Digital Operations Resilience Act (DORA) Regulation
Digital Operations Resilience Act (DORA) Regulation
Assurer la cyber-résilience des institutions financières.
Qu'est-ce que DORA?
De la gestion du risque informatique et cyber à la résilience opérationnelle numérique
La Loi sur la Résilience Opérationnelle Numérique (Règlement (UE) 2022/2554) est un cadre réglementaire mis en place pour améliorer la cybersécurité et la résilience opérationnelle du secteur des services financiers. Elle complète les lois existantes telles que la Directive sur la sécurité des réseaux et des informations (NISD) et le Règlement Général sur la Protection des Données (RGPD).
La Loi sur la Résilience Opérationnelle Numérique (DORA), connue sous le nom de "lex specialis" de NIS2, a été introduite par la Commission Européenne en 2020 et vise à renforcer la "résilience" opérationnelle du secteur financier dans l'Union Européenne. Elle étend et unifie les normes et exigences européennes existantes pour créer un cadre détaillé et harmonisé.
Le concept de « résilience » introduit un changement de paradigme. Il s’agit pour les entreprises du secteur financier de s’organiser, dès le départ, pour assurer une gestion efficace des pannes et des cyber-attaques.
DORA s’articule autour de trois principes fondamentaux :
Le Règlement sur la Résilience Opérationnelle Numérique (DORA) devrait entrer en vigueur le 17 janvier 2025. Cette date représente un jalon important pour les institutions financières, qui devront se conformer aux nouvelles exigences énoncées dans la législation.
DORA s'applique, entre autres, aux établissements de crédit, aux établissements de paiement, aux prestataires de services de crypto-actifs, aux compagnies d'assurance et de réassurance, aux gestionnaires d'actifs, ainsi qu'aux fournisseurs de services TIC tiers.
DORA n'est pas un exercice de conformité ponctuel, mais une exigence de maintenir une résilience constante dans un environnement en évolution et un contexte technologique de plus en plus complexe.
Pourquoi DORA?
Propagation des cyberattaques par secteur d'activité
Avec la dépendance croissante du secteur financier à la technologie numérique et son interconnexion grandissante, il fait face à une vulnérabilité accrue à diverses cyberattaques. En effet, Statista rapporte qu'en 2022, le secteur de la finance et des assurances était classé comme la deuxième cible la plus fréquente des activités cybercriminelles.
Les institutions financières, qui gèrent d'énormes quantités de données sensibles, sont des cibles privilégiées pour les pirates informatiques, comme en témoigne leur conscience de longue date de leur attractivité pour les cybercriminels. Malgré les diverses mesures de cybersécurité en place, de nombreuses entités restent insuffisamment protégées.
Quelles sont les entités qui relèvent de DORA ?
DORA s'applique à presque tous les types d'entités financières dans l'Union européenne. Bien que les premières institutions qui viennent à l'esprit soient les banques et les compagnies d'assurance, de nombreuses autres organisations sont également couvertes par DORA conformément à l'Article 2.
DORA impose aux entités financières de gérer les risques associés aux fournisseurs tiers, ce qui implique que ces fournisseurs doivent également se conformer aux réglementations DORA.
Banque & Paiement
- Établissements de crédit
- Établissements de paiement
- Prestataires de services d’information sur les comptes
- Prestataires de services de communication de données
- Etablissements de monnaie électronique
- Prestataires tiers de services liés aux technologies de l’information et de la communication (« TIC»)
Finance
- Entreprises d’investissement
- Prestataires de services sur crypto-actifs agréés sur les marchés de crypto-actifs et les émetteurs de jetons se référant à un ou des actifs
- Sociétés de gestion
- Gestionnaires de fonds d’investissement alternatifs
- Prestataires de services de financement participatif
- Dépositaires centraux de titres
- Contreparties centrales
- Plates-formes de trading
- Référentiels centraux
- Référentiels des titrisations
- Agences de notation de crédit
- Administrateurs d’indices de référence d’importance critique
Assurance
- Entreprises d’assurance et de réassurance
- Intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire
- Institutions de retraite professionnelle
Quelles sont les principales exigences de DORA?
