Qu'est-ce que la réglementation DORA (Digital Operational Resilience Act)?

Index

1. Qu'est-ce que la Digital Operational Resilience Act (DORA)?
2. Quels sont les objectifs de la réglementation DORA?
3. À qui s'adresse le réglement DORA?
4. Quel est le calendrier d’application pour la loi sur la résilience opérationnelle numérique ?
5. Quelles sont les prescriptions imposées par DORA?
6. Comment le respect du réglement DORA sera-t-il surveillé?
7. Qu'est-ce que la gouvernance des TIC?
8. Les solutions EasyVista pour la réglementation DORA.

La loi sur la résilience opérationnelle numérique (DORA) représente une étape importante dans le renforcement de la cybersécurité pour les opérateurs du secteur financier au sein de l'Union européenne.

Ce règlement vise à garantir que les institutions financières puissent réagir rapidement à tout type de cybermenace ou de perturbation opérationnelle.

Dans cet article, nous examinerons ce qu'est le règlement DORA, ce que sont ses principaux objectifs, à qui il s’adresse, mais également son calendrier de mise en œuvre, ses principales exigences, et nous donnerons un aperçu détaillé de la gestion des risques liés aux TIC.

Qu'est-ce que la Digital Operational Resilience Act (DORA)?

La réglementation DORA (Digital Operational Resilience Act) est une directive émise par la Commission Européenne visant à renforcer la cybersécurité des entités financières comme les banques, les compagnies d'assurance et les sociétés d'investissement.

La réglementation établit un cadre commun pour la gestion des risques liés aux technologies de l'information et de la communication (TIC) et exige des entités financières de garantir un niveau élevé de résilience opérationnelle numérique.

Quels sont les objectifs de la réglementation DORA?

Les principaux objectifs de la réglementation DORA sont les suivants :

1. La résilience opérationnelle : Assurer que les institutions financières peuvent continuer à fonctionner même en cas d'incidents de cybersécurité.
   
   
2. La gestion des risques des TIC : Créer un cadre solide pour la gestion des risques liés aux TIC, incluant la prévention, la détection, la réponse et la remise en marche après les incidents cybernétiques.
3. La supervision et la coordination: Renforcer la supervision et la coordination entre les autorités nationales et européennes compétentes.
4. La transparence et la responsabilité: Assurer que les institutions financières sont transparentes quant à leur exposition aux risques liés aux TIC et qu’elles prennent des mesures adéquates pour atténuer ces risques.

À qui s'adresse la réglementation DORA?

La réglementation DORA s'adresse à un large éventail d'entités financières, y compris :

• Les banques
• Les compagnies d'assurance
• Les sociétés de gestion d'actifs
• Les plateformes de négociation
• Les agences de notation
• Les infrastructures de marché financier
• Les fournisseurs de services TIC liés aux entités du secteur financier

Quel est le calendrier d’application pour la réglementation DORA?

La réglementation DORA a été publiée au Journal Officiel de l'Union Européenne en décembre 2022 et elle est entrée en vigueur le 16 janvier 2023. Les opérateurs financiers et autres entités couvertes par la réglementation doivent se conformer aux exigences de DORA avant le 17 janvier 2025.

Pendant cette période de transition, les entités doivent se préparer de façon appropriée pour répondre aux nouvelles dispositions réglementaires.

Quelles sont les prescriptions de DORA?

La réglementation DORA normalise les critères relatifs à la sécurité des réseaux et des systèmes d'information qui régissent les processus commerciaux des entités financières.

Les exigences du réglement concernent les domaines suivants :

• La gestion des risques liés aux TIC
• Le reporting et la surveillance des incidents liés aux TIC
• Les tests de résilience opérationnelle numérique
• La gouvernance des risques liés aux tiers
• Le partage d'informations

La gestion des risques liés aux TIC

Les entités financières seront responsables de définir une stratégie qui inclut:

• La définition des KPI (indicateurs clé performance) et des métriques nécessaires pour l'évaluation des risques ;
• L’identification des risques de dysfonctionnement ;
• La cartographie des actifs, de leurs dépendances et l’identification des fonctions cruciales 
• La conception et la configuration de scénarios de test complexes pour réaliser une analyse d'impact adéquate sur l'entreprise ;
• La compréhension des dépendances entre les actifs, les systèmes et les processus commerciaux.

Le reporting et la surveillance

La réglementation DORA prévoit des processus afin de classer, évaluer, signaler les cyberincidents et communiquer à leur propos . Il est également nécessaire d'analyser et de fournir des informations liées aux incidents des TIC et aux menaces pesant sur les services.

Les tests de résilience opérationnelle numérique

DORA impose un plan annuel pour garantir la mise en œuvre de tests adéquats portant sur la sécurité et la résilience des systèmes et applications essentiels. En outre, les entités financières impliquées doivent démontrer leur capacité à remédier aux vulnérabilités identifiées.

