Le secteur financier est un élément clé de l'économie mondiale et doit être en mesure de résister aux cyberattaques et autres perturbations.
Pour répondre à cette exigence, le Parlement européen a adopté en novembre 2022 le règlement DORA (Digital Operational Resilience Act). Ce cadre législatif vise à améliorer et homogénéiser la résilience opérationnelle du secteur financier en s'appuyant sur les technologies de l'information et de la communication (TIC). Dans cet article, nous examinerons les principales exigences de DORA, ainsi que ses implications pour les entreprises et organisations du secteur financier.
Objectifs de DORA
DORA a pour objectif d'assurer que les systèmes et services essentiels des TIC utilisés par les entreprises du secteur financier soient fiables, sûrs et capables de résister et de se rétablir après des cyberattaques ou d'autres perturbations. Le règlement s'adresse aux entreprises et organisations actives dans le secteur financier, ainsi qu'aux tiers critiques fournissant des services liés aux TIC, tels que les plateformes d'informatique cloud ou les services d'analyse de données.
Principales exigences de DORA
Gouvernance active de la direction : Les dirigeants des entreprises et organisations du secteur financier doivent jouer un rôle actif dans le pilotage de la résilience des systèmes. Cela implique une prise de décision éclairée, une supervision régulière et un engagement en matière de cybersécurité et de résilience opérationnelle.
Cartographie, test et analyse d'impact de la résilience des systèmes : Les entreprises et organisations sont tenues d'identifier et de cartographier leurs systèmes critiques, de réaliser des tests réguliers et des analyses d'impact pour évaluer leur résilience face aux cyberattaques et autres perturbations.
Signalement aux autorités des incidents affectant les systèmes : Les entreprises et organisations doivent signaler aux autorités compétentes les incidents de sécurité ayant un impact significatif sur la continuité de leurs services financiers.
Encadrement des risques liés aux tiers prestataires de services informatiques : Les entreprises et organisations doivent mettre en place des mécanismes de gestion des risques pour les prestataires de services informatiques tiers, tels que les plateformes d'informatique cloud ou les services d'analyse de données. Cela inclut la sélection, la supervision et la gestion des contrats avec ces prestataires.
Supervision par les autorités nationales du respect du règlement DORA : Les autorités nationales de supervision sont chargées de surveiller la conformité des entreprises et organisations du secteur financier avec les exigences de DORA, ainsi que de prendre des mesures en cas de non-conformité.
Partage d'informations entre établissements financiers sur les cybermenaces existantes : Le règlement encourage la coopération et l'échange d'informations entre les acteurs du secteur financier afin d'identifier et de contrer les menaces et les vulnérabilités liées à la cybersécurité.
Calendrier
DORA a été publié au Journal officiel en décembre 2022 et entrera en vigueur 24 mois après sa publication, soit en décembre 2024. Les entreprises et organisations du secteur financier, ainsi que les tiers critiques fournissant des services liés aux TIC, disposent donc de ce délai pour se conformer aux exigences du règlement.
Conclusion
Le règlement DORA représente une étape importante pour renforcer la résilience opérationnelle du secteur financier en Europe. Les entreprises et organisations concernées doivent prendre des mesures pour se conformer à ce cadre réglementaire, notamment en matière de gouvernance, de gestion des risques liés aux prestataires de services informatiques tiers, et de partage d'informations sur les cybermenaces.
En mettant en œuvre les exigences de DORA, les acteurs du secteur financier pourront garantir la fiabilité et la sécurité de leurs systèmes et services essentiels, renforçant ainsi leur capacité à résister et à se rétablir après des cyberattaques ou d'autres perturbations. Cela contribuera à la stabilité et à la confiance dans le secteur financier, favorisant une croissance économique durable et protégeant les intérêts des clients et des investisseurs.
À long terme, la mise en œuvre réussie de DORA pourrait servir de modèle pour d'autres secteurs et régions du monde, en soulignant l'importance de la résilience opérationnelle et de la cybersécurité dans un environnement de plus en plus numérisé et interconnecté.
Les entreprises et organisations du secteur financier doivent donc considérer DORA comme une opportunité pour améliorer leurs pratiques en matière de cybersécurité et de résilience opérationnelle, en investissant dans les compétences, les technologies et les processus nécessaires pour assurer leur conformité et renforcer leur position sur le marché. En fin de compte, une mise en œuvre efficace de DORA bénéficiera à l'ensemble du secteur financier et à l'économie européenne.
Vous souhaitez mettre à niveau votre dispositif en anticipation de DORA ? Contactez nous à l'adresse suivante : contact@onebird.fr