Un changement de paradigme dans la cybersécurité et la résilience opérationnelle
DORA n'est pas un exercice de conformité "ponctuel", mais une exigence de maintenir une résilience constante dans un environnement changeant et un contexte technologique de plus en plus complexe.
Les réglementations de la Loi sur la Résilience Opérationnelle Numérique (DORA) sont divisées en cinq catégories, chacune conçue pour améliorer différents aspects de la cybersécurité dans les organisations. Les composants principaux incluent :
Gestion des risques liés aux TIC
DORA exige un cadre complet pour la gestion des risques liés aux TIC comme base de la résilience des entreprises financières. L'organe de gouvernance assume la responsabilité ultime de la gestion du risque lié aux TIC de l'entité financière.
Gestion des incidents
DORA renforce la gestion des incidents dans les TIC en mettant en œuvre la détection, la classification et le signalement obligatoire des incidents majeurs, ainsi qu'en encourageant le signalement volontaire des cybermenaces significatives aux autorités.
Tests de résilience
Une approche basée sur les risques garantit que les systèmes informatiques critiques et importants sont régulièrement testés pour leur résilience opérationnelle et leur protection contre les perturbations potentielles. Par exemple, un test d'intrusion basé sur les menaces doit être effectué au moins tous les trois ans sur les systèmes de production.
Gestion des risques liés aux tiers
Le règlement DORA impose la tenue d'un registre détaillé de tous les contrats conclus avec des fournisseurs de services TIC, en mettant particulièrement l'accent sur ceux qui sont essentiels aux opérations, et fixe des normes minimales pour la surveillance des risques. Elle établit également un cadre européen pour superviser les fournisseurs de services tiers critiques.
Partage de l'information
La réglementation permet aux entreprises financières d'échanger des informations sur les menaces cybernétiques entre elles et de recevoir et d'agir sur des données de menaces anonymisées fournies par l'autorité de supervision. L'objectif est de développer des capacités défensives et des techniques de détection.
À quoi ressemblent les amendes ?
Les autorités compétentes des Etats membres auront le pouvoir d’appliquer des sanctions administratives ou des mesures correctives comme la cessation temporaire ou définitive de toute pratique ou conduite contraire aux dispositions du règlement ou adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales (article 50).
Les prestataires tiers critiques de services TIC violant la réglementation DORA peuvent encourir des astreintes journalière publique allant jusqu'à 1 % de leur chiffre d'affaires mondial quotidien (art.35), en fonction de la gravité de la violation et de leur coopération avec les autorités. L'astreinte est appliquée quotidiennement jusqu'à conformité ou pour six mois maximum après notification au prestataire de services TIC critique.
Qu'est-ce que Stroople peut faire pour vous?
Préparez-vous dès aujourd'hui au DORA et assurez votre résilience opérationnelle numérique de demain
Stroople s'engage à aider votre organisation à s'aligner sur les mandats de DORA, en assurant à la fois une protection solide et la conformité réglementaire.
Nous proposons une série de services de cyber-résilience adaptés aux institutions financières :
- Risk Assessment: Notre équipe procède à des évaluations approfondies des risques afin d'identifier les vulnérabilités de vos opérations numériques et vous conseille sur les stratégies de gestion des risques.
- Compliance Evaluation : Nous évaluons la conformité de votre organisation à DORA, en offrant un soutien et des conseils pour les domaines nécessitant une amélioration.
- Incident Response Strategy: Nous vous aidons à élaborer un plan complet de réponse aux incidents qui s'aligne sur les stipulations du DORA.
- Cybersecurity Evaluations: Grâce aux tests de cybersécurité, nous évaluons la solidité de votre infrastructure de sécurité, nous mettons en évidence les faiblesses identifiées et nous recommandons d'y remédier.
- Management of Third-Party Cyber Risks : Nous aidons à gérer efficacement les cyber-risques liés aux fournisseurs et prestataires de services tiers, en veillant à la conformité avec les réglementations du DORA.
Nos services sont conçus non seulement pour garantir la conformité de votre organisation avec DORA, mais aussi pour intégrer les meilleures pratiques en matière de cybersécurité et de résilience numérique.