La réglementation DORA (Digital Operational Resilience Act) est une proposition de règlement de l’Union Européenne qui vise à renforcer la résilience opérationnelle des entités financières face aux risques numériques.
Cette réglementation est née face à la dépendance du secteur financier lié aux technologies, il est donc essentiel de garantir la sécurité et la résilience de ces systèmes. Elle s’appliquera à partir du 17 janvier 2025 à l’ensemble des Etats membres de l’UE à un large éventail d’entités financières, y compris les banques, les compagnies d’assurance, les sociétés d’investissement et les fournisseurs de services de paiement. Elle peut également s’appliquer aux fournisseurs de services informatiques. Ces derniers fournissent des services essentiels ou importants aux entités financières.
Les Impératifs de la Réglementation DORA pour les Entités Financières
La réglementation DORA se concentre sur le renforcement de la résilience des entités financières face aux risques informatiques et cyber. Ces risques, comprenant des attaques cybernétiques, des défaillances logicielles ou matérielles, ainsi que des erreurs humaines, peuvent compromettre la sécurité des systèmes informatiques. Afin de répondre à ces défis, DORA impose aux entités financières d’adopter des mesures de sécurité robustes, de réaliser des tests et des évaluations réguliers de leur résilience, et d’avoir des plans opérationnels prêts pour réagir aux incidents.
Dans ce contexte, les établissements financiers devront investir dans des systèmes de sécurité solides, impliquant potentiellement l’acquisition de nouvelles technologies, la mise à niveau des systèmes existants, et la formation du personnel aux meilleures pratiques en matière de sécurité informatique. Parallèlement, des investissements seront nécessaires pour garantir la résilience opérationnelle, comprenant la mise en œuvre de plans de gestion des incidents, la création de systèmes de sauvegarde et de récupération, ainsi que des processus réguliers de test et d’évaluation de la résilience.
En outre, la conformité réglementaire selon DORA exige des établissements financiers qu’ils respectent des normes et des exigences spécifiques. Cela pourrait englober la mise en place de systèmes pour surveiller et signaler les incidents informatiques, l’établissement de processus pour tester et évaluer la résilience, ainsi que la mise en œuvre de mécanismes de gestion des risques informatiques et cybernétiques.
Les piliers de la réglementation DORA
La réglementation DORA repose sur plusieurs piliers clés :
- Gouvernance des risques informatiques : Les entités financières doivent mettre en place des cadres de gouvernance et des contrôles internes assurant une gestion judicieuse et efficace de tous les risques informatiques, visant ainsi à atteindre un niveau élevé de résilience opérationnelle numérique.
- Mesures de sécurité : Les entités financières doivent mettre en place des mesures de sécurité préventives appropriées pour protéger leurs systèmes informatiques contre les risques.
- Tests et évaluations : Les entités financières sont tenues de développer, maintenir et périodiquement réévaluer un programme exhaustif de tests de résilience opérationnelle numérique. L’objectif est d’évaluer leur résilience face aux risques informatiques en vue de prendre des mesures correctives.
- Gestion des incidents : Les entités financières doivent assurer une gestion efficace des risques associés aux prestataires tiers de services informatiques, en établissant des relations contractuelles robustes.
- Partage d’informations : Les entités financières seront encouragées à partager l’information, notamment en sensibilisant aux cybermenaces. Ces dispositifs de partage doivent être instaurés au sein de communautés d’entités financières de confiance, en assurant la protection de la sensibilité des informations conformément aux règles de confidentialité et aux principes de protection des données personnelles applicables.
La réglementation DORA représente à la fois un défi et une opportunité pour les établissements financiers. Bien qu’elle exige d’eux qu’ils investissent dans la mise en place de systèmes et de processus pour gérer les risques informatiques et cybernétiques, elle offre également une occasion de renforcer leur sécurité et leur résilience, et de gagner la confiance des clients et des régulateurs. En se préparant dès maintenant à la mise en œuvre de la réglementation DORA, les établissements financiers peuvent se positionner en tant que leaders en matière de sécurité et de résilience opérationnelle numérique.
Les dates à retenir :
Conclusion
La réglementation DORA représente une étape importante dans le renforcement de la résilience opérationnelle des entités financières face aux risques numériques. En établissant des normes claires et cohérentes pour la gestion des risques informatiques et cybernétiques, elle vise à garantir la stabilité et la sécurité du secteur financier dans un environnement de plus en plus numérique. Alors que le secteur financier continue d’évoluer et de s’adapter aux nouvelles technologies, la réglementation DORA sera un outil essentiel pour garantir que ces changements se font de manière sûre et résiliente.
