Dans un monde où les technologies de l'information et de la communication (TIC) jouent un rôle essentiel dans le secteur financier, la sécurité et la résilience opérationnelle sont devenues des priorités. La réglementation DORA, incarnée par le règlement européen DORA (Digital Operational Resilience Act), a été conçue pour renforcer la capacité des entités financières à faire face aux cybermenaces et aux risques liés aux TIC, garantissant ainsi la stabilité des services financiers dans l'Union Européenne.

Issu du « Digital finance package » de l'Union Européenne, DORA marque une avancée majeure en unifiant la gestion des risques informatiques dans le secteur financier. Grâce à des normes et règles contraignantes, il assure que les entités soient prêtes à répondre aux défis de la cybersécurité et à maintenir leurs activités en cas d'incidents majeurs.

Dans cet article, découvrez les implications de DORA, ses obligations, et comment Board of Cyber peut vous accompagner dans votre mise en conformité.

Qu'est-ce que DORA ?

DORA, ou Digital Operational Resilience Act, est une réglementation européenne conçue pour renforcer la résilience opérationnelle numérique des entités financières. Cette directive DORA, proposée par l'Union Européenne dans le cadre de sa stratégie de gestion des risques numériques, est entrée en application le 16 janvier 2023.

Les objectifs principaux de la directive DORA sont à la fois multiples et ambitieux. Premièrement, elle vise à renforcer la résilience opérationnelle des institutions financières, en veillant à ce qu'elles puissent continuer à fonctionner sans interruption significative, même face à des incidents perturbateurs tels que des cyberattaques, des pannes techniques ou des catastrophes naturelles.

Deuxièmement, la norme DORA cherche à harmoniser les exigences réglementaires à travers l'Union Européenne. En établissant un cadre cohérent et uniforme pour toutes les institutions financières, cette réglementation réduit les disparités entre les États membres et favorise une approche coordonnée en matière de gestion des risques technologiques.

Enfin, DORA améliore la surveillance et la gestion proactive des risques. Elle introduit des mécanismes robustes pour identifier et gérer les risques technologiques, notamment à travers des tests de résilience réguliers. Ces tests permettent de détecter les faiblesses des systèmes et de maintenir un niveau élevé de service, quelles que soient les circonstances.

À qui s'applique DORA ?

DORA s'applique à un large éventail d'entités financières, assurant ainsi une couverture exhaustive du secteur financier européen. Ces entités incluent, mais ne sont pas limitées à :

• Les banques
• Les sociétés de gestion de portefeuille
• Les entreprises d'assurance et de réassurance
• Les institutions de retraite professionnelle
• Les entreprises d'investissement
• Les établissements de monnaie électronique

Un aspect important de DORA concerne les prestataires tiers de services TIC, en particulier ceux considérés comme « critiques ». Ces prestataires sont ceux dont les services peuvent avoir un impact systémique sur la stabilité, la continuité ou la qualité des services financiers dans l'Union Européenne.

DORA impose un cadre de supervision renforcé pour ces prestataires, incluant :

• De nouvelles exigences contractuelles
• La tenue d’un registre d’information des accords contractuels conclus avec ces prestataires

Ces dispositions garantissent que les entités financières exercent un contrôle adéquat sur les risques liés à l'utilisation de services TIC fournis par des tiers. Elles assurent également que ces prestataires respectent les normes de sécurité et de résilience opérationnelle exigées par DORA.

En minimisant les risques potentiels liés à la dépendance envers ces prestataires tiers, DORA contribue à maintenir la stabilité du système financier.

Quelles sont les obligations imposées par DORA ?

DORA, ou Digital Operational Resilience Act, impose plusieurs obligations essentielles aux entités financières afin de renforcer leur résilience opérationnelle numérique. Voici les principales exigences de cette réglementation :

Gestion des risques liés aux TIC : DORA exige que les entités financières mettent en place un cadre robuste de gestion des risques liés aux technologies de l'information et de la communication (TIC). Ce cadre doit être intégré dans leur stratégie globale de gestion des risques. Il permet d'identifier, de gérer et de réduire les risques associés aux TIC, y compris les risques cybernétiques.

