Chaque entreprise de services financiers adopte, d’une manière ou d’une autre, de nouvelles technologies. Qu’il s’agisse d’informatique en nuage, d’informatique en périphérie, d’intelligence artificielle ou d’analyse de données de nouvelle génération, les technologies d’aujourd’hui et de demain sont étroitement liées à des risques de sécurité et à des vulnérabilités.
Le Digital Operational Resilience Act (DORA) – la réponse de l’UE à la vague croissante de cyberattaques qui accompagne les avancées technologiques – vise à établir un niveau uniforme de résilience opérationnelle numérique pour les institutions financières opérant dans l’UE ou y exerçant des activités.
Qu’est-ce que DORA ?
Adopté en 2022, le Digital Operational Resilience Act établit un cadre obligatoire et complet pour la gestion des risques liés aux TIC dans le secteur financier de l’UE. Les exigences DORA en matière de sécurité des réseaux et des systèmes d’information s’étendent au-delà des entreprises financières, englobant également les prestataires tiers essentiels qui fournissent des services TIC à l’industrie financière, tels que l’informatique en nuage, l’analyse de données, etc.
Gestion des risques TIC
De la mise en œuvre d’un cadre documenté de gestion des risques TIC à la réalisation d’évaluations annuelles des risques, en passant par la notification des incidents TIC majeurs aux autorités de régulation dans des délais impartis, et bien plus encore, les exigences de DORA obligent les entreprises de services financiers à établir des contrôles robustes de gestion des risques TIC.
Notification des incidents
Les institutions financières doivent mettre en place des systèmes de détection précoce des incidents, documenter les incidents (y compris leurs causes profondes, leurs impacts et les mesures correctives) et les signaler aux autorités de régulation dans des délais définis. Elles doivent également analyser les conséquences des incidents afin d’améliorer leurs stratégies de réponse.
Tests de la résilience opérationnelle numérique
Pour garantir la conformité à DORA, les entreprises de services financiers de l’UE doivent tester chaque année leurs systèmes critiques (avec la participation des prestataires tiers TIC critiques) à l’aide de scénarios de perturbation réalistes. Les résultats permettent d’évaluer précisément les capacités de réaction et de reprise de l’entreprise.
Gestion des risques liés aux prestataires tiers TIC
DORA exige une gestion rigoureuse des risques liés aux prestataires tiers pour les entreprises financières qui externalisent des services critiques. Les étapes clés incluent l’identification des fournisseurs à haut risque, la réalisation d’évaluations approfondies des risques et l’inclusion de clauses de résilience dans les contrats.
Échange d’informations
Dans le cadre de la conformité à DORA, les institutions financières doivent développer des systèmes et des processus permettant l’échange sécurisé d’informations relatives aux risques TIC entre ces institutions, les prestataires TIC, les autorités de surveillance et d’autres parties prenantes.
À qui s’applique DORA?
En complément de la directive Network and Information Security 2 (NIS2) et du Règlement Général sur la Protection des Données (RGPD), DORA s’applique à un large éventail d’institutions financières et impose la conformité non seulement aux entreprises de services financiers de l’UE, mais aussi à leurs prestataires et sous-traitants, même si ceux-ci sont basés en dehors de l’Europe.
La portée du Digital Operational Resilience Act s’étend pratiquement à tout prestataire de services technologiques et à toute entreprise de services financiers, y compris (mais sans s’y limiter) :
- Banques et établissements de crédit
- Entreprises d’assurance et de réassurance
- Entreprises d’investissement
- Établissements de paiement et établissements de monnaie électronique
- Prestataires de services sur actifs numériques (crypto-actifs)
- Dépositaires centraux de titres (CSD)
- Contreparties centrales (CCP)
- Plateformes de négociation et répertoires des transactions
- Agences de notation
- Sociétés de gestion et gestionnaires de fonds d’investissement alternatifs (AIFM)
- Prestataires de services de financement participatif
- Prestataires de services de déclaration de données
Elinext: expertise dans le développement de logiciels financiers
En tant qu’expert en services de développement de logiciels financiers, fort de plus de 27 ans d’expérience en cybersécurité et en conseil en conformité, Elinext offre son expertise approfondie aux institutions financières souhaitant atteindre une conformité totale avec les cinq piliers de DORA.
