Digital Operations Resilience Act

Digital Operations Resilience Act (DORA) Regulation

Digital Operations Resilience Act (DORA) Regulation

Assurer la cyber-résilience des institutions financières.

Qu'est-ce que DORA?

De la gestion du risque informatique et cyber à la résilience opérationnelle numérique

La Loi sur la Résilience Opérationnelle Numérique (Règlement (UE) 2022/2554) est un cadre réglementaire mis en place pour améliorer la cybersécurité et la résilience opérationnelle du secteur des services financiers. Elle complète les lois existantes telles que la Directive sur la sécurité des réseaux et des informations (NISD) et le Règlement Général sur la Protection des Données (RGPD).

La Loi sur la Résilience Opérationnelle Numérique (DORA), connue sous le nom de "lex specialis" de NIS2, a été introduite par la Commission Européenne en 2020 et vise à renforcer la "résilience" opérationnelle du secteur financier dans l'Union Européenne. Elle étend et unifie les normes et exigences européennes existantes pour créer un cadre détaillé et harmonisé.

Le concept de « résilience » introduit un changement de paradigme. Il s’agit pour les entreprises du secteur financier de s’organiser, dès le départ, pour assurer une gestion efficace des pannes et des cyber-attaques.

DORA s’articule autour de trois principes fondamentaux :

Gestion des risques et incidents informatiques et de cybersécurité
Gestion de la Résilience opérationnelle
Partage d’information

Le Règlement sur la Résilience Opérationnelle Numérique (DORA) devrait entrer en vigueur le 17 janvier 2025. Cette date représente un jalon important pour les institutions financières, qui devront se conformer aux nouvelles exigences énoncées dans la législation.

DORA s'applique, entre autres, aux établissements de crédit, aux établissements de paiement, aux prestataires de services de crypto-actifs, aux compagnies d'assurance et de réassurance, aux gestionnaires d'actifs, ainsi qu'aux fournisseurs de services TIC tiers.

DORA n'est pas un exercice de conformité ponctuel, mais une exigence de maintenir une résilience constante dans un environnement en évolution et un contexte technologique de plus en plus complexe.

Pourquoi DORA?

Propagation des cyberattaques par secteur d'activité

Avec la dépendance croissante du secteur financier à la technologie numérique et son interconnexion grandissante, il fait face à une vulnérabilité accrue à diverses cyberattaques. En effet, Statista rapporte qu'en 2022, le secteur de la finance et des assurances était classé comme la deuxième cible la plus fréquente des activités cybercriminelles.

24.8%
Industrie
18.9%
Finance et Assurance
14.6%
Services aux entreprises et aux consommateurs
10.7%
Energie
8.7%
Vente au détail et en gros
7.3%
Education
5.8%
Santé
4.8%
Gouvernement
3.9%
Transports
0.5%
Media and Telecom

Les institutions financières, qui gèrent d'énormes quantités de données sensibles, sont des cibles privilégiées pour les pirates informatiques, comme en témoigne leur conscience de longue date de leur attractivité pour les cybercriminels. Malgré les diverses mesures de cybersécurité en place, de nombreuses entités restent insuffisamment protégées.

Quelles sont les entités qui relèvent de DORA ?

DORA s'applique à presque tous les types d'entités financières dans l'Union européenne. Bien que les premières institutions qui viennent à l'esprit soient les banques et les compagnies d'assurance, de nombreuses autres organisations sont également couvertes par DORA conformément à l'Article 2.

DORA impose aux entités financières de gérer les risques associés aux fournisseurs tiers, ce qui implique que ces fournisseurs doivent également se conformer aux réglementations DORA.

Banque & Paiement

  • Établissements de crédit
  • Établissements de paiement
  • Prestataires de services d’information sur les comptes
  • Prestataires de services de communication de données
  • Etablissements de monnaie électronique
  • Prestataires tiers de services liés aux technologies de l’information et de la communication (« TIC»)

Finance

  • Entreprises d’investissement
  • Prestataires de services sur crypto-actifs agréés sur les marchés de crypto-actifs et les émetteurs de jetons se référant à un ou des actifs
  • Sociétés de gestion
  • Gestionnaires de fonds d’investissement alternatifs
  • Prestataires de services de financement participatif
  • Dépositaires centraux de titres
  • Contreparties centrales
  • Plates-formes de trading
  • Référentiels centraux
  • Référentiels des titrisations
  • Agences de notation de crédit
  • Administrateurs d’indices de référence d’importance critique

Assurance

  • Entreprises d’assurance et de réassurance
  • Intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire
  • Institutions de retraite professionnelle

Quelles sont les principales exigences de DORA?

