DORA : Un Règlement pour renforcer la résilience du système financier en UE
“DORA” pour Digital Operational Resilience Act est un règlement qui a pour objectif d'améliorer la résilience opérationnelle informatique des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique (ICT Risk Management Framework). Il entrera en vigueur en janvier 2025. Découvrez notre première interprétation du projet de Règlement européen.
“DORA” pour Digital Operational Resilience Act est un règlement qui a pour objectif d'améliorer la résilience opérationnelle informatique des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique (ICT Risk Management Framework).
Renforcer la résilience du système financier dans un monde dépendant du numérique
Qui est concerné ?
Ce Règlement définit un cadre uniforme pour harmoniser l’ensemble des exigences liées à la résilience opérationnelle IT du secteur de la finance.
Le texte s’applique à un très large éventail d’entités du secteur de la finance (banques, fonds de pension, compagnies d’assurance et intermédiaires, institutions de paiement, entreprises d’investissement,…) ainsi qu’aux prestataires de services informatiques qui opèrent au sein de l’Union européenne pour des entités financières.
DORA pose un principe de proportionnalité : les entités doivent mettre en œuvre les mesures définies par le Règlement au regard de leur taille, de la finalité de leur activité et de la criticité de leurs systèmes d’information.
Calendrier d'application
Publié en décembre 2022, DORA entrera en application le 17 janvier 2025. Compte tenu de la technicité des exigences, une série de normes techniques en cours d’élaboration vient préciser le texte initial, qui offre d'ores et déjà un aperçu des exigences générales.
Un cadre réglementaire complet pour gérer les risques informatiques des entités financières
Le Règlement met l’accent sur le concept de résilience opérationnelle. Il induit la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes, vers une approche plus large et proactive.
Il est désormais impératif d'être prêt à traiter tous types d'incidents, même les moins probables, et d'assurer la continuité des activités et services critiques ou importants, pour garantir la stabilité du secteur financier.
DORA repose sur 5 piliers pour encadrer la résilience opérationnelle :
1. Gestion des risques liés aux TIC
Définir et mettre en œuvre un dispositif de gestion des risques liés aux TIC complet et documenté
- Gouvernance : organe de gestion responsable
- Politique de gestion des risques TIC et activités associées (identification du risque; protection et prévention; détection, réponse et rétablissement; apprentissage et évolution; communication de crise)
2. Gestion, classification et reporting des incidents TIC et cybermenaces
Le règlement impose un cadre de surveillance, traitement et suivi des incidents liés aux TIC pour en identifier les causes profondes et les éliminer.
- Classification standardisée des incidents
- Analyse d'impact
- Déclaration obligatoire pour les incidents majeurs
- Rapports anonymes à l'échelle de l'UE
3. Test de résilience opérationnelle numérique
Établir, gérer et réévaluer à intervalles réguliers un programme complet de test de la résilience opérationnelle numérique pour recenser les faiblesses et mettre rapidement en œuvre des mesures correctives.
- Test annuel des systèmes et applications critiques
- Pentest avancé fondé sur la menace, effectué au moins tous les 3 ans par des testeurs indépendants
4. Risques liés aux prestataires TIC
Adopter une approche proportionnelle de la gestion des risques liés aux tiers prestataires de services informatiques, prenant en compte la portée, la complexité et la pertinence des dépendances informatiques, ainsi que les risques connexes découlant de contrats passés avec des tiers.
- Stratégie, politique et registre d’information standardisé
- Évaluation des risques de concentration (fournisseurs similaires ou interconnectés)
- Lignes directrices pour l’évaluation précontractuelle, le contenu du contrat, les SLA, la résiliation, la sortie sous contrainte
- Mise en place d’un cadre de surveillance des fournisseurs critiques dans toute l’UE, avec des exigences et des sanctions
5. Partage d’informations et lutte contre les cybermenaces
Les entités financières sont encouragées à participer à des dispositifs de partage d’informations et de renseignements sur les cybermenaces.
- Communautés de confiance encadrées par un dispositif d’adhésion
- Démarche de sensibilisation pour soutenir les capacités de défense, les techniques de détections et les stratégies de réponse du secteur financier
Toute information partagée doit être sécurisée et respecter la confidentialité ainsi que les directives de protection des données à caractère personnel (RGPD) et toute autre politique de concurrence de l’entreprise.
Claranet vous accompagne
Claranet vous accompagne de bout en bout sur votre mise en Conformité DORA. Nous disposons de solutions concrètes pour auditer et sécuriser vos applications et vos infrastructures (audit, pentest, revue de code, SOC, ...).