La gestion des risques liés aux TIC de tiers

Les entités financières doivent gérer de manière efficace et cohérente tous les risques liés aux technologies de l'information et de la communication (TIC), en effectuant des tests et en incluant des termes contractuels suffisamment protecteurs dans l'externalisation des services TIC.

Une évaluation des risques de tous les contrats d’externalisation informatique soutenant des services essentiels ou importants sera nécessaire.

Le partage d'informations

Les fournisseurs tiers essentiels doivent démontrer leur capacité à améliorer la résilience pour soutenir les systèmes financiers, car les entités financières dépendent fortement de la stabilité, de la fonctionnalité, de la disponibilité et de la sécurité des services TIC reçus.

Découvrez comment les solutions EasyVista peuvent vous aider à appliquer les exigences de DORA : téléchargez le ebook dédié.

Comment le respect de la réglementation DORA sera-t-il surveillé ?

La conformité sera évaluée par des inspections à distance et sur site, et par la demande d'informations spécifiques : détails des services TIC, registres des rapports d'incidents et précisions sur les défenses adoptées contre les risques cybernétiques.

Les trois autorités européennes de supervision qui surveilleront la conformité sont :

• L'Autorité Bancaire Européenne (EBA)
• L'Autorité Européenne des Assurances et des Pensions Professionnelles (EIOPA)
• L'Autorité Européenne des Marchés Financiers (ESMA)

Les solutions EasyVista pour accompagner la mise en place de DORA

Les solutions EasyVista peuvent aider les entreprises à se conformer à la réglementation DORA grâce à une série d'outils et de fonctionnalités qui améliorent la gestion des risques liés aux TIC, la surveillance des incidents et la résilience opérationnelle numérique.

Outre le fait de fournir les informations requises sur les actifs, les systèmes et les processus, EasyVista offre la solution EV Observe, une plateforme pour la surveillance de l'infrastructure, du réseau et du cloud.

Consultez notre ebook sur la réglementation DORA et découvrez comment EasyVista peut aider les entreprises financières à se mettre en conformité, en améliorant la résilience opérationnelle et la gestion des risques des TIC.

Qu'est-ce que la gouvernance des TIC?

La gouvernance des TIC repose sur la structuration des responsabilités et des processus de prise de décision pour garantir que la gestion des risques liés aux TIC est intégrée dans la stratégie commerciale et opérationnelle de l'institution. Cela inclut :

• La définition de stratégies : Établir des politiques claires pour la gestion des risques liés aux TIC.
• La surveillance et le contrôle : Surveiller en continu les risques liés aux TIC et le respect des politiques établies.
• La formation et la sensibilisation : Sensibiliser le personnel à l'importance de la sécurité des TIC et aux meilleures pratiques à adopter.

En résumé, la gouvernance des TIC est essentielle pour que les entreprises gèrent efficacement les risques liés aux TIC, qu’elles alignent les stratégies des TIC avec les objectifs commerciaux et qu’elles assurent la sécurité et la fiabilité de leur infrastructure technologique. En se concentrant sur la définition de politiques, la surveillance et le contrôle, ainsi que sur la formation et la sensibilisation, les entreprises peuvent construire un cadre robuste de gouvernance des TIC qui favorise leur succès à long terme et leur résilience face à l’évolution des défis technologiques.

Si vous souhaitez en connaître plus sur la Réglementation DORA et savoir comment vous y conformer d'ici à 2025, téléchargez le ebook ! 

FAQ

1. Quels sont les principaux avantages de DORA pour les institutions financières ?

DORA aide les institutions financières à améliorer leur résilience opérationnelle, en réduisant le risque de perturbations opérationnelles dues aux incidents cybernétiques. Elle promeut également une plus grande transparence et une plus grande responsabilité dans la gestion des risques liés aux TIC.

2. Comment les institutions financières doivent-elles se préparer pour se conformer à DORA ?

Les institutions doivent réaliser une évaluation complète de leurs risques liés aux TIC, mettre en place des mesures de sécurité adéquates, développer des plans de réponse et de restauration, et s'assurer que la gouvernance des risques liés aux TIC est intégrée dans leurs stratégies commerciales.

3. Quel est le rôle des autorités de supervision dans le cadre de DORA ?

Les autorités de supervision sont responsables de surveiller la conformité des institutions financières aux exigences de DORA, de coordonner les activités de supervision au niveau européen et d'intervenir en cas de non-conformité.

4. Que se passe-t-il si une institution financière ne respecte pas les dispositions de DORA dans les délais impartis ?

Les institutions qui ne se conforment pas aux dispositions de DORA peuvent faire face à des sanctions administratives et à d'autres mesures rectificatives imposées par les autorités de supervision compétentes.

La réglementation DORA présente un défi, mais aussi une opportunité pour les institutions financières d'améliorer leur résilience opérationnelle et de mieux se protéger contre les menaces cybernétiques dans un monde de plus en plus numérisé.