Finance

Qu'est-ce que le règlement sur la résilience opérationnelle numérique (DORA)?

Publié le 17 January 2025 • Lecture : 8 minutes de lecture
Brillixa Herdhiana

Écrit par Brillixa Herdhiana

Pour de nombreuses institutions financières et fournisseurs de Technologies de l’Information et de la Communication (TIC), le Digital Operational Resilience Act (DORA, Règlement sur la Résilience Opérationnelle Numérique en français) est devenu un sujet familier. Maintenant qu’il est passé d’une préoccupation future à une réalité actuelle, vous avez certainement des questions sur la manière dont il peut impacter votre organisation.

Comment devriez-vous vous préparer ? Êtes-vous responsable de la conformité ? Cette législation vous affecte-t-elle réellement ?

Dans cet article, nous traiterons de ce que vous devez connaître à propos de DORA, y compris les cinq exigences principales et comment s’y conformer. Nous partagerons aussi la manière dont Livestorm a renforcé la sécurité et la protection de données, ce qui profite au secteur de la finance et au-delà.

Qu’est-ce que DORA ?

DORA est une réglementation européenne qui établit des directives en matière de gestion des risques TIC pour le secteur financier. Elle entre en vigueur le 17 janvier 2025, dans le but de protéger les entités financières et leurs clients des menaces numériques et des problèmes de sécurité.

Les Autorités Européennes de Surveillance (AES) comprenant l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP), l’Autorité Bancaire Européenne (ABE) et l’Autorité Européenne des Marchés Financiers (AEMF), supervisent les normes techniques de la loi.

Qui est concerné par Dora ?

DORA a été rédigée par la Commission Européenne, elle concerne l’ensemble des États membres de l’UE. La réglementation s’adresse aux institutions financières et à leurs fournisseurs TIC tiers.

image

En plus du matériel comme les ordinateurs et les smartphones, les TIC incluent les entreprises de logiciels et les fournisseurs de données. Cela englobe tout, des data centers aux fournisseurs de services cloud, en passant par les plateformes d’événements en ligne comme Livestorm.

Pourquoi DORA est important ?

Au cours de la dernière décennie, les entités financières ont largement adopté des technologies cloud et des services numériques comme le video banking. Bien que cette transition vers des opérations numériques rende les services financiers plus accessibles, cela implique aussi de sérieux risques.

DORA crée un cadre pour rendre ce secteur plus résilient et moins vulnérable aux incidents TIC. Il réduit les perturbations des services financiers, établit des normes de gestion des risques et résout les conflits entre les règles existantes.

5 exigences de la loi DORA

Bien que DORA soit relativement complexe, la loi repose sur cinq exigences. La dernière est facultative mais recommandée.

1. Gestion et gouvernance des risques TIC

Avant tout, DORA exige que toutes les entités concernées assument la responsabilité de leur propre gestion des risques. Chaque organisation doit développer ses propres lignes directrices pour la gestion des risques et mettre en place ses propres systèmes TIC résilients.

Cela implique :

  • Identifier les actifs TIC critiques et les problèmes de sécurité potentiels
  • Cartographier les dépendances entre les actifs et les systèmes
  • Evaluer les risques potentiels en termes de gravité et de probabilité
  • Déterminer la priorité des problèmes laissés en suspens

La création d’un cadre de gestion des risques n’est qu’une première étape. DORA demande aussi à ce que les organisations évaluent les risques en continu. Si votre organisation identifie un problème, vous devez conserver une trace des mesures que vous avez prises pour y remédier.

image

Pour encourager la résilience, DORA exige que les entités financières créent des plans de continuité d’activité. Dans le cas d’une cyberattaque majeure ou d’une défaillance d’un fournisseur de TIC, votre équipe doit pouvoir utiliser ce plan pour accéder aux sauvegardes des données, restaurer les systèmes TIC, et informer aussi bien les clients que les autorités.

Les perturbations majeures et les incidents liés au TIC peuvent coûter très vite chers. DORA demande aux organisations d’analyser l’impact commercial selon divers scénarios de cyber risques afin de simplifier l’évaluation des risques et les décisions liées aux TIC.

2. Réponse et signalement d’un incident TIC

N’attendez pas que votre organisation soit confrontée à une violation de données ou à une cyber menace pour penser à gérer les problèmes de TIC. La loi DORA exige que les entités concernées mettent en place un système de surveillance des incidents TIC. Ce système doit inclure des processus de documentation des problèmes, classer leur sévérité et leur signalement.

