Entré en vigueur le 17 janvier 2025, DORA est une réglementation européenne majeure en matière de sécurité dans le secteur de la finance. Face à la numérisation du secteur financier, il devient indispensable de renforcer la surveillance des systèmes informatiques et d’améliorer ses capacités de résilience. Découvrez les principes de DORA et si vous êtes concerné par la mise en conformité.
Qu'est-ce que DORA ?
Le règlement DORA s’inscrit dans un cadre réglementaire plus large visant à renforcer la résilience numérique des institutions financières. Pour mieux comprendre l’ensemble des obligations en matière de cybersécurité, consultez notre analyse sur les principales réglementations en vigueur.
DORA (Digital Operational Resilience Act, ou règlement sur la résilience opérationnelle numérique du secteur financier) est une réglementation européenne adoptée par le Conseil de l’Union européenne en novembre 2022 et entrée en application le 17 janvier 2025.
DORA pose un cadre réglementaire innovant, visant à renforcer la résilience opérationnelle numérique du secteur financier. Elle impose aux institutions financières de nouvelles obligations en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC).
Avec cette réglementation, l’Union européenne répond aux risques posés par la numérisation croissante des services financiers et l’augmentation, ces dernières années, des méthodes de cyberattaques, toujours plus sophistiquées, à l’encontre des entreprises du secteur de la finance.
Le règlement repose sur 4 piliers principaux:
- Gestion des risques liés aux TIC : Les entités financières doivent mettre en place un cadre solide pour la gestion des risques liés aux TIC, incluant l’identification, la protection, la détection, la réponse et la récupération.
- Déclaration des incidents liés aux TIC : DORA harmonise les exigences en matière de déclaration des incidents liés aux TIC, permettant une meilleure surveillance et une réponse plus rapide aux cybermenaces.
- Tests de résilience opérationnelle numérique : Les entités financières doivent effectuer des tests réguliers pour évaluer leur capacité à résister aux perturbations liées aux TIC.
- Gestion des risques liés aux prestataires de services TIC tiers : DORA établit des règles pour la supervision des risques liés aux fournisseurs de services TIC tiers, garantissant que ces derniers respectent des normes de sécurité élevées.
DORA : quelles implications pour les entreprises du secteur financier ?
La réglementation DORA s’organise autour de plusieurs axes :
- La surveillance accrue des systèmes d’information (SI)
- La gestion des risques liés aux nouvelles technologies
- La gestion des partenaires tiers
- La mise en place d’un plan de réponse aux incidents et d’un système de reporting
- La protection des données sensibles
Surveillance des systèmes d'information
Les institutions financières sont tenues d’intensifier la surveillance de leurs systèmes d’information pour prévenir les menaces cyber, mais aussi être en mesure de les détecter rapidement. Cela inclut par exemple la réévaluation permanente de la sécurité des systèmes d’information, afin de déterminer s’ils doivent être mis à jour. Le règlement impose également des tests annuels de résilience et de vulnérabilité, réalisés par des tiers indépendants.
Au-delà de la simple réévaluation, les institutions doivent mettre en œuvre des systèmes de détection proactive des anomalies et des menaces. Cela inclut l’utilisation d’outils d’intelligence artificielle et d’apprentissage automatique pour analyser les flux de données et identifier les comportements suspects.
DORA prévoit également des tests plus avancés, appelés TLPT, pour les entités financières considérées comme critiques. Ces tests simulent des attaques cyber complexes, en utilisant les tactiques, techniques et procédures (TTP) des cybercriminels réels. Ces tests permettent d’identifier les vulnérabilités les plus critiques et de renforcer les défenses en conséquence. Parmi les plus connus on distingue les Red Teamings, les Pentestings, les Simulations de phishing ou encore les Bug Bounties. Dans le cadre des TLPTs, le règlement s’inspire du framework Tiber-EU.
Gestion des risques liés aux nouvelles technologies
DORA vise à atténuer les risques liés à la transformation numérique du secteur des banques et de la finance. La réglementation met notamment l’accent sur l’optimisation de la gestion des risques associés aux nouvelles technologies, telles que l’intelligence artificielle et le cloud computing. En cela, elle s’intègre parfaitement au cadre posé par l’AI Act, une réglementation européenne entrée en vigueur le 1er août 2024 et concernant tous les secteurs d’activité.
