DORA – Réglementation sur la résilience opérationnelle numérique
Dans cet article de blog dédié au règlement DORA, nous allons vous expliquer ce que c’est, ce qu’il va changer pour le secteur financier et comment ces institutions doivent s’y préparer.
En janvier 2025, le Règlement sur la Résilience Opérationnelle Numérique (ou DORA pour Digital Operational Resilience Act) va faire son entrée et va s’appliquer pour toutes les institutions financières de l’Union Européenne.
Dans cet article de blog dédié au règlement DORA, nous allons vous expliquer ce que c’est, ce qu’il va changer pour le secteur financier et comment ces institutions doivent s’y préparer.
Qu’est-ce que DORA ?
En janvier 2023, une nouvelle règlementation a été adoptée au sein de l’Union Européenne, le DORA.
Le DORA est lié aux Technologies de l’Information et de la Communication (TIC). Ce règlement a comme but d’améliorer la résilience opérationnelle informatique des institutions financières en installant un système de gouvernance et de contrôle interne.
Avec cette loi, l’UE souhaite que les structures financières diminuent les risques liés à la dépendance croissante à l’égard des TIC et des tiers pour les opérations critiques.
Ainsi, le concept de résilience opérationnelle demande aux organisations d’être prêtes à affronter les incidents et d’assurer la continuité des services critiques et activités primordiales au bon fonctionnement des institutions et ainsi minimiser les perturbations pour le système financier ainsi que pour les clients.
Les organisations doivent donc pouvoir « résister, réagir et se rétablir » des conséquences des incidents liés aux TIC.
Cela nécessite d’établir des contrôles de sécurité solides sur les systèmes, outils et tiers, de mettre en place les plans de continuité et de survie en cas d’incidents et de tester leur efficacité.
À qui s’applique le règlement DORA ?
Le règlement DORA veut harmoniser et unifier les normes et exigences européennes. Ainsi, il va toucher et impacter de nombreuses institutions financières.
Il s’appliquera, entre autres, aux :
- Établissements de crédit
- Établissements de paiement
- Prestataires de services de cryptoactifs
- Établissements d’investissement
- Entreprises d’assurance (& réassurance)
- Établissements de cryptomonnaies
- Sociétés de gestion
- Prestataires des services TIC
Le texte de loi recouvre 21 catégories d’institutions du secteur financier, pour un total de plus de 22 000 entités au sein même de l’UE.
Que change le DORA pour les institutions financières ?
Ce nouveau règlement se base sur 5 piliers essentiels de la résilience opérationnelle numérique. Les organisations financières devront les mettre en place.
Les 5 piliers du règlement DORA
Gestion des risques liés aux TIC
Les institutions financières ont l’obligation de posséder un dispositif de gestion des risques liés aux TIC. Ce dispositif doit être complet, performant, sécurisé et documenté.
Cela permet de garantir un haut niveau de résilience opérationnelle numérique et ainsi se protéger des risques de manière efficiente et efficace.
Les entreprises devront :
- Identifier leur tolérance face aux risques liés aux TIC.
- Créer et appliquer une gestion des risques comprenant l’identification des fonctions critiques et les risques associés.
- Mettre en place des plans spécifiques de prévention, de détection, de protection, de réponse et de récupération liés aux risques.
- Élaborer des mesures d’amélioration continue.
- Établir une stratégie de communication de crise avec les rôles et les responsabilités de chaque partie prenante.
- Former les collaborateurs sur la résilience opérationnelle numérique.
L’organe de direction assume la responsabilité ultime de la gestion du risque lié aux TIC de l’institution financière.
Reporting et signalement des incidents TIC
Les institutions financières ont l’obligation d’harmoniser et de centraliser les notifications des incidents liés aux TIC.
Les entités doivent :
- Enregistrer et classer tous les incidents liés aux TIC et les cybermenaces importantes selon les critères détaillés dans le règlement DORA.
- Reporter, aux membres de l’organe de direction, les incidents majeurs liés aux TIC.
- Reporter ces incidents aux autorités compétentes.
- Créer des rapports de suivi après une semaine et après un mois après l’incident.
Tests de résilience opérationnelle numérique
Les institutions financières devront :
- Créer un programme complet de tests, comprenant les évaluations, les méthodologies, les outils et les pratiques.
- Tester les Systèmes d’Information (SI) critiques pour leur protection et leur résilience opérationnelle.
- Exécuter un test d’intrusion, ou Pentest, basé sur les menaces (type Red Team) au moins tous les 3 ans sur les systèmes de production. Un certificat de conformité sera délivré à l’issue du Pentest.
Gestion des risques liés aux TIC par les tiers
La gestion des risques liés aux prestataires tiers de services TIC est entièrement pris en compte dans le nouveau règlement DORA.
Ainsi les entités financières sont obligées de :
- Tenir un registre compilant l’ensemble des contrats et accords, en précisant ceux qui touchent les fonctions vitales ou critiques.
- Limiter les exigences contractuelles pour avoir une surveillance accrue du risque lié aux tiers.
- Définir un plan en matière de risques liés aux prestataires tiers.
Les fournisseurs critiques sont soumis à des évaluations annuelles des exigences de résilience telles que :
- La disponibilité
- la continuité
- l’intégrité des données
- la sécurité physique
- les processus de gestion des risques
- la gouvernance
- le reporting
- la portabilité
- les tests
Ces évaluations sont menées directement par les régulateurs et sont passibles de sanctions en cas de non-conformité.
Partage d’informations et de données
Le règlement DORA précise le contour pour la mise en place de partage d’informations entre les institutions pour les cybermenaces.
Ce genre de processus permettra aux entreprises de mieux se préparer face aux cyberattaques, et ainsi développer les capacités de détection et de défense des entités financières.
Comment les entités financières doivent se préparer face au règlement DORA ?
Les établissements financiers vont devoir se préparer rapidement pour être opérationnels pour janvier 2025.
En effet, cette nouvelle loi demande de grands changements auprès de ces entités, cela va engendrer de nombreux coûts et de nombreuses modifications opérationnelles.
Nous conseillons ainsi aux institutions de :
- S’informer un maximum au sujet de ce nouveau règlement.
- Auditer son entité pour savoir ce qui doit être modifié ou amélioré.
- Estimer les coûts potentiels des changements.
- Se préparer et commencer à se conformer.
- Posséder des technologies de protection contre les cybermenaces telles qu’un scanner de vulnérabilité.
- Former les collaborateurs aux cyber-risques, nous recommandons de passer par des organismes de formation certifiés PASSI, comme Ziwit.
- Créer et harmoniser le partage d’informations via des protocoles et outils sécurisés.
- Recenser les partenaires tiers liés aux TIC.
- Revoir ses relations avec les partenaires TIC.
- Tester et éprouver les Systèmes d’Information et les capacités de résilience.
- Réaliser un test d’intrusion Red Team auprès d’organismes indépendants.
- Développer une culture forte et efficiente de la résilience opérationnelle numérique.