Digital Operations Resilience Act (DORA) Regulation
Digital Operations Resilience Act (DORA) Regulation
Assurer la cyber-résilience des institutions financières.
Qu'est-ce que DORA?
De la gestion du risque informatique et cyber à la résilience opérationnelle numérique
La Loi sur la Résilience Opérationnelle Numérique (Règlement (UE) 2022/2554) est un cadre réglementaire mis en place pour améliorer la cybersécurité et la résilience opérationnelle du secteur des services financiers. Elle complète les lois existantes telles que la Directive sur la sécurité des réseaux et des informations (NISD) et le Règlement Général sur la Protection des Données (RGPD).
La Loi sur la Résilience Opérationnelle Numérique (DORA), connue sous le nom de "lex specialis" de NIS2, a été introduite par la Commission Européenne en 2020 et vise à renforcer la "résilience" opérationnelle du secteur financier dans l'Union Européenne. Elle étend et unifie les normes et exigences européennes existantes pour créer un cadre détaillé et harmonisé.
Le concept de « résilience » introduit un changement de paradigme. Il s’agit pour les entreprises du secteur financier de s’organiser, dès le départ, pour assurer une gestion efficace des pannes et des cyber-attaques.
DORA s’articule autour de trois principes fondamentaux :
Le Règlement sur la Résilience Opérationnelle Numérique (DORA) devrait entrer en vigueur le 17 janvier 2025. Cette date représente un jalon important pour les institutions financières, qui devront se conformer aux nouvelles exigences énoncées dans la législation.
DORA s'applique, entre autres, aux établissements de crédit, aux établissements de paiement, aux prestataires de services de crypto-actifs, aux compagnies d'assurance et de réassurance, aux gestionnaires d'actifs, ainsi qu'aux fournisseurs de services TIC tiers.
DORA n'est pas un exercice de conformité ponctuel, mais une exigence de maintenir une résilience constante dans un environnement en évolution et un contexte technologique de plus en plus complexe.
Pourquoi DORA?
Propagation des cyberattaques par secteur d'activité
Avec la dépendance croissante du secteur financier à la technologie numérique et son interconnexion grandissante, il fait face à une vulnérabilité accrue à diverses cyberattaques. En effet, Statista rapporte qu'en 2022, le secteur de la finance et des assurances était classé comme la deuxième cible la plus fréquente des activités cybercriminelles.
Les cyberattaques contre les entreprises de services financiers en Europe ont augmenté de manière significative entre 2022 et 2023. Par exemple, le nombre d'attaques par ransomware dans le secteur financier a augmenté de 64 % en 2023 par rapport à l'année précédente. De plus, au troisième 2023, le nombre d'incidents dans ce secteur a doublé par rapport à la même période en 2022, soulignant l'attention accrue des criminels envers cette industrie. En 2023, le nombre d''attaques de ransomware dans le secteur de la finance a bondi de 64 % et a presque doublé par rapport à 2021.
Les données des clients des entreprises financières sont particulièrement prisées sur les marchés clandestins, représentant 42% des annonces de vente, d'achat ou de distribution gratuite de bases de données compromises.
Les institutions financières, qui gèrent d'énormes quantités de données sensibles, sont des cibles privilégiées pour les pirates informatiques, comme en témoigne leur conscience de longue date de leur attractivité pour les cybercriminels. Malgré les diverses mesures de cybersécurité en place, de nombreuses entités restent insuffisamment protégées.
Quelles sont les entités qui relèvent de DORA ?
DORA s'applique à presque tous les types d'entités financières dans l'Union européenne. Bien que les premières institutions qui viennent à l'esprit soient les banques et les compagnies d'assurance, de nombreuses autres organisations sont également couvertes par DORA conformément à l'Article 2.
DORA impose aux entités financières de gérer les risques associés aux fournisseurs tiers, ce qui implique que ces fournisseurs doivent également se conformer aux réglementations DORA.
Banking & Payment
- Établissements de crédit
- Établissements de paiement
- Prestataires de services d’information sur les comptes
- Prestataires de services de communication de données
- Etablissements de monnaie électronique
- Prestataires tiers de services liés aux technologies de l’information et de la communication (« TIC»)
Finance
- Entreprises d’investissement
- Prestataires de services sur crypto-actifs agréés sur les marchés de crypto-actifs et les émetteurs de jetons se référant à un ou des actifs
- Sociétés de gestion
- Gestionnaires de fonds d’investissement alternatifs
- Prestataires de services de financement participatif
- Dépositaires centraux de titres
- Contreparties centrales
- Plates-formes de trading
- Référentiels centraux
- Référentiels des titrisations
- Agences de notation de crédit
- Administrateurs d’indices de référence d’importance critique
Assurance
- Entreprises d’assurance et de réassurance
- Intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire
- Institutions de retraite professionnelle
Quelles sont les principales exigences de DORA?
Un changement de paradigme dans la cybersécurité et la résilience opérationnelle
DORA n'est pas un exercice de conformité "ponctuel", mais une exigence de maintenir une résilience constante dans un environnement changeant et un contexte technologique de plus en plus complexe.
