Article

Zoom sur la réglementation DORA pour renforcer la résilience opérationnelle numérique des institutions financières

mars 2024 | Temps de lecture : 5 min

La transformation numérique a révolutionné l'économie mondiale, apportant de nouvelles opportunités et des défis sans précédent mais également de nouveaux risques pouvant menacer la stabilité financière de nos économies. Dans ce contexte, l'Union Européenne a adopté le 14 décembre 2022 une réglementation innovante pour garantir la résilience opérationnelle du secteur financier face aux menaces numériques : Digital Operational Resilience Act (DORA), qui s’appliquera à compter du 17 janvier 2025

Réglementation DORA-EXEIS Conseil

Qui est concerné par cette réglementation ? 

 

La réglementation DORA vise spécifiquement les entreprises qui opèrent dans le secteur financier au sein de l'Union européenne (UE).  

 

Cela inclut donc un large éventail d'acteurs, notamment les banques, les compagnies d'assurance, les prestataires de services de paiement, les entreprises d'investissement, les infrastructures de marché, les gestionnaires de fonds et les « FinTech »

 

Plus précisément, DORA s'applique à toute entreprise financière qui fournit des services essentiels à l'économie et à la société au sens large, et qui dépend de services numériques pour assurer la continuité de ses activités. Ces services essentiels peuvent inclure des services bancaires, des services de paiement, des services de trading, des services de règlement et de compensation, des services de gestion d'actifs. Et comme nous allons le voir, l’impact est également important pour leurs prestataires et sous-traitants critiques. 

 

 

Quels sont les objectifs de cette nouvelle réglementation ? 

 

La réglementation DORA vise à garantir que les entreprises concernées disposent d’une résilience opérationnelle suffisante pour faire face aux menaces numériques, notamment les cyberattaques et les pannes de systèmes informatiques. A ce titre, elle impose des exigences et recommandations spécifiques en matière : 

  • De gouvernance,  

  • De gestion des risques internes et liés aux prestataires informatiques,  

  • De tests et d'exercices,  

  • De communication des incidents aux autorités financières, 

  • De partage d’informations entre entités financières. 

 

DORA s'inscrit dans un cadre plus large de réglementation financière au sein de l'Union Européenne, qui vise à renforcer la stabilité et la sécurité du système financier européen, et à protéger les intérêts des consommateurs. Pour pouvoir opérer sur le marché européen les entreprises du secteur financier devront impérativement se conformer à DORA. 

 

 

Les composantes clés de DORA 

 

Composantes clés réglementation DORA-EXEIS Conseil

 

DORA intègre plusieurs composantes clés, dans le but de sécuriser l’intégralité du périmètre de la résilience opérationnelle numérique dans le secteur financier : 

 

Gouvernance et dispositif de gestion des risques informatiques : 

 

Les entreprises financières soumises à DORA devront renforcer leur gouvernance en établissant des structures de responsabilité claires vis-à-vis de la résilience numérique.  La responsabilité en matière de résilience opérationnelle sera par ailleurs désormais placée au plus haut de l’entreprise, au niveau du Comité de Direction. Les dirigeants seront ainsi tenus d’approuver la stratégie de résilience opérationnelle numérique et de prouver au besoin qu’ils ont activement pris part et challengé les mesures visant à renforcer la résilience de l’entreprise. 

 

Les directives en matière de cybersécurité et de plans de continuité d’activité étaient auparavant composées de règles relativement éparses. Cette nouvelle réglementation imposera désormais un cadre cohérent et global qui nécessitera un changement de paradigme dans l’approche faite en matière de risques liés aux Technologies de l’Information et de la Communication (TIC). 

 

Identification des services essentiels et gestion des risques liés aux prestataires informatiques : 

 

Les entreprises seront tenues d’identifier et de documenter les services essentiels qu'elles fournissent, d’analyser les risques encourus et de proposer des mesures de résilience propres à chacun d’eux. Cela peut inclure des services bancaires en ligne, des systèmes de paiement, des plateformes de trading, etc. 

 

Les relations contractuelles avec les prestataires informatiques et autres fournisseurs de services numériques externes (fournisseurs de cloud, prestataires de cybersécurité, etc.) devront être passées en revue pour intégrer de nouvelles exigences en matière de surveillance des risques et de coopération avec leurs clients et les autorités. Il sera d’autant plus impératif de respecter ces nouvelles exigences si le service assuré par les prestataires est jugé comme critique et essentiel au bon fonctionnement et à la bonne continuité d’activité de l’entreprise. 

