Qu’est-ce que le règlement DORA (Digital Operational Resilience Act) ?

Dans une époque marquée par une évolution rapide de la digitalisation, le secteur financier est confronté à de nouveaux défis complexes. L’essor des solutions métier basées sur Cloud et l’interconnexion des systèmes, des données et des processus métier génèrent à la fois des opportunités importantes et des risques majeurs, notamment en matière de cybersécurité. Les cyberattaques peuvent compromettre des données confidentielles, provoquer des interruptions de service, entraîner des pertes financières significatives, perturber les opérations, voire menacer la stabilité de l’ensemble du système financier.

Pour répondre à ces enjeux, le nouveau règlement européen DORA (Digital Operational Resilience Act) entrera en vigueur début 2025. Ce texte impose aux institutions financières de renforcer leur résilience opérationnelle numérique en gérant de manière globale les risques liés aux technologies de l’information et de la communication (TIC), afin de faire face à des menaces de plus en plus nombreuses.

Afin de vous aider à anticiper ces évolutions, cet article vous fournit tout ce que vous devez savoir sur DORA : de ses principes fondamentaux jusqu’aux recommandations concrètes pour intégrer ce règlement à votre stratégie de cybersécurité.

DORA est un nouveau règlement de l’Union européenne en vigueur depuis janvier 2025. Il vise à renforcer la résilience numérique et les normes de sécurité des TIC dans le secteur financier. Ce règlement couvre la protection contre les dysfonctionnements des TIC et les cybermenaces. Il exige des organisations concernées qu’elles mettent en place des systèmes solides de gestion des risques liés aux TIC, y compris la prise en compte des prestataires tiers, la déclaration des incidents cyber et la réalisation régulière de tests de résilience destinés à évaluer leur capacité à résister aux attaques les plus sophistiquées. L’ensemble de ces mesures contribue à atteindre les objectifs fondamentaux de DORA : garantir la continuité des services financiers et maintenir la confiance des utilisateurs.

Dans un monde financier de plus en plus digitalisé et interconnecté, les risques de cyberattaques et de défaillances informatiques augmentent considérablement, menaçant potentiellement la stabilité de l’ensemble du système financier. Face à ces enjeux, un renforcement de la sécurité s’impose et c’est précisément le rôle de DORA.

Ce règlement vise à établir un cadre unifié pour la résilience numérique du secteur financier. Il optimise les capacités de prévention, de détection, de réponse et de rétablissement en cas d’incident ou de menace. Cette approche structurée permet de réduire de manière significative les risques systémiques et de renforcer la stabilité des marchés financiers au sein de l’Union européenne.

Les autorités de supervision joueront un rôle clé dans la mise en œuvre de DORA. Elles auront le pouvoir de réaliser des inspections, de demander des informations, et de sanctionner les institutions financières non conformes, par le biais d’amendes ou d’autres mesures correctives.

Découvrez les sanctions en cas de non-conformité à DORA et comment les éviter.

DORA repose sur cinq piliers fondamentaux, chacun visant à renforcer la cybersécurité, réduire les risques et promouvoir une approche harmonisée au sein de l’Union européenne :

La mise en place d’un système solide de gestion des risques liés aux TIC, incluant une gouvernance claire et une supervision au niveau du conseil d’administration.

Le développement d’indicateurs d’alerte précoce pour classer, signaler et traiter les incidents, garantissant ainsi des actions de suivi rapides.

L’élaboration de plans de continuité, réalisation régulière de tests de résilience, dont des tests d’intrusion ciblés ou tests de pénétration fondés sur la menace (Threat-Led Penetration Testing – TLPT), formation du personnel et évaluation des résultats.

Le suivi et l’évaluation des dépendances aux prestataires tiers de services TIC, y compris les accords contractuels et la supervision des prestataires critiques de services.

La mise en place de mécanismes structurés d’échange d’informations sur les cybermenaces et les incidents, dans le respect des exigences en matière de sécurité, de confidentialité et de concurrence.

DORA concerne de nombreux acteurs du secteur financier et numérique, notamment :

• Les banques et établissements de crédit
• Les compagnies d’assurance et de réassurance
• Les prestataires de services de paiement et les établissements de monnaie électronique
• Les entreprises d’investissement et les bourses

Cette portée étendue garantit que l’ensemble de l’écosystème financier respecte des normes de résilience unifiées.

Le règlement européen, entré en vigueur le 16 janvier 2023, accorde aux entreprises du secteur financier un délai de deux ans pour sa mise en œuvre complète. D’ici janvier 2025, toutes les exigences devront être respectées afin de garantir la résilience et la sécurité numériques.

Au premier semestre 2024, des lignes directrices ont été publiées concernant le cadre de gestion des risques liés aux TIC, la sécurité opérationnelle, la classification des incidents, et la gestion des risques liés aux prestataires TIC tiers. Au second semestre 2024, d’autres normes techniques réglementaires (Regulatory Technical Standards ou RTS) et normes techniques d’exécution (Implementing Technical Standards ou ITS) viendront compléter ce cadre. Elles porteront notamment sur les obligations de déclaration des incidents TIC, les critères et méthodes d’évaluation de la résilience opérationnelle numérique, ainsi que les règles encadrant la sous-traitance en cascade (sub-outsourcing).

L’utilisation des outils adéquats est une étape déterminante pour renforcer la cybersécurité et garantir la conformité aux cadres réglementaires comme DORA. Voici quelques-uns des principaux domaines dans lesquels cet outil jouent un rôle essentiel :

L’intégration sans friction de l’ensemble des exigences de DORA.

Des modèles permettant d’évaluer les risques.

L’identification et la gestion des risques.

La mise à disposition de mesures de réduction des risques directement applicables.

Des évaluations automatisées, du suivi en temps réel et des workflows de gestion des incidents alignés sur les piliers fondamentaux de DORA, garantissant une conformité rapide aux exigences de déclaration.

ADOGRC offre plusieurs avantages clés pour faciliter la conformité à DORA et renforcer la cybersécurité :

• Efficacité accrue : Automatisation des processus et réduction des erreurs manuelles.
• Transparence : Visualisation claire des risques et des mesures associées.
• Conformité : Respect des exigences de DORA et des autres réglementations applicables.
• Scalabilité : Adaptation flexible à l’évolution des besoins de votre organisation.

Face à l’augmentation continue des cyberattaques et des perturbations informatiques, le règlement DORA marque une étape clé dans l’amélioration de la résilience cybernétique du secteur financier européen. À l’approche de la date limite de mise en œuvre, il est essentiel pour les institutions financières d’intégrer ces mesures et d’adopter des outils performants pour assurer leur conformité et renforcer leurs défenses. Grâce à ADOGRC, vous pouvez non seulement répondre efficacement aux exigences réglementaires mais aussi protéger votre organisation contre l’évolution des cybermenaces, assurant ainsi un avenir plus sécurisé et résilient pour votre organisation.