Naviguer dans DORA : renforcer la cyber résilience dans les services financiers

Le DORA, règlement européen sur la résilience numérique des services financiers, impose des exigences strictes en matière de cybersécurité, de gestion des risques TIC et de tests de résilience.

Par Lamine Bensaïd, Account Executive chez Appian France

Le Digital Operational Resilience Act (DORA) est un règlement européen majeur visant à renforcer la cybersécurité et la résilience opérationnelle du secteur financier de l'UE. Entrant en vigueur le 17 janvier 2025, il s'appliquera à un large éventail d'institutions financières, incluant les établissements de crédit, de paiement, de monnaie électronique et les entreprises d'investissement. DORA impose des exigences strictes en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC), de tests de résilience, de signalement des incidents et de supervision des prestataires de services TIC critiques. Ce règlement vise à harmoniser les pratiques de cybersécurité dans l'ensemble du secteur financier européen, en réponse aux menaces croissantes et à la dépendance accrue aux infrastructures numériques, comme l'a illustré la panne informatique mondiale de juillet 2024.

La mise en conformité avec DORA représente un défi majeur pour les institutions financières, nécessitant des changements significatifs dans leurs systèmes, processus et gouvernance. Les principales exigences incluent la mise en place de programmes de tests de résilience opérationnelle rigoureux, l'amélioration des processus de gestion des incidents, et le renforcement de la surveillance des prestataires de services TIC critiques. DORA impose également des obligations de communication accrues envers les clients en cas d'incidents majeurs. Bien que ces mesures visent à améliorer la résilience globale du secteur financier, elles peuvent entraîner des coûts importants et des perturbations opérationnelles, en particulier pour les petites entreprises disposant de ressources limitées. Néanmoins, DORA devrait contribuer à renforcer la confiance dans le système financier européen et à stimuler l'innovation en matière de technologies sécurisées.

Complexité et coûts accrus de la conformité

DORA peut entraîner une complexité accrue de la conformité, ce qui entraîne des coûts élevés pour les institutions de services financiers. Ces exigences pourraient nécessiter une refonte importante des cadres de conformité actuels pour répondre aux exigences. Des investissements importants peuvent être nécessaires, en particulier dans les nouvelles technologies et les dépenses consacrées à la formation du personnel et à la réingénierie des processus.

Les normes en matière de TIC et de résilience opérationnelle obligeront les établissements financiers à mettre à niveau leur infrastructure et à améliorer la gestion des données. L'investissement dans l'automatisation et l'IA offre une solution, car ces technologies peuvent aider à gérer de grandes quantités de données et des tâches complexes. Malgré le coût initial élevé de ces technologies, les bénéfices en termes de productivité et d'efficacité, observables à long, voire à terme, surpassent largement l'investissement de départ.

Un virage stratégique vers une conformité centralisée

Compte tenu de la complexité et de la portée de DORA, les institutions financières devront adopter une approche plus centralisée de la conformité réglementaire. Cela implique d'intégrer les efforts de conformité dans l'ensemble de l'organisation plutôt que de les traiter comme des tâches isolées au sein de différents départements.

L'adoption d'un cadre de contrôle centralisé permet aux institutions de mettre en œuvre systématiquement une gouvernance, une gestion des risques et une conformité (GRC) améliorées, de minimiser les redondances et les gaspillages et d'assurer la cohérence entre les différents secteurs d'activité ou fonctions du groupe. Encore une fois, ce changement stratégique souligne également l'importance de l'automatisation dans la conformité réglementaire. L'utilisation de l'IA et de l'automatisation rationalise les workflows de conformité, réduit la charge de travail manuelle, stimule la productivité des employés et améliore les réponses rapides aux changements réglementaires.

S'attaquer à ces implications grâce à l'automatisation

L'automatisation intelligente peut jouer un rôle essentiel pour aider les organisations à surmonter ces défis. En utilisant l'automatisation, la lourdeur des changements réglementaires sera allégée, l'automatisation rationalisant le traitement et garantissant la cohérence entre les différentes lignes d'activité. L'automatisation peut également aider les organisations à rester à jour avec les changements réglementaires et à traiter rapidement tout impact important sur la classification des données et/ou la criticité du service. Par exemple, une organisation peut utiliser l'automatisation des processus pour gérer l'évaluation et l'impact des changements réglementaires dans l'ensemble de son organisation et intégrer un outil d'analyse prospective pour l'alerter des événements réglementaires à venir. L'automatisation de l'orchestration de la gestion des incidents réduit également les temps de réponse mais facilite aussi les réponses et signalements des incidents exigés par DORA.

Utiliser l'IA en complément de l'approche automatisée

Grâce à l'IA, les entreprises peuvent améliorer le flux de données et accélérer la prise de décision. La maîtrise des outils d'IA permet aux organisations d'identifier et de relier rapidement les fonctions de données pertinentes afin d'améliorer considérablement les temps de réponse aux événements à risque et de perfectionner davantage la prise de décision. Cela est particulièrement important dans des environnements sous pression tels que des conditions de marché tendues. Par exemple, la prise en charge des workflows basée sur l'IA peut soulager les tâches du personnel, allégeant ainsi la charge de travail des analystes de la conformité en fournissant aux utilisateurs des informations sur des requêtes similaires précédemment traitées. Cela permet de diriger efficacement les informations entre ceux qui posent des questions et les analystes de la conformité qui y répondent. Cela se traduit globalement par des solutions plus rapides et plus efficaces.

Les implications de DORA pour les institutions de services financiers sont considérables. Qu'il s'agisse d'une gouvernance renforcée, d'une gestion des risques liés aux tiers ou d'une pression sur l'infrastructure technologique ou d'un changement stratégique vers une conformité centralisée, DORA représente un défi réglementaire important. En adoptant une approche proactive et intégrée avec automatisation et résilience accrue, les institutions financières peuvent transformer les défis de conformité en un avantage concurrentiel. L'adoption d'outils de workflows basés sur l'IA peut contribuer à réduire les temps de réponse et les charges manuelles, ce qui se traduit par des réponses plus rapides et plus précises aux incidents et aux défis, ce qui permet en fin de compte de se conformer plus rapidement aux actions réglementaires.