La réglementation européenne DORA
La réglementation européenne DORA est la réponse à la croissance des risques numériques, aux perturbations liées aux cybermenaces et au besoin d’unification de la réglementation des institutions financières.
En effet, avec l’intensification de la numérisation dans le secteur financier, les institutions sont de plus en plus vulnérables aux cyberattaques, aux défaillances technologiques et aux autres perturbations numériques.
Des incidents comme des ransomwares ou des interruptions de service ont montré la nécessité de renforcer les protections au sein des établissements financiers pour éviter des impacts majeurs sur l’économie et la stabilité financière. En 2020, les cyberattaques dans les services financiers ont augmenté de 238 % par rapport à l’année précédente. Ces attaques peuvent entraîner des pertes financières, des fuites de données sensibles et éroder la confiance des clients.
Avant DORA, il existait plusieurs réglementations nationales et sectorielles relatives à la cybersécurité et à la résilience numérique. Elles étaient souvent disparates et non coordonnées. Cela créait une situation où les entreprises pouvaient être confrontées à des exigences différentes d’un pays à l’autre, rendant leur mise en conformité plus complexe. DORA a été créée pour établir un cadre réglementaire commun et harmonisé au sein de l’Union européenne. Il s’agit pour tous les acteurs financiers de garantir leur résilience face aux risques numériques croissants.
La réglementation DORA est intégrée dans un cadre plus large de règlements traitant de la résilience informatique. Le panorama réglementaire dans lequel elle s’insère traite des risques liés aux technologies de l’information et de la communication, à l’outsourcing et à la gestion des risques des tiers (TPRM).
C'est quoi DORA ?
DORA, acronyme de Digital Operational Resilience Act, est un règlement européen relatif à la résilience numérique opérationnelle. Il vise à renforcer la capacité des institutions financières à faire face aux cyberattaques et aux incidents informatiques majeurs. Elle est entrée en vigueur le 16 janvier 2023 pour une mise en application le 17 janvier 2025.
DORA s’applique aux entités financières ainsi qu’aux prestataires des technologies de l’information et de la communication (TIC) qui opèrent dans l’Union européenne (Art.2).
Institutions financières
Banques, assurances et réassurances, sociétés de gestion de fonds d’investissement, sociétés d’investissement, OPCVM, marchés financiers et infrastructures de marché, autres acteurs du secteur financier.
Fournisseurs tiers de services technologiques critiques
Fournisseurs de services cloud, prestataires de services de traitement de données, prestataires d’infrastructures technologiques etc.
Autres acteurs
En fonction des services fournis, les sous-traitants et autres parties prenantes de ces institutions financières.
Autorités compétentes et superviseurs
Régulateurs et superviseurs financiers, autorités nationales de régulation.
La réglementation DORA répond à plusieurs objectifs :
- Renforcer la résilience opérationnelle et la gestion des incidents liés aux TIC des institutions financières ;
- Renforcer la sécurité des systèmes d’information (en investissant dans des technologies de sécurité informatique plus robustes) ;
- Renforcer la protection des données des clients des institutions financières ;
- Mettre en place un mécanisme de surveillance directe des prestataires de services TIC critiques au niveau de l’UE.
Les 5 piliers de DORA et les exigences réglementaires associées
01. GOUVERNANCE ET GESTION DES RISQUES TIC
- Définir une gouvernance et une gestion des risques TIC
- Créer un cadre de gestion des risques liés aux tic (révisé chaque année)
- Élaborer des plans et des politiques de communication
- Sensibiliser et former
03. TESTS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE
- Évaluer la résilience actuelle
- Réaliser ces tests au moins 1 fois/an
- Effectuer un test d’intrusion fondé sur la menace (TLPT) tous les 3 ans au moins
05. COMMUNICATION
- Renforcement de la résilience opérationnelle
- Échange d’informations
- Mise en place des accords de partage
02. GESTION DES INCIDENTS TIC
- Mettre en œuvre un processus de gestion des incidents TIC
- Fournir des rapports aux autorités compétentes et informer
- Enregistrer et classer les incidents
- Notifier les cybermenaces aux autorités compétentes
04. GESTION DES RISQUES LIÉS AUX FOURNISSEURS TIERS
- Qualification des prestations externalisées
- Évaluation des risques
- Contrats et SLA (indices de qualité de la prestation)
- Surveillance continue des fournisseurs
- Plan de gestion des risques liés aux tiers et stratégie de sortie
- Implication des régulateurs et transparence
A2 Consulting vous accompagne
dans la mise en œuvre opérationnelle du règlement DORA via une offre complète alliant les compétences juridiques, techniques et de conformité.
Pour en savoir plus, consultez notre offre Banque.
Votre contact : Mourad MEBAZAA, Associé en charge du pôle Banque d’A2 Consulting
+33 6 62 76 33 95 •
mo************@a2**********.fr
