DORA: Sécurité IT et conformité dans le secteur financier
2 min de lecture
Avec le Digital Operational Resilience Act, ou DORA, entré en vigueur en janvier 2023 et devenu juridiquement contraignant deux ans plus tard, l’Union européenne a adopté un règlement visant à renforcer la résilience numérique des établissements financiers et des compagnies d’assurance.
Points clés
- DORA depuis janvier 2023: Digital Operational Resilience Act – règlement de l’UE visant à renforcer la résilience numérique dans le secteur financier.
- Entré en vigueur en janvier 2025: Toutes les entreprises concernées doivent désormais s’y conformer.
- Entreprises concernées: Banques, compagnies d’assurance, marchés boursiers, agences de notation ainsi que leurs prestataires de services informatiques et de télécommunications.
- Principales obligations: Gestion des risques IT, notification des incidents, tests de résilience et surveillance des tiers.
- Responsabilité personnelle: Les dirigeants sont tenus de veiller à la mise en œuvre.
Qu'est-ce que DORA ?
DORA est un levier concret pour les entreprises en 2024, car il influence directement la capacité de datacenter, l'efficacité énergétique et la conformité. Cet article montre, à partir de l'exemple de synaforce, quels indicateurs, exigences et étapes opérationnelles comptent dans la pratique.
DORA, le Digital Operational Resilience Act, constitue une étape majeure vers une plus grande sécurité juridique et informatique dans le secteur financier et assurantiel, sur les marchés financiers, auprès des agences de notation, ainsi que chez les fournisseurs de services informatiques et de télécommunications et les prestataires de solutions liées aux cryptomonnaies.
L’objectif principal de la Commission européenne, à l’origine de ce règlement, est de renforcer la résilience numérique des entreprises et de mettre en place un cadre harmonisé leur permettant de réagir efficacement face aux cybermenaces et aux pannes informatiques.
Les bonnes choses prennent du temps
Comme d’autres règlements et lois de l’Union européenne, DORA (Digital Operational Resilience Act), qui fait partie du paquet financier numérique de la Commission, est officiellement entré en vigueur le 16 janvier 2023, peu après sa publication fin 2022. Les États membres disposent toutefois de deux ans pour sa transposition nationale. En conséquence, les entreprises concernées ainsi que les autorités financières sont tenues de mettre en œuvre les exigences de DORA d’ici au 17 janvier 2025.
DORA approche : les entreprises et les autorités doivent dès maintenant renforcer leur résilience numérique ! Crédit photo : Adobe Stock/ yakub
Son intitulé complet, « Digital Operational Resilience for the Financial Sector and Amending Regulations » (Résilience opérationnelle numérique pour le secteur financier et modification des règlements), indique clairement que l’objectif premier est de renforcer la résilience numérique au sein du secteur financier. Mais les prestataires de services tiers en technologies de l’information et de la communication (TIC) sont également concernés par cette responsabilité. La Commission européenne entend réduire la vulnérabilité aux cybermenaces et aux perturbations tout au long de la chaîne de valeur du secteur financier, et inciter les entreprises concernées à y répondre de manière appropriée.
Ce que contient la réglementation
La réglementation de 79 pages reprend selon Security Insider également des exigences nationales telles que celles de la BaFin et du BSI. Mais s’ajoutent encore de nouveaux éléments. En gros, le Digital Operational Resilience Act comporte cinq thèmes centraux :
- Établissement d’un cadre pour la gestion des risques informatiques
- Gestion, classification et rapport sur les incidents informatiques
- Test de la résilience opérationnelle
- Gestion des risques liés aux fournisseurs tiers
- Création d’un cadre de surveillance pour les prestataires de services critiques
La gestion des risques informatiques est ancrée au niveau juridique et n’est plus seulement une disposition administrative. La responsabilité globale incombe en principe à la direction de l’entreprise financière ou assurancière. Cette dernière est obligée de surveiller, contrôler et mettre à jour continuellement ses systèmes informatiques. De plus, les entreprises doivent également définir et mettre en place des stratégies pour les sauvegardes et la récupération, ainsi que préparer des documents de risque pour les audits internes et externes.
