• News

Règlement DORA : une nouvelle norme pour la résilience opérationnelle numérique dans le secteur financier européen

Le règlement DORA établit une nouvelle référence pour la résilience opérationnelle numérique dans le secteur financier de l'UE. Tinext Cloud analyse ses mandats, ses risques et ses implications pratiques pour les banques et les institutions financières.

Temps de lecture5 min

Publié à la fin de l’année 2022 au Journal officiel de l’Union européenne, le DORA, acronyme de Digital Operational Resilience Act, est désormais une réalité concrète et un enjeu prioritaire pour les entreprises du secteur financier.

Ce règlement vise à renforcer la résilience opérationnelle numérique des acteurs financiers de manière prescriptive et pragmatique. Il constitue à la fois un cadre réglementaire, définissant des obligations légales précises, et un référentiel de sécurité, fixant les mesures techniques et opérationnelles que les entités financières doivent mettre en œuvre pour protéger et consolider leurs systèmes.

Cette nouvelle réglementation marque une étape essentielle vers la construction d’un écosystème financier plus sûr, plus robuste et plus adaptable, capable de faire face aux cybermenaces toujours plus sophistiquées d’aujourd’hui et à la complexité croissante des risques numériques de demain.

Qu'est-ce que le règlement DORA ?

Cette nouvelle réglementation européenne établit un cadre global de gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier.
Son objectif principal est d’harmoniser les réglementations existantes en matière de gestion des risques TIC au sein des différents États membres, afin de créer une approche cohérente et uniforme à l’échelle de l’Union européenne.

Le règlement DORA met l’accent sur la cyber-résilience, c’est-à-dire la capacité des entreprises à prévenir, répondre et se remettre d’incidents de cybersécurité.
Il couvre plusieurs volets essentiels : la protection des réseaux et des systèmes d’information, la gestion des risques informatiques, la déclaration des incidents, la réalisation de tests de résilience et la supervision des prestataires tiers.

À qui s'applique le règlement DORA ?

À l'instar du GDPR pour la protection des données personnelles, le DORA consolide et actualise la gestion des risques cybernétiques et informatiques des entreprises offrant des services financiers.

Il s'applique à un large éventail d'entités financières opérant dans l'UE, qu'elles soient traditionnelles ou innovantes. Il s'agit notamment de :

  • Établissements de crédit
  • Institutions de paiement
  • Établissements de monnaie électronique
  • Sociétés de gestion d'investissements
  • Fournisseurs de services cryptographiques
  • Fonds d'investissement alternatifs
  • Gestionnaires d'assurance d'entreprise
  • Fournisseurs de services de crowdfunding
  • Agences de notation
  • Référentiels commerciaux
  • Places de marché
  • Sociétés Fintech
  • Fournisseurs de services TIC tiers

Il est important de noter que le DORA s'étend également aux fournisseurs de services TIC qui soutiennent les entités financières, tels que les fournisseurs de services d'informatique en nuage et de centres de données. Cela souligne le fait que la résilience opérationnelle numérique n'est pas seulement la responsabilité des entreprises individuelles, mais de l'ensemble de l'écosystème financier et informatique. 

Comme il s'agit d'une directive de l'UE, la Suisse n'est que partiellement concernée : il convient toutefois de souligner que les bonnes pratiques réglementées par le DORA constituent une pratique vertueuse et utile indépendamment des obligations légales, et devraient donc également être mises en œuvre par les entreprises suisses.

Par ailleurs, les prescriptions du nouveau cadre font écho aux dispositions de la FINMA, l'Autorité fédérale de surveillance des marchés financiers, c'est-à-dire l'organe suisse chargé de surveiller les acteurs financiers de la confédération. 

Quand le règlement DORA est-il entré en vigueur ?

Le règlement DORA est entré en vigueur le 16 janvier 2023 et sera pleinement applicable à partir du 17 janvier 2025.

Pour se conformer à ses exigences, les institutions financières doivent suivre plusieurs étapes clés. La première consiste à réaliser une auto-évaluation interne, à transmettre à l’autorité compétente avant le 30 avril 2025.

L’adaptation des infrastructures et des processus à ce nouveau cadre réglementaire est aujourd’hui une priorité stratégique et urgente pour les entreprises du secteur.
C’est pourquoi Tinext Cloud organise un webinaire approfondi, animé par ses experts, afin d’accompagner les acteurs financiers dans la compréhension et la mise en conformité avec le règlement DORA.

Services informatiques et services cloud nécessaires à la mise en conformité avec la loi DORA

Une approche structurée est essentielle pour couvrir les quatre piliers clés de la conformité DORA qui sont essentiels pour assurer la résilience opérationnelle numérique du secteur financier, à savoir la gestion du risque cybernétique, la notification et le signalement des incidents ou des attaques, les tests de résilience opérationnelle et la gestion des risques liés aux tiers. 
Examinons en détail chaque domaine et les éléments auxquels il faut prêter attention :  ;

  • La gestion des risques liés aux technologies de l’information doit suivre une approche structurée en plusieurs étapes. Les entités financières sont tenues de cartographier les fonctions métiers soutenues par les services TIC, d’identifier les plus critiques, d’évaluer les menaces et de définir des politiques de sécurité adaptées. Elles doivent également surveiller toute activité anormale et garantir la continuité des opérations en cas d’incident;
  • La surveillance continue des services informatiques permet de détecter les événements anormaux et les menaces cyber, qui doivent être signalés rapidement aux autorités compétentes. Les critères de notification incluent notamment le nombre et la localisation géographique des clients concernés, les transactions impactées, ainsi que les conséquences économiques et réputationnelles de l’incident;
  • Le règlement DORA impose aux acteurs financiers de définir et de mettre en œuvre chaque année un programme de tests de résilience opérationnelle numérique, afin d’évaluer leur niveau de préparation face aux incidents et aux attaques externes visant leurs systèmes TIC. Ces tests incluent notamment des tests d’intrusion (penetration tests) reproduisant les tactiques réelles d’éventuels attaquants, afin d’identifier les failles de sécurité et de renforcer la robustesse des infrastructures;
  • Le règlement DORA impose aux fournisseurs de services TIC de prouver leur fiabilité et leur conformité aux normes de sécurité. Les entreprises doivent identifier leurs prestataires critiques et vérifier qu’ils respectent ces exigences.

Pour aider les entreprises à se mettre en conformité avec la loi DORA, nous proposons une gamme de services de sécurité avancés, inspirés des meilleures pratiques du secteur, appelés "Managed Services" :

  • Détection et réponse gérées (MDR), protection contre les logiciels malveillants avec mise en œuvre d'une protection gérée des points finaux ;
  • Gestion de la vulnérabilité, services permettant d'identifier les vulnérabilités et de simuler des intrusions, afin de réduire la surface d'attaque et de garantir la conformité du système ;
  • Managed Web Application Protection, services de sécurité web personnalisables pour protéger les applications contre les cyberattaques ;
  • Disaster Recovery as a Service (DRaaS) - un service qui permet la création de répliques du système entre des sites distants, pour une réactivation rapide en cas d'urgence.

Vers un avenir numérique plus sûr : la cyber-résilience

Le règlement DORA est une étape importante vers l'amélioration de la résilience opérationnelle numérique du secteur financier européen. En mettant en œuvre les mesures requises par le nouveau règlement et en adoptant des solutions de sécurité avancées, les entités financières peuvent protéger leurs actifs, les données de leurs clients et contribuer à la stabilité de l'ensemble du système économique. Tinext Cloud s'engage à fournir les solutions et le support nécessaires pour relever les défis du futur, dès aujourd'hui.