Notification des incidents majeurs : Les entités financières doivent notifier aux autorités compétentes les incidents majeurs liés aux TIC susceptibles d'affecter la stabilité, la continuité ou la qualité des services financiers. Cette notification doit être réalisée dans un délai précis afin de permettre une réaction rapide et coordonnée.

Tests de résilience opérationnelle numérique : DORA impose la réalisation régulière de tests de résilience opérationnelle numérique. Ces tests permettent d'évaluer la capacité des systèmes et des processus à résister à des perturbations ou des attaques, tout en identifiant les éventuelles faiblesses qui pourraient être exploitées.

Gestion des prestataires tiers de services TIC : La réglementation exige des entités financières de respecter des obligations contractuelles spécifiques avec leurs prestataires tiers de services TIC, notamment ceux jugés critiques. Cela inclut la tenue d’un registre détaillé des accords contractuels et la gestion proactive des risques liés à ces prestataires, afin de garantir que leurs services ne compromettent pas la résilience opérationnelle.

Partage d’informations : DORA encourage le partage volontaire d’informations opérationnelles concernant les menaces cybernétiques et les vulnérabilités entre les acteurs du secteur financier. Cet échange d'informations vise à améliorer la connaissance collective des risques et à renforcer la coopération pour une gestion efficace des menaces.

DORA et NIS 2 : quelles différences ?

DORA (Digital Operational Resilience Act) et NIS 2 (Directive sur la sécurité des réseaux et des systèmes d'information) sont deux cadres réglementaires européens conçus pour renforcer la sécurité et la résilience des systèmes informatiques. Bien qu'ils poursuivent des objectifs similaires, ils présentent plusieurs différences clés en termes d'objectifs, de périmètres et d'articulation juridique. La réglementation DORA, quant à elle, est spécifiquement orientée vers le secteur financier.

Objectifs : Les objectifs de DORA et NIS 2 diffèrent de manière significative. DORA se concentre spécifiquement sur la résilience opérationnelle numérique dans le secteur financier. Son but est de garantir que les institutions financières continuent de fonctionner sans interruption majeure en cas d'incidents liés aux TIC.

À l'inverse, NIS 2 a une portée plus large. Elle vise à sécuriser les infrastructures critiques contre les menaces externes et à améliorer la cybersécurité dans divers secteurs, allant des systèmes d'approvisionnement en eau aux plateformes de marché en ligne.

Périmètres : Le périmètre d'application de DORA est beaucoup plus restreint que celui de NIS 2. DORA s'applique exclusivement aux entités financières et à leurs prestataires tiers de services TIC. En revanche, NIS 2 couvre un éventail beaucoup plus large de services essentiels et importants, tels que l'énergie, le transport et même le secteur bancaire.

Articulation juridique (lex specialis) : DORA est une réglementation sectorielle spécifique, ce qui signifie qu'elle établit des exigences précises et détaillées pour le secteur financier. À l'opposé, NIS 2 est une directive qui laisse aux États membres la liberté d'adapter leurs propres règles en fonction de leurs besoins.

Cette distinction fait de DORA une lex specialis par rapport à NIS 2, offrant un cadre plus uniforme et cohérent pour le secteur financier.

Exigences en matière de tests et de gestion des risques : La directive DORA impose des tests de résilience opérationnelle, y compris des tests de pénétration. Ces tests permettent de simuler des scénarios tels que des cyberattaques ou des perturbations causées par des menaces de sécurité, afin d'évaluer la capacité des organisations à maintenir leurs services dans de telles situations.

De son côté, NIS 2 met l'accent sur la gestion des risques et les exigences de gouvernance, sans pour autant inclure des tests de pénétration spécifiques.

Notification des incidents : NIS 2 impose des délais plus stricts pour la notification des incidents de cybersécurité, insistant sur une communication rapide et efficace entre les secteurs. En revanche, DORA privilégie la standardisation des réponses et des notifications pour les incidents touchant les systèmes financiers.

Comment se préparer à DORA ?

