La loi sur la résilience opérationnelle numérique (DORA) est une initiative réglementaire de la Commission européenne (UE) visant à renforcer les mesures de cybersécurité dans le secteur des services financiers de l’UE. Avec une date d’entrée en vigueur à partir de janvier 2025, DORA impose des mesures significatives visant à renforcer la résilience des acteurs clés du système financier face aux menaces croissantes de cyberattaques et autres risques.

DORA comprend un ensemble complet de réglementations visant à consolider et à renforcer les exigences relatives aux risques des technologies de l’information et de la communication (TIC) dans tous les secteurs financiers. Ce système-cadre assure que tous les participants respectent un ensemble commun de normes relatives aux risques des TIC, créant une défense uniforme et solide contre les perturbations potentielles.

Les objectifs fondamentaux de DORA se concentrent sur la gestion des risques, la notification des incidents, les tests de résilience, la gestion des risques associés aux tiers et l’échange d’informations. Ces exigences imposent aux institutions financières, ainsi qu’aux fournisseurs externes clés tels que les fournisseurs de services cloud (CSPs), la nécessité de mettre en place des processus et des procédures spécifiques.

Exigences principales

Les entreprises soumises à la DORA doivent respecter cinq exigences de base :

  1. Plan d’intervention en cas d’incident : les entreprises doivent élaborer un plan d’intervention en cas d’incident détaillé, qui définira les attaques cybernétiques, les réactions appropriées des employés et les procédures pour rétablir les opérations après une violation de la sécurité.
  2. Programme de cybersécurité : Il est impératif de mettre en œuvre un programme de cybersécurité complet, y compris les évaluations des risques associés aux attaques cybernétiques et les plans appropriés pour limiter ces risques.
  3. Contrôles de sécurité : Les entreprises doivent maintenir des contrôles de sécurité robustes sur leur infrastructure numérique, y compris le cryptage, l’authentification, le contrôle d’accès, les journaux d’audit, les systèmes de surveillance, les systèmes de gestion des incidents.
  4. Rapport d’incidents : On exige un rapport d’incidents en temps opportun, permettant aux autorités réglementaires d’évaluer la vulnérabilité et de fournir des recommandations pour améliorer la sécurité.
  5. Continuation des services : L’établissement d’un plan assurant la continuation des services en cas de perturbations est essentiel pour se conformer à la réglementation.

Le cadre de supervision défini par la DORA impose aux institutions réglementaires de l’UE l’obligation d’auditer et d’évaluer le contrôle des entreprises, en garantissant le respect des normes définies par la DORA et la capacité de maintenir un environnement sûr et résilient pour la gestion des données financières.

Il est à noter que l’impact de la DORA ne se limite pas à l’UE, car des régulateurs, y compris la Commission américaine des valeurs mobilières et des échanges (SEC), ont introduit des propositions parallèles. En réponse à ces changements, des entreprises comme SS&C Advent s’adaptent activement aux exigences de la DORA, soulignant l’importance de la sécurité, de la conformité et de la résilience dans le paysage numérique en constante évolution d’aujourd’hui.

Quelles organisations sont concernées par la DORA?

  • Institutions de crédit;
  • Institutions de paiement;
  • Fournisseur de services d’information sur les comptes;
  • Institutions de monnaie électronique;
  • Institutions fournissant des services financiers;
  • Fournisseurs de services externes dans le domaine des technologies de l’information et de la communication (TIC); et les fournisseurs de services de crypto-actifs autorisés en vertu du règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs et les émetteurs de jetons basés sur des actifs.
  • Centres de négociation;
  • Registres commerciaux;
  • Gestionnaires de fonds d’investissement alternatifs;
  • Sociétés de gestion;
  • Fournisseurs de données pour la présentation de rapports financiers;
  • Fournisseur de services de financement participatif;
  • Registre des titrisations;
  • Dépositaire central de titres;
  • Entreprises d’assurance et de réassurance;
  • Intermédiaires d’assurance, intermédiaires de réassurance et auxiliaires d’assurance;
  • Établissements de programmes de retraite pour les employés;
  • Agences de notation;
  • Responsable des paramètres de référence critiques;

La DORA exige que les organismes financiers surveillent et gèrent les risques posés par leurs fournisseurs. Cela s’applique aussi bien aux individus qu’aux organisations qui fournissent des services à ces entreprises financières – ils doivent tous respecter les règles de la DORA.

Il convient cependant de noter que la DORA ne s’applique pas à tous les acteurs du secteur financier. Certaines d’entre elles sont exemptées, comme les institutions gérant des régimes de retraite pour moins de 15 personnes, les petites entreprises telles que les intermédiaires d’assurance et certaines autres organisations. La liste complète peut être trouvée dans l’Article 2.3.

Calendrier pour répondre aux exigences de DORA

DORA a été officiellement approuvée le 16 janvier 2023 et les institutions financières ont deux ans pour tout préparer. Cela signifie qu’ils doivent respecter les règles de DORA jusqu’au 17 janvier 2025. Bien qu’il puisse sembler qu’il y a beaucoup de temps, il vaut mieux que les entreprises financières commencent maintenant à mettre en œuvre les nouvelles règles. Ils n’ont pas besoin d’attendre jusqu’à la dernière minute – ils peuvent commencer à apporter des changements pour répondre aux exigences.

Comment pouvons-nous aider?

Chez Z3X, nous comprenons parfaitement les défis auxquels les entreprises sont confrontées en s’adaptant aux réglementations du Digital Operational Resilience Act (DORA). Grâce à notre connaissance du cadre réglementaire, nous sommes ici pour soutenir votre entreprise dans la conformité avec les exigences du DORA.

Nos solutions personnalisées sont conçues pour aider les institutions financières à mettre en place les mesures nécessaires définies par le DORA. De l’élaboration de structures de gestion des risques complètes à l’établissement de solides plans d’intervention en cas d’incident, notre équipe chez Z3X a les outils appropriés pour guider votre entreprise tout au long du processus.

Nous offrons une approche proactive, aidant votre organisation à devancer la concurrence et à commencer le processus d’implémentation bien à l’avance. En utilisant nos connaissances et notre expérience, vous pouvez simplifier l’adoption des réglementations du DORA, assurer une transition en douceur et minimiser les perturbations des opérations.

Collaborez avec Z3X non seulement pour respecter les obligations réglementaires, mais aussi pour renforcer la résilience et la sécurité globales de votre entreprise dans un environnement numérique en constante évolution. Notre objectif est de fournir des solutions pratiques qui répondent aux besoins spécifiques de votre organisation, afin que le voyage vers la conformité avec le DORA soit efficace et efficient. Laissez Z3X être votre partenaire de confiance pour naviguer dans les complexités de la réglementation et sécuriser l’avenir de votre entreprise.

Vous trouverez la réglementation complète du DORA ici.

Si vous préférez lire cet article en anglais, vous pouvez le trouver ici: What is DORA and what does it mean for your company?

Partager cet article