La responsabilité reste chez les entreprises financières
DORA exige : les entreprises financières portent la responsabilité – même pour leurs fournisseurs de services IT ! Source de l’image : Adobe Stock/ lovelyday12
DORA prévoit également des procédures pour la classification d’incidents ITK qui doivent être déclarés dans une certaine mesure ainsi qu’une vérification des systèmes informatiques par des méthodes d’essai appropriées. Pour les organisations considérées comme critiques, les exigences sont plus élevées.
Un élément important du règlement est que les entreprises financières sont tenues de veiller au gestion des risques auprès de leurs fournisseurs de services ITK, le cadre de surveillance des fournisseurs de services tiers critiques étant doté de pouvoirs étendus.
En ce qui concerne les domaines d’application mentionnés précédemment pour les entreprises concernées, DORA permet également des exceptions nationales pour les banques de développement. Sinon, le règlement s’applique obligatoirement aux entreprises du secteur financier et assurantiel.
Étant donné les mesures obligatoires et le délai toujours plus court, il est nécessaire d’avoir un partenaire fort et compétent à ses côtés.
Questions fréquentes
Qu’est-ce que DORA ?
L’Acte de résilience opérationnelle numérique (DORA) est un règlement de l’Union européenne visant à renforcer la résilience numérique des établissements financiers. Contrairement à une directive, DORA s’applique directement dans tous les États membres de l’UE sans nécessiter de transposition nationale.
Qui est concerné par DORA ?
Tous les établissements financiers soumis à une régulation : banques, assurances, sociétés de bourse, marchés organisés, agences de notation, prestataires de services de paiement ainsi que leurs fournisseurs critiques de services informatiques et de télécommunications (ICT). Sont également soumis à la régulation les fournisseurs de cloud et centres de données qui soutiennent des acteurs du secteur financier.
En quoi DORA se distingue-t-elle de NIS2 ?
DORA est spécifique au secteur financier, tandis que NIS2 s’applique de manière transversale à plusieurs secteurs. DORA va plus loin que NIS2 dans de nombreux domaines, notamment en matière d’obligations relatives aux tests de résilience et au suivi des tiers. Pour les entreprises financières, DORA, en tant que texte réglementaire ciblé, prévaut sur NIS2.
Quelles actions concrètes doivent mener les entreprises ?
Mettre en place un cadre complet de gestion des risques liés aux technologies de l’information et de la communication (ICT), instaurer des procédures de réponse aux incidents avec obligation de déclaration sous 4 heures, réaliser régulièrement des tests de résilience (y compris des tests d’intrusion), et surveiller et sécuriser contractuellement tous leurs prestataires ICT critiques.
Quel rôle joue le prestataire ICT dans le cadre de DORA ?
Les prestataires ICT critiques sont pour la première fois soumis à une surveillance directe par les autorités de contrôle européennes. Les établissements financiers doivent tenir un registre de toutes leurs parties tierces ICT, évaluer les risques de concentration et disposer de stratégies d’exits préalables.
Lecture complémentaire dans le réseau
NIS2 – La perspective transsectorielle : NIS2 : Agir maintenant (Security Today)
Conformité cloud pour les établissements financiers : cloudmagazin.com
Résilience numérique comme enjeu de management : digital-chiefs.de
Articles connexes
Plus d’informations sur le réseau MBF Media
cloudmagazin | MyBusinessFuture | Digital Chiefs
Source de la photo de couverture : Adobe Stock / Maxim
Plus sur ce sujet synaforce
Des exemples d'usage, des services et des repères complémentaires sont disponibles chez synaforce pour les services de datacenter et d'infrastructure.