Tout incident classé comme critique requiert que vous le notifiez auprès des autorités, fournissiez un rapport d’avancement et partagiez une analyse finale de la cause. Votre organisation peut également avoir besoin d’informer tous clients ou partenaires commerciaux affectés par le problème.

3. Test de résilience opérationnelle numérique

Vous pensez en avoir fait assez pour protéger votre organisation d’une cyber attaque ? Au lieu de le supposer, mettez-la à l’épreuve.

DORA exige que les entités concernées évaluent de manière proactive les protections et cherchent les vulnérabilités. Au moins une fois par an, les organisations doivent procéder à des évaluations de vulnérabilité et tester des scénarios de cyber-risques spécifiques.

Toute entité considérée comme essentielle au système financier doit effectuer des tests d’infiltration au moins une fois tous les trois ans.

Après chaque série de tests, votre organisation doit soumettre un rapport aux autorités pour examen. Si vous identifiez des vulnérabilités, vous devez également leur adresser un plan d'action afin de les corriger.

4. Gestion des risques des tiers TIC

Vos fournisseurs de services TIC sont-ils conformes à DORA ? Étant donné que la réglementation s’applique aussi aux TIC, les entités concernées doivent adopter une approche proactive pour gérer les risques que ces prestataires pourraient engendrer.

A minima, votre organisation devrait vérifier que tout fournisseur de données ou de services cloud avec lequel vous concluez un contrat, respecte les directives d’accessibilité et de surveillance. Les fournisseurs de TIC devraient également être transparents à propos de leurs emplacements de traitement de la donnée.

image

De plus, votre organisation doit conserver les enregistrements des fournisseurs de TIC qui gèrent les fonctions critiques et importantes. Pour augmenter la résilience, aucun fournisseur ne doit contrôler une grande partie de ces fonctions.

Les organisations qui externalisent ces fonctions peuvent nécessiter de revoir les contrats TIC existants. Les autorités peuvent rendre invalides certains contrats s’ils ne couvrent pas les exigences d’accessibilité et de sécurité requises par DORA.

5. Partage d’informations et de renseignements

Les quatre exigences ci-dessus portent sur l’implémentation de directives internes et la fourniture de données essentielles aux autorités. Bien que ce ne soit pas exigé, DORA encourage les entités financières à partager leurs informations concernant les cyber-menaces.

Par ce partage d’informations et de renseignements avec d’autres organisations du secteur financier, vous pouvez prendre des mesures pour rendre l’environnement plus sécurisé pour tous. Ainsi, vous pouvez améliorer la résilience du secteur financier au global.

Si votre organisation choisit de collaborer avec d’autres organismes financiers, vous devez protéger toutes les données sensibles. Cela implique de respecter le Règlement Général de Protection des Données (RGPD) de l’UE.

Comment se conformer à la Loi sur la Résilience Opérationnelle Numérique (DORA)

Utilisez ce guide comme point de départ pour appliquer les exigences DORA. Pour être certain que votre organisme soit conforme avec DORA, consultez avec votre équipe juridique.

Constituer une task force sur la conformité

La DORA exige des institutions financières et des fournisseurs de TIC qu’ils mettent en place des systèmes internes pour la gestion de l’évaluation des risques, les tests et les reportings. Etant donné que ces systèmes impliquent souvent des recherches approfondies, une communication permanente avec les fournisseurs et des process de reportings spécifiques, ils demandent un management actif.

Au lieu de laisser chaque département gérer ses propres risques, adoptez une approche unifiée. Créez une task force chargée de superviser les évaluations, de tester et de reporter en continu à l’organisation. Selon la taille de l’organisation, cela peut nécessiter un investissement significatif en ressources.

Réaliser des tests de routine

Étant donné que DORA vise à améliorer la résilience, la loi exige des organisations qu’elles adoptent une approche proactive pour identifier les problèmes de sécurité. Pour de nombreuses organisations, des tests annuels suffisent.

Cependant, les institutions financières critiques et leurs fournisseurs de TIC doivent subir des tests de pénétration tous les trois ans. Cela inclut les logiciels d’onboarding des employés, d’engagement des clients, de communication interne, d’analyse de la data et autres.

