Digital Operations Resilience Act

Digital Operations Resilience Act (DORA) Regulation

Digital Operations Resilience Act (DORA) Regulation

Assurer la cyber-résilience des institutions financières.

Qu'est-ce que DORA?

De la gestion du risque informatique et cyber à la résilience opérationnelle numérique

La Loi sur la Résilience Opérationnelle Numérique (Règlement (UE) 2022/2554) est un cadre réglementaire mis en place pour améliorer la cybersécurité et la résilience opérationnelle du secteur des services financiers. Elle complète les lois existantes telles que la Directive sur la sécurité des réseaux et des informations (NISD) et le Règlement Général sur la Protection des Données (RGPD).

La Loi sur la Résilience Opérationnelle Numérique (DORA), connue sous le nom de "lex specialis" de NIS2, a été introduite par la Commission Européenne en 2020 et vise à renforcer la "résilience" opérationnelle du secteur financier dans l'Union Européenne. Elle étend et unifie les normes et exigences européennes existantes pour créer un cadre détaillé et harmonisé.

Le concept de « résilience » introduit un changement de paradigme. Il s’agit pour les entreprises du secteur financier de s’organiser, dès le départ, pour assurer une gestion efficace des pannes et des cyber-attaques.

DORA s’articule autour de trois principes fondamentaux :

Gestion des risques et incidents informatiques et de cybersécurité
Gestion de la Résilience opérationnelle
Partage d’information

Le Règlement sur la Résilience Opérationnelle Numérique (DORA) devrait entrer en vigueur le 17 janvier 2025. Cette date représente un jalon important pour les institutions financières, qui devront se conformer aux nouvelles exigences énoncées dans la législation.

DORA s'applique, entre autres, aux établissements de crédit, aux établissements de paiement, aux prestataires de services de crypto-actifs, aux compagnies d'assurance et de réassurance, aux gestionnaires d'actifs, ainsi qu'aux fournisseurs de services TIC tiers.

DORA n'est pas un exercice de conformité ponctuel, mais une exigence de maintenir une résilience constante dans un environnement en évolution et un contexte technologique de plus en plus complexe.

Pourquoi DORA?

Propagation des cyberattaques par secteur d'activité

Avec la dépendance croissante du secteur financier à la technologie numérique et son interconnexion grandissante, il fait face à une vulnérabilité accrue à diverses cyberattaques. En effet, Statista rapporte qu'en 2022, le secteur de la finance et des assurances était classé comme la deuxième cible la plus fréquente des activités cybercriminelles.

24.8%
Industrie
18.9%
Finance et Assurance
14.6%
Services aux entreprises et aux consommateurs
10.7%
Energie
8.7%
Vente au détail et en gros
7.3%
Education
5.8%
Santé
4.8%
Gouvernement
3.9%
Transports
0.5%
Media and Telecom

Les cyberattaques contre les entreprises de services financiers en Europe ont augmenté de manière significative entre 2022 et 2023. Par exemple, le nombre d'attaques par ransomware dans le secteur financier a augmenté de 64 % en 2023 par rapport à l'année précédente. De plus, au troisième 2023, le nombre d'incidents dans ce secteur a doublé par rapport à la même période en 2022, soulignant l'attention accrue des criminels envers cette industrie. En 2023, le nombre d''attaques de ransomware dans le secteur de la finance a bondi de 64 % et a presque doublé par rapport à 2021.

Les données des clients des entreprises financières sont particulièrement prisées sur les marchés clandestins, représentant 42% des annonces de vente, d'achat ou de distribution gratuite de bases de données compromises.

Les institutions financières, qui gèrent d'énormes quantités de données sensibles, sont des cibles privilégiées pour les pirates informatiques, comme en témoigne leur conscience de longue date de leur attractivité pour les cybercriminels. Malgré les diverses mesures de cybersécurité en place, de nombreuses entités restent insuffisamment protégées.

Quelles sont les entités qui relèvent de DORA ?