Un changement de paradigme dans la cybersécurité et la résilience opérationnelle

DORA n'est pas un exercice de conformité "ponctuel", mais une exigence de maintenir une résilience constante dans un environnement changeant et un contexte technologique de plus en plus complexe.

Les réglementations de la Loi sur la Résilience Opérationnelle Numérique (DORA) sont divisées en cinq catégories, chacune conçue pour améliorer différents aspects de la cybersécurité dans les organisations. Les composants principaux incluent :

Chapter II

Gestion des risques liés aux TIC

DORA exige un cadre complet pour la gestion des risques liés aux TIC comme base de la résilience des entreprises financières. L'organe de gouvernance assume la responsabilité ultime de la gestion du risque lié aux TIC de l'entité financière.

Articles 5 à 16
Chapitre III

Gestion des incidents

DORA renforce la gestion des incidents dans les TIC en mettant en œuvre la détection, la classification et le signalement obligatoire des incidents majeurs, ainsi qu'en encourageant le signalement volontaire des cybermenaces significatives aux autorités.

Articles 17 à 23
Chapitre IV

Tests de résilience

Une approche basée sur les risques garantit que les systèmes informatiques critiques et importants sont régulièrement testés pour leur résilience opérationnelle et leur protection contre les perturbations potentielles. Par exemple, un test d'intrusion basé sur les menaces doit être effectué au moins tous les trois ans sur les systèmes de production.

Articles 24 à 27
Chapitre V

Gestion des risques liés aux tiers

Le règlement DORA impose la tenue d'un registre détaillé de tous les contrats conclus avec des fournisseurs de services TIC, en mettant particulièrement l'accent sur ceux qui sont essentiels aux opérations, et fixe des normes minimales pour la surveillance des risques. Elle établit également un cadre européen pour superviser les fournisseurs de services tiers critiques.

Articles 28 à 44
Chapitre VI

Partage de l'information

La réglementation permet aux entreprises financières d'échanger des informations sur les menaces cybernétiques entre elles et de recevoir et d'agir sur des données de menaces anonymisées fournies par l'autorité de supervision. L'objectif est de développer des capacités défensives et des techniques de détection.

Article 56

À quoi ressemblent les amendes ?

Les autorités compétentes des Etats membres auront le pouvoir d’appliquer des sanctions administratives ou des mesures correctives comme la cessation temporaire ou définitive de toute pratique ou conduite contraire aux dispositions du règlement ou adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales (article 50).

Les prestataires tiers critiques de services TIC violant la réglementation DORA peuvent encourir des astreintes journalière publique allant jusqu'à 1 % de leur chiffre d'affaires mondial quotidien (art.35), en fonction de la gravité de la violation et de leur coopération avec les autorités. L'astreinte est appliquée quotidiennement jusqu'à conformité ou pour six mois maximum après notification au prestataire de services TIC critique.

Qu'est-ce que Stroople peut faire pour vous?

Préparez-vous dès aujourd'hui au DORA et assurez votre résilience opérationnelle numérique de demain

Stroople s'engage à aider votre organisation à s'aligner sur les mandats de DORA, en assurant à la fois une protection solide et la conformité réglementaire.

Nous proposons une série de services de cyber-résilience adaptés aux institutions financières :

  1. Risk Assessment: Notre équipe procède à des évaluations approfondies des risques afin d'identifier les vulnérabilités de vos opérations numériques et vous conseille sur les stratégies de gestion des risques.
  2. Compliance Evaluation : Nous évaluons la conformité de votre organisation à DORA, en offrant un soutien et des conseils pour les domaines nécessitant une amélioration.
  3. Incident Response Strategy: Nous vous aidons à élaborer un plan complet de réponse aux incidents qui s'aligne sur les stipulations du DORA.
  4. Cybersecurity Evaluations: Grâce aux tests de cybersécurité, nous évaluons la solidité de votre infrastructure de sécurité, nous mettons en évidence les faiblesses identifiées et nous recommandons d'y remédier.
  5. Management of Third-Party Cyber Risks : Nous aidons à gérer efficacement les cyber-risques liés aux fournisseurs et prestataires de services tiers, en veillant à la conformité avec les réglementations du DORA.

Nos services sont conçus non seulement pour garantir la conformité de votre organisation avec DORA, mais aussi pour intégrer les meilleures pratiques en matière de cybersécurité et de résilience numérique.

Des questions? Demandez à nos experts.

Prendre RDV