Planifier une surveillance en temps réel et signaler les incidents

Développez un système qui permet à votre équipe de surveiller les problèmes de sécurité et de reporter en temps réel les incidents. Ainsi, vous pouvez éviter les retards inutiles ou la compromission de données supplémentaires.

Bien que la DORA vous demande de reporter les incidents critiques, vous pouvez également prendre des mesures additionnelles. Envisagez de participer au partage d'informations et de renseignements pour améliorer la résilience opérationnelle de davantage d’institutions financières.

Les vendeurs tiers

Pour les institutions financières, s’assurer que les systèmes internes sont conformes avec la loi DORA est une première étape importante. Cependant, vous avez également besoin de confirmer que vos fournisseurs de TIC se conforment aussi aux exigences de la DORA.

Par conséquent, vous devez examiner soigneusement les vendeurs tiers avec lesquels vous travaillez pour le traitement des paiements, la formation client, le video banking et autres initiatives de la finance digitale. Tout fournisseur de services TIC que vous choisissez doit répondre aux exigences DORA en termes de sécurité et d’accessibilité.

image

En tant que l’un des fournisseurs de logiciel de visioconférence des plus sécurisé, Livestorm est équipée pour les clients d'entreprises du secteur financier.

Notre logiciel a obtenu la certification ISO et la conformité RGPD. Le portail de sécurité Livestorm comprend la documentation ISO 27001 et les informations sur notre profil risque, notre produit et la sécurité des données, de l'infrastructure et des rapports.

Conserver des enregistrements des efforts de conformité

Cochez toutes les cases de la conformité n’est pas suffisant. Votre organisation doit aussi conserver les traces de tous les efforts de conformité, ce qui inclut les audits, les tests, les plans d’amélioration et les incidents.

La documentation des process de gestion des risques est une partie essentielle de DORA. La loi exige que les entités concernées fournissent toute la documentation des dépendances des actifs de la classification des risques aux étapes d’atténuation.

FAQ à propos de la conformité DORA

Quand la loi DORA entre-t-elle en vigueur ?

DORA est entrée en vigueur le 16 janvier 2023. Cependant, les exigences liées à la loi entrent en application dès le 17 janvier 2025.

Quelles sont les pénalités en cas de non conformité avec DORA ?

Les autorités européennes de surveillance (AES) peuvent imposer des pénalités financières si elles identifient des problèmes de conformité avec la réglementation DORA. Les pénalités pour non conformité peuvent être égales à 1% du chiffre d’affaires quotidien moyen monde de l’entité.

Ces amendes peuvent vite s’accumuler. Les superviseurs des AES peuvent infliger des amendes aux fournisseurs de TIC non conformes, pendant une période pouvant aller jusqu’à 6 mois, ou jusqu’à ce qu’ils soient en conformité.

Est-ce que DORA s’applique aux organisations en dehors de l’UE ?

La réponse rapide est oui. Bien que DORA soit une réglementation de l’Union Européenne, elle peut potentiellement s’appliquer à des organisations du monde entier.

Tout fournisseur de logiciels ou de technologies qui fournit des systèmes TIC à des clients de l’UE doit se conformer à DORA. Cela signifie que si votre organisation est un fournisseur de services d’analyse ou de cloud pour le secteur financier, il est dans votre meilleur intérêt de vous conformer aux exigences de la loi DORA.

Brillixa Herdhiana

À propos de l'auteur

Brillixa Herdhiana - Senior Growth Manager

Brillixa a rejoint Livestorm en tant que Growth Manager en 2021. Son expérience lui permet de contribuer à la croissance de l'entreprise grâce à la génération de leads à partir de publicités et de canaux organiques.

Articles recommandés

70 idées d’activités et jeux pour un team building à distance
Travail hybride

70 idées d’activités et jeux pour un team building à distance

Comment organiser et promouvoir son événement commercial ?
Ventes

Comment organiser et promouvoir son événement commercial ?

15 meilleurs concurrents et alternatives à Zoom
Travail hybride

15 meilleurs concurrents et alternatives à Zoom

9 logiciels de visioconférence (gratuits) pour vos réunions en ligne
Travail hybride

9 logiciels de visioconférence (gratuits) pour vos réunions en ligne

Top 12 des microphones pour vos visioconférences
Travail hybride

Top 12 des microphones pour vos visioconférences

7 règles pour organiser un stand-up meeting efficace
Travail hybride

7 règles pour organiser un stand-up meeting efficace