La préparation à la mise en œuvre de DORA nécessite une approche structurée et proactive. Voici les grandes étapes à suivre pour garantir la conformité et renforcer la résilience opérationnelle numérique de votre organisation :

Évaluation et analyse des gaps : La première étape consiste à réaliser une évaluation approfondie des risques et une analyse des gaps entre les pratiques actuelles et les exigences de DORA. Cela inclut :

• La conduite d’une analyse de risques pour identifier les vulnérabilités potentielles et les menaces.
• Un gap analysis pour déterminer les mesures nécessaires afin de se conformer aux nouvelles réglementations.

Mise en place d'un cadre de gestion des risques : Il est essentiel d’établir un cadre robuste pour la gestion des risques liés aux TIC. Cela implique :

• L’établissement de frameworks pour l’évaluation continue des risques, leur mitigation, et la mise en œuvre de plans de réponse aux incidents.
• L’intégration de données analytiques pour détecter les anomalies et les menaces.
• La formation du personnel pour garantir une réaction efficace en cas d’incident.

Sensibilisation et formation des équipes : La sensibilisation et la formation des équipes sont essentielles pour une mise en œuvre réussie de DORA. Pour cela, il est recommandé de :

• Collaborer avec les équipes de conformité corporative et de développement des compétences.
• Mettre en place des programmes de formation à l’échelle de l’organisation pour renforcer la résilience opérationnelle.
• S’assurer que tous les employés soient informés des nouvelles exigences et procédures.

Recours à des experts et à la technologie : Faire appel à des experts en cybersécurité et en gestion des risques peut grandement faciliter la préparation à DORA. De plus :

• L’utilisation de technologies avancées peut accélérer la mise en place d’un programme de résilience opérationnelle.
• Ces technologies incluent les tests de pénétration et la gestion des incidents.

Il est important de valider ces tests et processus avec les régulateurs avant la date limite de conformité.

Mise en place de mécanismes de partage d'informations : DORA encourage le partage d’informations entre les entités financières pour améliorer la connaissance commune des risques et renforcer la coopération. Pour cela :

• Organisez des arrangements pour le partage d’informations opérationnelles relatives aux menaces cyber et aux vulnérabilités.
• Contribuez ainsi à renforcer la résilience opérationnelle numérique globale du secteur.

Tests de résilience et notification des incidents : Enfin, il est essentiel de :

• Planifier et exécuter des tests de résilience opérationnelle, y compris des tests de pénétration, pour simuler des scénarios de cyberattaques ou de perturbations.
• Mettre en place des procédures standardisées pour la notification rapide des incidents majeurs aux autorités compétentes.
• Aligner les méthodologies de classification des incidents avec les exigences de DORA.

Comment Board of Cyber peut vous accompagner ?

La conformité à DORA nécessite une approche exhaustive et spécialisée, en particulier dans les domaines de la cybersécurité et de la résilience opérationnelle. Board of Cyber propose une gamme de services conçus pour soutenir les équipes cyber et de conformité tout au long de leur parcours vers la conformité DORA, apportant ainsi une valeur significative à leurs efforts.

Évaluation et analyse des risques : Board of Cyber accompagne les organisations dans la réalisation d’évaluations approfondies des risques liés aux TIC, permettant d’identifier les vulnérabilités et les menaces potentielles. Cette étape est essentielle pour aligner les pratiques existantes sur les exigences de la directive DORA et déterminer les mesures correctives nécessaires, en conformité avec les normes de santé informatique.

Mise en place d'un cadre de gestion des risques : Les experts de Board of Cyber aident les organisations à établir un cadre robuste pour la gestion des risques TIC. Cela inclut la création de frameworks pour une évaluation continue des risques, leur mitigation et la mise en œuvre de plans de réponse aux incidents, en totale conformité avec DORA.

Tests de résilience et de pénétration : Grâce à ses services de tests de résilience et de pénétration, Board of Cyber évalue la capacité des systèmes et processus à résister aux perturbations et aux attaques. Ces tests sont indispensables pour détecter les faiblesses et améliorer la résilience opérationnelle numérique des organisations.