Avec plus de 160 projets fintech réalisés, Elinext sait mieux que quiconque à quel point il est important de se conformer dès aujourd’hui à la réglementation DORA et combien cette tâche peut sembler écrasante. De l’évaluation complète de la conformité DORA à l’élaboration d’une feuille de route stratégique, en passant par la mise en place de toutes les politiques, procédures et contrôles techniques nécessaires, jusqu’à la surveillance et la mise à jour continues – nos experts certifiés en conformité et en sécurité offrent un accompagnement de bout en bout pour garantir que les clients atteignent et maintiennent la conformité aux exigences DORA (ainsi qu’aux autres normes logicielles financières telles que PCI DSS, RGPD, PSD2, etc.). – Anastasia Timoshenko
Vous souhaitez garantir la conformité à la réglementation DORA ? Un leader internationalement reconnu dans le développement de services logiciels bancaires, Elinext, est prêt à devenir votre partenaire idéal.
Résolvez mon problème d’entreprise
Conclusion
À mesure que de plus en plus de secteurs deviennent fortement dépendants de la technologie, une résilience opérationnelle solide est aujourd’hui plus importante que jamais. La menace est cependant particulièrement significative dans le secteur financier, essentiel au fonctionnement des économies et de la société dans son ensemble. La réglementation DORA, conçue pour atténuer les risques technologiques au sein des banques et établissements de crédit, des entreprises d’investissement, des entreprises d’assurance et de réassurance ainsi que d’autres institutions du réseau financier, impose une gestion rigoureuse des risques TIC, la notification des incidents et la surveillance des prestataires tiers pour les entreprises financières, leurs prestataires et sous-traitants, harmonisant ainsi la résilience numérique au sein de l’Union européenne.
FAQ
Qu’est-ce que DORA?
Le Digital Operational Resilience Act est une réglementation visant à renforcer la cyber-résilience des entreprises de services financiers dans l’UE. L’objectif principal est de garantir que les entreprises du secteur financier soient résilientes face aux incidents cybernétiques et aux perturbations opérationnelles, et qu’elles puissent s’en remettre.
DORA s’applique-t-il aux entreprises situées en dehors de l’UE?
Il n’est pas nécessaire d’être basé en Europe pour devoir se conformer à la réglementation DORA. Si vous êtes un prestataire TIC pour une institution financière de l’UE, la conformité peut être requise, quel que soit le lieu du siège de votre entreprise.
Quelles étapes les entreprises doivent-elles entreprendre dès maintenant pour se préparer?
Vous pouvez faire appel aux experts d’Elinext en cybersécurité, résilience opérationnelle et conformité réglementaire pour évaluer votre position actuelle vis-à-vis de DORA. Si des ajustements sont nécessaires pour garantir la conformité, nous sommes prêts à vous accompagner.
Comment DORA se positionne-t-il par rapport aux autres réglementations?
En se concentrant sur la résilience opérationnelle numérique dans la finance, DORA complète les réglementations existantes telles que la directive Network and Information Security 2 (NIS2), le Règlement Général sur la Protection des Données (RGPD), Service Organization Control 2 (SOC2) et la directive révisée sur les services de paiement (PSD2).
Quelles sont les principales exigences de DORA?
La conformité à DORA exige le respect intégral de cinq domaines critiques de la réglementation : gestion des risques TIC, notification des incidents TIC majeurs, tests de la résilience opérationnelle numérique, échange d’informations et de renseignements, ainsi que gestion des risques liés aux prestataires tiers TIC.
Quand DORA entre-t-il en vigueur?
Le Digital Operational Resilience Act a été introduit en 2020 et adopté en 2022. Il établit des normes TIC obligatoires pour les institutions financières et leurs prestataires technologiques critiques, la conformité étant requise d’ici le 17 janvier 2025.