Les réglementations de la Loi sur la Résilience Opérationnelle Numérique (DORA) sont divisées en cinq catégories, chacune conçue pour améliorer différents aspects de la cybersécurité dans les organisations. Les composants principaux incluent :
Gestion des risques liés aux TIC
DORA exige un cadre complet pour la gestion des risques liés aux TIC comme base de la résilience des entreprises financières. L'organe de gouvernance assume la responsabilité ultime de la gestion du risque lié aux TIC de l'entité financière.
Gestion des incidents
DORA renforce la gestion des incidents dans les TIC en mettant en œuvre la détection, la classification et le signalement obligatoire des incidents majeurs, ainsi qu'en encourageant le signalement volontaire des cybermenaces significatives aux autorités.
Tests de résilience
Une approche basée sur les risques garantit que les systèmes informatiques critiques et importants sont régulièrement testés pour leur résilience opérationnelle et leur protection contre les perturbations potentielles. Par exemple, un test d'intrusion basé sur les menaces doit être effectué au moins tous les trois ans sur les systèmes de production.
Gestion des risques liés aux tiers
Le règlement DORA impose la tenue d'un registre détaillé de tous les contrats conclus avec des fournisseurs de services TIC, en mettant particulièrement l'accent sur ceux qui sont essentiels aux opérations, et fixe des normes minimales pour la surveillance des risques. Elle établit également un cadre européen pour superviser les fournisseurs de services tiers critiques.
Partage de l'information
La réglementation permet aux entreprises financières d'échanger des informations sur les menaces cybernétiques entre elles et de recevoir et d'agir sur des données de menaces anonymisées fournies par l'autorité de supervision. L'objectif est de développer des capacités défensives et des techniques de détection.
À quoi ressemblent les amendes ?
Les autorités compétentes des Etats membres auront le pouvoir d’appliquer des sanctions administratives ou des mesures correctives comme la cessation temporaire ou définitive de toute pratique ou conduite contraire aux dispositions du règlement ou adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales (article 50).
Les prestataires tiers critiques de services TIC violant la réglementation DORA peuvent encourir des astreintes journalière publique allant jusqu'à 1 % de leur chiffre d'affaires mondial quotidien (art.35), en fonction de la gravité de la violation et de leur coopération avec les autorités. L'astreinte est appliquée quotidiennement jusqu'à conformité ou pour six mois maximum après notification au prestataire de services TIC critique.
Qu'est-ce que Stroople peut faire pour vous?
Préparez-vous dès aujourd'hui au DORA et assurez votre résilience opérationnelle numérique de demain
Eligibilité au DORA
La DORA est un règlement complexe qui peut faire double emploi avec d'autres règlements applicables (NIS2, ...).
Nous vous aidons en organisant des ateliers ciblés, des sessions de formation et des mises à jour pour vous aider à comprendre la DORA.
Nous définissons les périmètres concernés par la conformité à la DORA et réalisons une première analyse d'impact. Nous identifions également vos actifs critiques.
Gap Analysis
Il est important d’identifier les principales lacunes de votre maturité pour garantir un plan de résilience efficace.
Nous analysons les écarts entre les mesures déjà en place et les 480 exigences de la DORA à travers des entretiens guidés et des analyses documentaires.
Nous assurons une corrélation entre les exigences de la DORA et les principaux standards internationaux de cybersécurité (NIST, CIS Controls, ISO 27001, etc.).
Roadmap
Remédiation
Standards de cybersécurité & DORA
Les avantages à intégrer les référentiels de cybersécurité avec DORA
Dans le secteur financier, la conformité à la DORA et aux principaux standards de cybersécurité (NIST, CIS Controls, ISO, etc.) atténue les risques associés aux transactions en ligne et aux violations de données, renforçant ainsi la confiance et assurant la continuité des activités. Les institutions financières doivent prêter une attention particulière aux exigences strictes de la DORA en matière de résilience opérationnelle et de gestion des risques des tiers TIC.
Approche unifiée
Les standards de sécurité offrent des meilleures pratiques reconnues mondialement. Aligner la DORA avec ces standards assure une gestion cohérente de la cybersécurité et de la conformité.
Management simplifié
Les organisations peuvent simplifier leurs processus de gestion en exploitant l'infrastructure et les ressources existantes. La gestion peut être effectuée via des outils conviviaux.
Efficience
Des directives claires facilitent la priorisation des efforts et l'allocation des ressources en fonction de l'importance et de l'impact de chaque contrôle.
Évolutivité & adaptabilité
Les standards peuvent être choisis et adaptés en fonction de la taille, de l’activité et des enjeux de l’organisation. Les aligner avec la DORA garantit que les mesures de cybersécurité restent flexibles face aux changements réglementaires et technologiques.
Amélioration continue
Les standards de cybersécurité intègrent le concept d'amélioration continue. En les alignant avec la DORA, les organisations peuvent maintenir leurs mesures de cybersécurité à jour face aux nouvelles menaces.
Des questions? Demandez à nos experts.
20 Juin 2024, 11H00
WEBINAR : DORA
DORA: serez-vous prêt?
4 prérequis opérationnel pour se préparer
Replay