La loi sur la résilience opérationnelle numérique (DORA) est une initiative réglementaire importante de la Commission européenne (UE) visant à renforcer les mesures de cybersécurité au sein du secteur des services financiers de l’UE. Avec une date d’entrée en vigueur fixée à janvier 2025, DORA impose des étapes cruciales pour renforcer la résilience des principaux acteurs du système financier face aux menaces croissantes des cyberattaques et autres risques.

DORA englobe un ensemble complet de réglementations conçues pour consolider et rehausser les exigences en matière de risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier. Ce cadre garantit que tous les participants respectent un ensemble commun de normes de risque liées aux TIC, créant ainsi une défense unifiée et robuste contre les perturbations potentielles.

Les objectifs principaux de DORA sont centrés sur la gestion des risques, la déclaration d’incidents, les tests de résilience, la gestion des risques liés aux tiers et le partage d’informations. Ces exigences obligent les institutions financières, ainsi que les fournisseurs tiers critiques tels que les fournisseurs de services cloud (CSP), à mettre en place des processus et des procédures spécifiques.

Exigences principales

Les entreprises relevant de la compétence de DORA sont obligées de respecter cinq exigences principales :

  1. Plan de réponse aux incidents : Les entreprises doivent élaborer un plan détaillé de réponse aux incidents, définissant ce qu’est une cyberattaque, les réponses appropriées des employés, et les procédures de rétablissement des opérations après une violation de sécurité.
  2. Programme de cybersécurité : Un programme de cybersécurité complet, comprenant des évaluations des risques potentiels liés aux cybermenaces et les plans d’atténuation correspondants, est obligatoire.
  3. Contrôles de sécurité : Les entreprises doivent maintenir des contrôles de sécurité robustes sur leur infrastructure numérique, incluant le chiffrement, l’authentification, les contrôles d’accès, les journaux d’audit, les systèmes de surveillance, les systèmes de gestion des événements, et les plans de réponse aux incidents.
  4. Déclaration des incidents : La déclaration rapide des incidents est requise, permettant aux régulateurs d’évaluer les vulnérabilités et de formuler des recommandations pour renforcer les postures de sécurité.
  5. Continuité du service : Établir un plan pour assurer la continuité du service lors des perturbations est essentiel pour la conformité.

Le cadre de surveillance établi par DORA impose aux autorités de réglementation financière de l’UE d’auditer et d’évaluer les contrôles des entreprises, garantissant le respect des normes spécifiées par DORA et la capacité de maintenir un environnement sécurisé et résilient pour la gestion des données financières.

Il est à noter que l’impact de DORA ne se limite pas à l’UE, car des organismes de réglementation, y compris la Commission des opérations de bourse des États-Unis (SEC), ont introduit des propositions parallèles. En réponse à ces évolutions, des entreprises telles que SS&C Advent s’alignent activement avec les exigences de DORA, mettant en avant l’importance de la sécurité, de la conformité, et de la résilience dans le paysage numérique en constante évolution d’aujourd’hui.

Quelles organisations relèvent de DORA ?

  • institutions de crédit; 
  • institutions de paiement; 
  • fournisseurs de services d’information sur les comptes; 
  • institutions de monnaie électronique; 
  • entreprises d’investissement; 
  • fournisseurs de services tiers TIC; et fournisseurs de services liés aux actifs numériques autorisés dans le cadre d’un règlement du Parlement européen et du Conseil sur les marchés des actifs numériques, ainsi que les émetteurs de jetons référencés à des actifs.
  • contreparties centrales; 
  • places de marché; 
  • dépositaires centraux des opérations; 
  • gestionnaires de fonds d’investissement alternatifs; 
  • sociétés de gestion; 
  • fournisseurs de services de déclaration de données; 
  • fournisseurs de services de financement participatif; 
  • dépositaires de titrisation; 
  • dépositaires centraux de titres; 
  • entreprises d’assurance et de réassurance; 
  • intermédiaires en assurance, intermédiaires en réassurance et intermédiaires en assurance accessoire; 
  • institutions de retraite professionnelle; 
  • agences de notation de crédit; 
  • administrateurs des taux de référence critiques; 

DORA rend nécessaire pour les entreprises financières de superviser et de gérer les risques posés par les fournisseurs avec lesquels elles travaillent. Cela s’applique aux particuliers et aux organisations fournissant des services à ces entreprises financières – ils doivent suivre les règles de DORA.

Cependant, il est important de savoir que DORA ne s’applique pas à tout le monde dans le secteur financier. Certains sont exemptés, comme les institutions gérant des régimes de retraite pour moins de 15 personnes, les petites entreprises telles que les intermédiaires en assurance, et certaines autres entités. Vous pouvez trouver la liste complète dans l’Article 2.3.

Calendrier pour répondre aux exigences de DORA

DORA a été officiellement approuvée le 16 janvier 2023, et les institutions financières ont deux ans pour tout mettre en place. Cela signifie qu’elles doivent suivre les règles de DORA d’ici le 17 janvier 2025. Même s’il peut sembler qu’il y a beaucoup de temps, il est judicieux pour les entreprises financières de commencer à adopter les nouvelles règles dès maintenant. Elles n’ont pas besoin d’attendre jusqu’à la dernière minute – elles peuvent commencer à apporter des changements pour répondre aux exigences.

Comment pouvons-nous aider?

Chez Z3X, nous comprenons les défis auxquels les entreprises sont confrontées pour s’adapter aux réglementations de la loi sur la résilience opérationnelle numérique (DORA). Forts de notre expertise dans la navigation des cadres réglementaires, nous sommes là pour soutenir votre entreprise dans l’assurance de la conformité aux exigences de DORA.

Nos solutions sur mesure sont conçues pour aider les entités financières à mettre en œuvre les mesures nécessaires décrites par DORA. De la mise en place de cadres de gestion des risques complets à l’établissement de plans de réponse aux incidents robustes, notre équipe chez Z3X est bien équipée pour accompagner votre entreprise tout au long du processus.

Nous adoptons une approche proactive pour aider votre organisation à anticiper et à commencer le processus de mise en œuvre bien à l’avance. En tirant parti de nos connaissances et de notre expérience, vous pouvez rationaliser l’adoption des réglementations DORA, garantissant une transition en douceur tout en minimisant les perturbations de vos opérations.

Collaborez avec Z3X pour non seulement répondre aux obligations réglementaires, mais aussi renforcer la résilience et la sécurité globales de votre entreprise dans le paysage numérique en évolution. Notre engagement est de fournir des solutions pratiques qui répondent aux besoins spécifiques de votre organisation, rendant le parcours vers la conformité à DORA efficace et efficace. Laissez Z3X être votre partenaire de confiance dans la navigation des complexités de la conformité réglementaire et la préservation de l’avenir de votre entreprise.

Vous trouverez le règlement complet de DORA ici.

Si vous préférez lire cet article en anglais, vous pouvez le trouver ici: What is DORA and what does it mean for you company?

Partager cet article