DORA s'applique à presque tous les types d'entités financières dans l'Union européenne. Bien que les premières institutions qui viennent à l'esprit soient les banques et les compagnies d'assurance, de nombreuses autres organisations sont également couvertes par DORA conformément à l'Article 2.

DORA impose aux entités financières de gérer les risques associés aux fournisseurs tiers, ce qui implique que ces fournisseurs doivent également se conformer aux réglementations DORA.

Banking & Payment

  • Établissements de crédit
  • Établissements de paiement
  • Prestataires de services d’information sur les comptes
  • Prestataires de services de communication de données
  • Etablissements de monnaie électronique
  • Prestataires tiers de services liés aux technologies de l’information et de la communication (« TIC»)

Finance

  • Entreprises d’investissement
  • Prestataires de services sur crypto-actifs agréés sur les marchés de crypto-actifs et les émetteurs de jetons se référant à un ou des actifs
  • Sociétés de gestion
  • Gestionnaires de fonds d’investissement alternatifs
  • Prestataires de services de financement participatif
  • Dépositaires centraux de titres
  • Contreparties centrales
  • Plates-formes de trading
  • Référentiels centraux
  • Référentiels des titrisations
  • Agences de notation de crédit
  • Administrateurs d’indices de référence d’importance critique

Assurance

  • Entreprises d’assurance et de réassurance
  • Intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire
  • Institutions de retraite professionnelle

Quelles sont les principales exigences de DORA?

Un changement de paradigme dans la cybersécurité et la résilience opérationnelle

DORA n'est pas un exercice de conformité "ponctuel", mais une exigence de maintenir une résilience constante dans un environnement changeant et un contexte technologique de plus en plus complexe.

Les réglementations de la Loi sur la Résilience Opérationnelle Numérique (DORA) sont divisées en cinq catégories, chacune conçue pour améliorer différents aspects de la cybersécurité dans les organisations. Les composants principaux incluent :

Chapter II

Gestion des risques liés aux TIC

DORA exige un cadre complet pour la gestion des risques liés aux TIC comme base de la résilience des entreprises financières. L'organe de gouvernance assume la responsabilité ultime de la gestion du risque lié aux TIC de l'entité financière.

Articles 5 à 16
Chapitre III

Gestion des incidents

DORA renforce la gestion des incidents dans les TIC en mettant en œuvre la détection, la classification et le signalement obligatoire des incidents majeurs, ainsi qu'en encourageant le signalement volontaire des cybermenaces significatives aux autorités.

Articles 17 à 23
Chapitre IV

Tests de résilience

Une approche basée sur les risques garantit que les systèmes informatiques critiques et importants sont régulièrement testés pour leur résilience opérationnelle et leur protection contre les perturbations potentielles. Par exemple, un test d'intrusion basé sur les menaces doit être effectué au moins tous les trois ans sur les systèmes de production.

Articles 24 à 27
Chapitre V

Gestion des risques liés aux tiers

Le règlement DORA impose la tenue d'un registre détaillé de tous les contrats conclus avec des fournisseurs de services TIC, en mettant particulièrement l'accent sur ceux qui sont essentiels aux opérations, et fixe des normes minimales pour la surveillance des risques. Elle établit également un cadre européen pour superviser les fournisseurs de services tiers critiques.

Articles 28 à 44
Chapitre VI

Partage de l'information

La réglementation permet aux entreprises financières d'échanger des informations sur les menaces cybernétiques entre elles et de recevoir et d'agir sur des données de menaces anonymisées fournies par l'autorité de supervision. L'objectif est de développer des capacités défensives et des techniques de détection.

Article 56

À quoi ressemblent les amendes ?

Les autorités compétentes des Etats membres auront le pouvoir d’appliquer des sanctions administratives ou des mesures correctives comme la cessation temporaire ou définitive de toute pratique ou conduite contraire aux dispositions du règlement ou adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales (article 50).

Les prestataires tiers critiques de services TIC violant la réglementation DORA peuvent encourir des astreintes journalière publique allant jusqu'à 1 % de leur chiffre d'affaires mondial quotidien (art.35), en fonction de la gravité de la violation et de leur coopération avec les autorités. L'astreinte est appliquée quotidiennement jusqu'à conformité ou pour six mois maximum après notification au prestataire de services TIC critique.

