DORA : pourquoi le secteur financier devrait-il adopter une plus grande résilience opérationnelle ?

La réglementation européenne sur la résilience numérique (DORA) doit entrer en application dans un an afin de combattre les risques liés à la transformation numérique du secteur financier.

Le règlement DORA, une initiative législative de l'Union européenne, est particulièrement pertinent dans un monde de plus en plus numérisé, où les cyberattaques et autres incidents numériques peuvent avoir des répercussions majeures sur la stabilité financière. Pour ceux et celles qui ne seraient pas encore totalement aux faits des tenants et aboutissants autour de ce sujet, voici une vue d’ensemble.

La réglementation DORA couvre les acteurs du secteur financier, incluant les banques, les sociétés d'investissement, les prestataires de services de paiement, les émetteurs de monnaie électronique, les gestionnaires d'actifs, ainsi que les compagnies d'assurance et de réassurance (et les intermédiaires dans ces domaines). En outre, il s'adresse également aux fournisseurs de services technologiques de l'information et de la communication (TIC) qui exercent leurs activités dans le secteur des services financiers au sein de l'Union européenne. 

À compter du 17 janvier 2025 tous les prestataires de services financiers seront dans l’obligation de se conformer aux exigences du règlement DORA, faute de quoi, selon la gravité de l’infraction et du degré de coopération avec les autorités, ils sont passibles d’une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires mondial annuel. 

Voici les principales obligations imposées. Véritables axes de protection et d’amélioration, ces piliers permettent de construire et d’encadrer la résilience opérationnelle numérique du secteur financier.

• Gestion des risques TIC (technologies de l'information et de la communication) : Les entités financières doivent mettre en place et maintenir des cadres robustes de gestion des risques TIC. Cela implique l'identification, la classification, et le traitement des risques TIC, en assurant une surveillance et des tests réguliers.
• Signalement des incidents majeurs et mécanismes de réponse : La réglementation exige une préparation adéquate pour répondre aux incidents majeurs. Les entités doivent établir des plans de réponse aux incidents, y compris des procédures pour limiter les dommages et récupérer rapidement.
• Résilience opérationnelle et tests : Les entreprises doivent démontrer leur capacité à fonctionner de manière continue et efficace, même en cas de perturbation grave. Cela inclut la mise en œuvre de stratégies de continuité des activités et de plans de récupération après sinistre.
• Test de résilience : Les tests réguliers sont cruciaux pour évaluer l'efficacité des mesures de sécurité et de résilience. La réglementation DORA encourage les tests de pénétration et les simulations de crise pour identifier et corriger les vulnérabilités.
• Gestion des fournisseurs de services TIC tiers : Étant donné la dépendance croissante vis-à-vis des fournisseurs externes, la réglementation insiste sur une gestion rigoureuse de ces relations. Les entités financières doivent s'assurer que leurs fournisseurs respectent également des normes élevées de sécurité et de résilience.
• Transparence et reporting : Les sociétés de services financiers sont tenues de rendre compte de leur conformité et de leurs performances en matière de résilience numérique. Cela inclut la notification des incidents majeurs aux autorités réglementaires.
• Partage de connaissance et coopération transfrontalière : La réglementation encourage une collaboration étroite entre les entités financières et les autorités réglementaires à l'échelle européenne, en vue de partager les meilleures pratiques et d'harmoniser les approches en matière de résilience numérique.

Avec tout juste une année pour se préparer à répondre aux obligations qu’imposent DORA, les acteurs du secteur financier ont besoin de mettre en place des solutions qui peuvent les aider à se conformer à toutes les exigences citées. Compte tenu de la complexité des attentes et des enjeux, beaucoup recherchent des solutions qui leur permettent une visibilité globale en temps réel et la mise en place d’un système unifié avec un seul point de contrôle pour gérer et protéger leurs données, quel que soit leur emplacement de stockage. La solution choisie doit permettre aux organisations d’améliorer leur résilience dans les situations de reprise après sinistre. Une simple protection ne suffit plus pour assurer la continuité des activités. Les entreprises doivent s'attendre à une attaque, d’où l’importance d’une résilience opérationnelle robuste et à l’échelle, pour prévenir les perturbations, s'y adapter et y répondre adéquatement.

En résumé, en plus d’être une date incontournable de l’agenda des douze prochains mois, la réglementation DORA est une étape importante vers une plus grande robustesse et résilience du secteur financier face aux défis numériques. Elle impose des exigences strictes mais nécessaires pour garantir que les acteurs financiers soient préparés à faire face aux incidents numériques et à en minimiser l'impact sur leurs opérations et sur l'ensemble du système financier.