Gestion des prestataires tiers : La gestion des risques liés aux prestataires tiers de services TIC est un aspect central de DORA. Board of Cyber aide les organisations à mettre en place et à gérer des programmes dédiés, comprenant une due diligence continue et la révision des contrats de service afin d’assurer une conformité totale avec la réglementation DORA.

Formation et sensibilisation : Board of Cyber propose des programmes de formation et de sensibilisation pour renforcer les compétences des équipes cyber et de conformité. Ces initiatives incluent des ateliers, des séminaires et des formations personnalisées, garantissant que tous les employés comprennent les nouvelles exigences et procédures de DORA.

Partage d’informations et collaboration : Enfin, Board of Cyber facilite le partage d’informations et la collaboration entre les entités financières et les autorités réglementaires, conformément aux exigences de DORA. Ce partage améliore la coopération et renforce la connaissance collective des risques et des menaces cybernétiques.

En résumé, Board of Cyber offre une expertise pointue et une gamme complète de services pour aider les organisations à naviguer dans les complexités de DORA. Cela garantit une conformité efficace et une résilience opérationnelle renforcée.

Conclusion

DORA, ou Digital Operational Resilience Act, constitue une avancée majeure dans la régulation de la cybersécurité et de la résilience opérationnelle numérique au sein du secteur financier européen. Cette directive DORA impose des exigences strictes concernant la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience et la gestion des prestataires tiers.

Il est essentiel de comprendre que DORA vise à renforcer la capacité des institutions financières à résister et à se remettre des incidents liés aux TIC, tout en garantissant la stabilité du système financier.

Les organisations doivent sans attendre évaluer leurs pratiques actuelles, mettre en place des cadres solides de gestion des risques, et sensibiliser leurs équipes. Faire appel à des experts, tels que ceux de Board of Cyber, peut offrir une aide précieuse pour naviguer dans les exigences complexes de DORA.

Agissez dès maintenant : la conformité à DORA n'est pas seulement une obligation, c'est une nécessité pour assurer la résilience et la sécurité de vos opérations financières.

FAQ

Quelles entités financières sont soumises aux exigences du règlement DORA ?

Le règlement DORA s'applique à un large éventail d'entités financières, incluant :

• Les établissements de crédit
• Les entreprises d'investissement
• Les gestionnaires de fonds de pension
• Les entreprises de services de paiement
• Les entreprises de monnaie électronique
• Et d'autres entités financières listées dans l'article 2 du règlement (UE) 2022/2554.

En tout, cela concerne 20 types d'entités financières.

Quels sont les principaux éléments du cadre de gestion du risque lié aux TIC imposé par le règlement DORA ?

Le cadre de gestion du risque lié aux TIC imposé par le règlement DORA repose sur plusieurs éléments clés :

• La mise en place d’un cadre de gouvernance et de contrôle interne
• L’identification et l’évaluation des risques TIC
• Une politique de sécurité de l’information
• Des procédures de continuité des activités de TIC
• Des mécanismes d’examen post-incident
• Des plans de communication interne et externe en cas de crise

L’organe de direction assume la responsabilité ultime de ces dispositions.

Comment le règlement DORA traite-t-il la gestion du risque lié au recours à des prestataires tiers de services TIC ?

Le règlement DORA impose aux entités financières d’intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques. Pour ce faire, elles doivent :

• Signer des contrats comportant des clauses minimales
• Tenir un registre d’information régulièrement mis à jour
• Effectuer des audits des prestataires
• Mettre en place des stratégies de sortie pour les services critiques

De plus, les entités doivent :

• Éviter une dépendance excessive vis-à-vis d’un unique prestataire
• Évaluer la substituabilité des prestataires
• Surveiller les sous-traitants

Quelles sont les obligations de notification et de signalement des incidents majeurs liés aux TIC selon le règlement DORA ?

Selon le règlement DORA, les entités financières doivent notifier les incidents majeurs liés aux TIC aux autorités compétentes. Cela inclut :

• Une notification initiale dans les 24 heures
• Un rapport intermédiaire si le statut de l’incident change significativement ou si de nouvelles informations sont disponibles
• Un rapport final, à soumettre dans un délai d’un mois après le rapport intermédiaire