Qu'est-ce que Stroople peut faire pour vous?

Préparez-vous dès aujourd'hui au DORA et assurez votre résilience opérationnelle numérique de demain

Step 1

Eligibilité au DORA

La DORA est un règlement complexe qui peut faire double emploi avec d'autres règlements applicables (NIS2, ...).

Nous vous aidons en organisant des ateliers ciblés, des sessions de formation et des mises à jour pour vous aider à comprendre la DORA.

Nous définissons les périmètres concernés par la conformité à la DORA et réalisons une première analyse d'impact. Nous identifions également vos actifs critiques.

 

Step 2

Gap Analysis

Il est important d’identifier les principales lacunes de votre maturité pour garantir un plan de résilience efficace.

Nous analysons les écarts entre les mesures déjà en place et les 480 exigences de la DORA à travers des entretiens guidés et des analyses documentaires.

Nous assurons une corrélation entre les exigences de la DORA et les principaux standards internationaux de cybersécurité (NIST, CIS Controls, ISO 27001, etc.).

 

Step 3

Roadmap

Il est essentiel de développer une feuille de route visant à atteindre le niveau de résilience souhaité tout en garantissant la conformité aux exigences de la DORA.
 
Nous vous offrons une perspective complète sur les mesures nécessaires pour atteindre la conformité à la DORA.
 
Nous identifions et évaluons les activités de remédiation pour les tierces parties soutenant vos infrastructures critiques, ainsi que leur capacité à aider à gérer les données, à répondre aux exigences de conformité et à effectuer des tests de résilience.
 
Nous établissons un plan d'action priorisé en fonction de la criticité des lacunes identifiées.
 
Step 4

Remédiation

Nous vous accompagnons dans la mise en oeuvre de votre rroadmap afin de vous permettre de renforcer votre résilience et de vous conformer au DORA.
 
Nous définissons la portée du projet en tenant compte de la conformité avec les réglementations existantes.
 
Nous fournissons un accompagnement sur-mesure en fonction de vos besoins pour mettre en œuvre les actions décrites dans la feuille de route afin d'atteindre la conformité à la DORA et de renforcer votre résilience.
 

Standards de cybersécurité & DORA

Les avantages à intégrer les référentiels de cybersécurité avec DORA

Dans le secteur financier, la conformité à la DORA et aux principaux standards de cybersécurité (NIST, CIS Controls, ISO, etc.) atténue les risques associés aux transactions en ligne et aux violations de données, renforçant ainsi la confiance et assurant la continuité des activités. Les institutions financières doivent prêter une attention particulière aux exigences strictes de la DORA en matière de résilience opérationnelle et de gestion des risques des tiers TIC.

Approche unifiée

Les standards de sécurité offrent des meilleures pratiques reconnues mondialement. Aligner la DORA avec ces standards assure une gestion cohérente de la cybersécurité et de la conformité.

Management simplifié

Les organisations peuvent simplifier leurs processus de gestion en exploitant l'infrastructure et les ressources existantes. La gestion peut être effectuée via des outils conviviaux.

Efficience

Des directives claires facilitent la priorisation des efforts et l'allocation des ressources en fonction de l'importance et de l'impact de chaque contrôle.

Évolutivité & adaptabilité

Les standards peuvent être choisis et adaptés en fonction de la taille, de l’activité et des enjeux de l’organisation. Les aligner avec la DORA garantit que les mesures de cybersécurité restent flexibles face aux changements réglementaires et technologiques.

Amélioration continue

Les standards de cybersécurité intègrent le concept d'amélioration continue. En les alignant avec la DORA, les organisations peuvent maintenir leurs mesures de cybersécurité à jour face aux nouvelles menaces.

Des questions? Demandez à nos experts.

20 Juin 2024, 11H00

WEBINAR : DORA

DORA: serez-vous prêt?

4 prérequis opérationnel pour se préparer

Replay