 

Tests et exercices de résilience opérationnelle : 

 

La réglementation impose que les entreprises effectuent régulièrement des tests et des exercices de résilience numérique pour évaluer leur capacité à faire face à des incidents numériques. Cela peut inclure des simulations de cyberattaques, des tests de reprise après sinistre ainsi que des exercices de résolution d’incidents. 

 

Les résultats de ces tests et exercices devront être documentés, les lacunes identifiées et les mesures correctives mises en œuvre. 

 

Gestion et notification d'incidents : 

 

Les processus de détection, de gestion et de classification des incidents informatiques devront se conformer aux directives de l’Autorité Européenne de Surveillance (EBA, EIOPA, ESMA).  

 

Au-delà de l’évolution des processus, DORA imposera également aux entreprises de nouvelles exigences concernant le reporting des incidents. Ces derniers devront ainsi être communiqués aux autorités compétentes, telles que les autorités de surveillance financière, afin qu’elles puissent réagir plus rapidement et plus efficacement à des cyberattaques par exemple. 

 

La notification devra être effectuée rapidement après la découverte de l'incident, et les entreprises devront fournir des informations détaillées sur sa nature, ses conséquences potentielles et les mesures prises pour le résoudre. 

 

Les entreprises financières soumises à la réglementation devront s’assurer de répondre à chacun de ces points dans les délais imposés par l’Union Européenne, sous peine de sanctions pouvant par exemple prendre la forme d’injonctions de mise en conformité ou d’amendes d’un montant maximum de 10 millions d’euros.  

 

Partage d’informations entre entités financières : 

 

Enfin, DORA encourage les entités financières à se regrouper en communautés de confiance afin de partager des informations et des renseignements concernant les cybers menaces, de communiquer leurs indicateurs de suivi, leurs procédures, tactiques et techniques de lutte. 

L’objectif poursuivi est d’améliorer la résilience de ces entités en limitant la possibilité pour les cybers menaces de se répandre, notamment grâce à une meilleure prise de conscience et une mise en commun des stratégies de lutte, de détection et de réponse. 

 

 

Conclusion 

 

Pour se mettre en conformité, les entreprises devront, si ce n’est déjà fait, lancer des projets de révision de leur gouvernance ainsi que des rôles et responsabilités des parties prenantes, envisager la réécriture et l’application de procédures adaptées à ce nouveau contexte, renforcer les services chargés de la cybersécurité, identifier les fournisseurs de services numériques critiques et s’assurer de leur bonne conformité, élaborer ou revoir les plans de reprise et de continuité d'activité, mettre en place des mécanismes de notification des incidents, etc. 

 

 

🔹 EXEIS Conseil est en mesure de vous accompagner sur chacune des composantes clés de cette nouvelle réglementation 

 

EXEIS Conseil dispose d’une expertise reconnue pour vous accompagner sur la mise en conformité de votre organisation vis-à-vis de cette nouvelle réglementation. 

 

1️⃣ Au travers d’un diagnostic de votre organisation, nous pourrons tout d’abord évaluer votre conformité vis-à-vis du règlement DORA. 

 

2️⃣ Nos expériences en matière de transformation des organisations dans les secteurs bancaire et assurantiel vous permettront de reposer les rôles et responsabilités de chacun des acteurs clés au regard des nouvelles exigences réglementaires. 

 

3️⃣ Vos processus devront potentiellement évoluer et il vous faudra mobiliser l’ensemble des collaborateurs pour que ces derniers soient bien compris et appliqués. Nous disposons de l’expertise en interne pour vous accompagner sur la révision de vos processus et l’accompagnement au changement de vos équipes. 

 

4️⃣ Enfin, notre expertise reconnue en matière de pilotage dans des environnements humains et techniques complexes assurera la sécurisation et la bonne mise en œuvre de vos projets. Surtout, fidèles à notre vision des organisations, nous apporterons notre savoir-faire pour faire de cette contrainte réglementaire, non pas un surplus de normes et documentations, mais bien une réelle opportunité de transformation utile à la performance de votre organisation au bénéfice de vos collaborateurs et vos clients.  

 

 

À propos des auteurs
Jérémy MARC - Manager chez EXEIS Conseil
Jérémy MARC Manager
Contacter Jérémy
Envoyer un message à Jérémy MARC

Jérémy MARC dispose de 9 années d’expérience dans le conseil. Il a notamment accompagné plusieurs mutuelles d’assurance sur leurs projets de transformation, tant sur la phase de diagnostic que sur le pilotage de la déclinaison opérationnelle des recommandations.