DORA renforce également la surveillance des risques liés aux prestataires de cloud, exigeant des institutions financières qu’elles évaluent leur résilience. Le cloud souverain de l’UE, soutenu par le cadre EUCS, vise à garantir la sécurité et la confidentialité des données européennes, s’alignant sur les objectifs de DORA. Ainsi, DORA encourage l’utilisation de solutions cloud conformes aux normes européennes, renforçant la sécurité numérique du secteur financier.
Gestion des prestataires tiers
Une attention particulière est portée à la gestion des risques liés aux prestataires tiers, qui sont souvent une porte d’entrée pour les cyberattaques. La réglementation exige notamment des acteurs financiers qu’ils évaluent les capacités de résilience opérationnelle de leurs fournisseurs de TIC. Autrement dit, ils doivent tester la résistance de leurs fournisseurs à une éventuelle cyberattaque. Ils doivent aussi inclure dans les contrats les liant à ces prestataires des clauses standard minimales en matière de résiliation.
Les institutions financières doivent alors assurer la gestion des tiers en mettant en place une due diligence approfondie, incluant l’évaluation des capacités techniques, de la stabilité financière et de la conformité réglementaire des fournisseurs et de leurs sous-traitants. Ce contrôle ne s’arrête pas à la signature du contrat : un suivi continu via des audits, tests et simulations est essentiel. Les clauses contractuelles doivent être renforcées pour garantir la sécurité des données, la notification des incidents et la continuité des services. Il est également crucial d’élaborer des plans de sortie et de transition en cas de défaillance d’un prestataire. La mutualisation des efforts entre institutions et la localisation des données sous juridiction adéquate complètent ces bonnes pratiques pour une gestion optimale des risques.
Plan de réponse aux incidents et reporting
La mise en place de plans de réponse aux incidents et d’un système de reporting et de documentation de chaque incident est devenue obligatoire. Tous les incidents liés aux TIC doivent être enregistrés et classés, reportés aux membres de la direction de l’entreprise et déclarés aux autorités compétentes – et ce, dans des délais raisonnables, définis en amont.
L’objectif est ici d’améliorer la capacité de résilience des acteurs financiers face à une éventuelle cyberattaque. En effet, les entreprises de la finance doivent être capables d’une part de prévenir les risques, pour protéger les données de leurs utilisateurs, mais aussi d’être en mesure de réagir rapidement afin de garantir la continuité des services financiers en cas d’accident numérique ou de cyberattaque.
DORA impose alors une gestion rigoureuse des incidents en exigeant leur classification selon leur gravité afin d’optimiser la réponse et l’allocation des ressources. L’automatisation, via des solutions comme les systèmes SOAR, permet une détection et une réaction rapides pour limiter les impacts. Une communication claire et structurée, tant en interne qu’avec les clients et autorités, est essentielle pour gérer la crise efficacement. Enfin, chaque incident doit faire l’objet d’une analyse approfondie afin d’identifier ses causes et renforcer continuellement la résilience opérationnelle des institutions financières.
Protection des données sensibles
Comme c’est le cas pour tout règlement en matière de cybersécurité, DORA contribue à la protection des données sensibles, bien que cela ne soit pas son objectif premier. En sécurisant les systèmes d’information critiques, les acteurs de la finance vont en même temps prévenir les violations de données personnelles. Pour cela, elles doivent mettre en place des contrôles d’accès rigoureux, des protocoles de surveillances et des systèmes de chiffrement des données afin de les protéger des accès non autorisés, mais aussi des pertes ou des modifications involontaires.
Qui doit se conformer à la réglementation européenne DORA ?
Le règlement DORA s’applique à toutes les entités du secteur financier : établissements de crédit, établissements de paiement, sociétés d’investissement, entreprises et intermédiaires d’assurance…). Toutefois, il est à noter que le niveau d’effort requis pour se conformer à DORA varie en fonction des risques auxquels chaque institution est exposée. Les fintechs et les venture capitals, par exemple, auront besoin d’un effort d’adaptation plus important.
Il est indispensable de se mettre en conformité avec ce nouveau règlement européen sous peine de sanctions financières. En cas de non-conformité, les entreprises risquent des amendes sévères, mais aussi des restrictions opérationnelles.
