#4 Le reporting des incidents
Prévenir les incidents, c’est bien. Mais quand malheureusement ils arrivent, il ne faut pas les garder pour soi ! Au contraire, la notification des incidents est un axe crucial de la réglementation DORA (et dans la cybersécurité de manière générale).
Pour encadrer cette pratique, DORA impose tout d’abord des délais de notification stricts : les entités doivent notifier les incidents majeurs aux autorités compétentes dans les 24 heures suivant leur détection. Cette exigence de rapidité vise à garantir une réponse rapide et coordonnée pour minimiser les impacts potentiels de l’incident.
Les rapports d’incidents soumis aux autorités doivent être détaillés et complets. Ils doivent inclure :
- la nature de l’incident (description précise de ce qui s’est passé, y compris le type d’attaque ou de panne) ;
- son impact sur les opérations de l’entreprise, les clients, et les partenaires (pertes financières, perturbations de services, atteintes à la sécurité des données…) ;
- les actions adoptées pour contenir et mitiger l’incident (mesures techniques, actions de communication, interventions de reprise d’activité…) ;
- l’analyse des causes de l’incident et la formalisation de mesures préventives destinées à éviter la répétition de tels incidents à l’avenir (améliorations dans les processus de sécurité, mises à jour de logiciels, formations pour le personnel…).
#5 La gouvernance et la surveillance
La réglementation DORA insiste sur la responsabilité du conseil d’administration et de la haute direction des entités financières, qui doivent être directement impliqués dans la gestion des risques. Leur principale obligation ? S’assurer que tout le personnel est formé et conscient des risques et des mesures de résilience.
Mais les régulateurs nationaux et européens ne sont pas en reste : ils ont aussi leur rôle à jouer, puisqu’ils sont chargés de surveiller la conformité, d’effectuer des inspections et d’imposer des sanctions en cas de non-conformité.
DORA met en effet l’accent sur la coopération et la coordination entre différentes autorités de régulation au sein de l’UE. Celles-ci sont tenues, non seulement de partager des informations, mais aussi de travailler ensemble pour garantir la cohérence et l’efficacité de la réponse globale. Ou comment faire rimer collaboration et protection.
Quelles implications pour les institutions financières ?
1. Des investissements technologiques accrus
Depuis l’entrée en vigueur de DORA, les institutions financières doivent investir de manière significative dans leurs infrastructures technologiques pour se conformer à ces nouvelles exigences.
Ces investissements peuvent concerner :
- l’amélioration des systèmes de cybersécurité au global ;
- la mise en place de solutions de surveillance et de détection avancées ;
- l’automatisation des processus de gestion des risques.
Les institutions financières doivent aussi investir dans la formation continue de leur personnel pour s’assurer qu’il comprenne à la fois les nouveaux risques cyber et les protocoles de résilience.
2. La modification des politiques et des procédures
Autre changement : les politiques internes et les procédures opérationnelles des entreprises doivent être révisées pour intégrer les nouvelles exigences de DORA. Plans de continuité d’activité, procédures de réponse aux incidents, protocoles de gestion des fournisseurs… tout doit être mis à jour !
3. L’engagement avec les fournisseurs
Pour s’assurer d’être (et de rester) en conformité avec DORA, les institutions financières doivent renforcer leurs relations avec leurs prestataires de services. Cela peut nécessiter :
- la renégociation des contrats ;
- l’établissement de nouveaux accords de niveau de service (SLA) ;
- l’implémentation de mécanismes de surveillance plus stricts.
Défis de mise en œuvre du Digital Operational Resilience Act
1. Une réglementation complexe
DORA est une réglementation utile et pertinente… mais complexe et exigeante. Alors pour les petites et moyennes entreprises, qui disposent de ressources limitées, il peut être difficile de la mettre en œuvre. Dans tous les cas, la mise en conformité avec DORA demande une planification minutieuse, des investissements considérables et un suivi constant.
Et puisqu’il s’agit ici d’intégrer de nouvelles exigences dans un système existant, les institutions financières doivent s’assurer que leurs systèmes peuvent interagir efficacement avec les nouvelles solutions de résilience et de surveillance.
2. Les enjeux de gestion des tiers
La gestion des fournisseurs de services – qui n’est déjà pas une mince affaire – peut se révéler particulièrement difficile dans le cadre de la réglementation DORA. Les principaux domaines concernés ? La surveillance continue et l’évaluation des risques associés à leurs fournisseurs.
Plusieurs exigences s’imposent alors aux institutions financières :
- implémenter des mécanismes de surveillance et des audits réguliers pour s’assurer que les fournisseurs respectent les normes de sécurité et de résilience opérationnelle ;
- évaluer les risques que posent leurs fournisseurs, notamment en matière de continuité des activités, via des analyses de la chaîne d’approvisionnement complète.
En bref, elles doivent collaborer étroitement avec leurs fournisseurs pour garantir la conformité aux exigences de DORA sans pour autant compromettre les opérations. Cela peut passer par la mise en place de contrats détaillés, des clauses spécifiques sur la gestion des incidents, ou encore des obligations de transparence et de reporting.
3. Une coordination réglementaire incontournable
Pour que la réglementation DORA soit mise en œuvre de façon harmonieuse dans tous les pays concernés, les (multiples) autorités nationales et européennes doivent communiquer et collaborer. L’objectif ? Faire concorder les exigences et processus liés à DORA, pour faciliter la tâche aux entreprises opérant dans plusieurs pays.
C’est une bonne chose – même si du côté des institutions financières, cela signifie naviguer dans un paysage réglementaire encore plus complexe et évolutif… Elles doivent rester vigilantes pour s’adapter aux changements potentiels des réglementations, et ce, via une veille réglementaire continue.
Quels sont les avantages de la réglementation DORA ?
Comme son nom l’indique, le Digital Operational Resilience Act vise à… améliorer la résilience opérationnelle des institutions financières. Son but est simple (mais double) : réduire la probabilité et l’impact des incidents de sécurité, et ainsi renforcer la stabilité et la confiance dans le système financier européen.
1. Réduire les risques
En imposant des exigences strictes en matière de gestion des risques cyber, DORA aide les institutions financières à mieux comprendre et gérer leurs vulnérabilités technologiques. À la clé : des risques réduits en matière de cyberattaques et de perturbations opérationnelles.
2. Entretenir la confiance des consommateurs
DORA contribue à renforcer la confiance des consommateurs dans les services financiers numériques, et ce, en assurant une protection renforcée des données et une résilience opérationnelle accrue. Résultat : puisque les consommateurs savent que leurs données et transactions sont sécurisées, ils sont plus enclins à utiliser ces services.
3. Harmoniser le paysage réglementaire européen
Dernier avantage, et non des moindres : DORA harmonise les exigences de résilience opérationnelle à travers l’UE, créant ainsi un cadre réglementaire cohérent pour toutes les institutions financières. En plus de simplifier et standardiser les processus, cet acte vise à faciliter les opérations transfrontalières.
DORA représente donc une avancée majeure dans la cybersécurité du secteur financier. Son entrée en vigueur récente n’est pas un hasard, puisqu’elle est une réaction à la croissance exponentielle de la menace cyber, en particulier dans un domaine aussi sensible. Pourtant, si on regarde le bon côté des choses, DORA est aussi une occasion de construire un écosystème financier stable et résilient, en lequel les consommateurs pourront avoir confiance.
Et si on passait à la pratique ? Pour vous aider à manager votre mise en conformité avec DORA, jetez un œil à notre webinaire !