Malgré le nombre croissant de réglementations et de processus mis en place pour contrôler et protéger le secteur, les organisations de services financiers ont le nombre moyen le plus élevé de fichiers sensibles exposés ( 450 000), et plus de 64% de ces entreprises ont plus de 1 000 fichiers critiques accessibles à n’importe quel employé.
Pour répondre aux cybermenaces permanentes, l’UE a adopté en 2020 la loi sur la résilience opérationnelle numérique, connue sous l’acronyme DORA.
Qu’est-ce que la loi DORA ?
La loi sur la résilience opérationnelle numérique entrera en vigueur le 17 janvier 2025. Elle est une réponse à la vulnérabilité croissante des institutions financières aux cyberattaques, à mesure qu’elles intègrent de plus en plus de technologies dans leurs opérations. La résilience opérationnelle numérique de ce secteur est cruciale, car les risques liés aux technologies de l’information et de la communication (TIC) mal gérés peuvent entraîner des perturbations dans les services financiers transfrontaliers, affectant diverses industries et la société dans son ensemble.
L’objectif de DORA est donc de renforcer la sécurité informatique des institutions financières telles que les banques, les assureurs, les entreprises d’investissement, les prestataires de services de paiement et leurs services TIC, afin de garantir la solidité du secteur financier européen en cas de perturbations opérationnelles majeures.
Faisant partie du Paquet Finance Numérique de l’UE adopté en 2020, DORA complète d’autres réglementations européennes comme le RGPD et la Directive NIS, contribuant à un écosystème financier plus sûr et plus résilient.
Qui doit se conformer à la DORA ?
On estime que 22 000 sociétés financières européennes, fournisseurs de services TIC, ainsi que des structures TIC de soutien en dehors de l’UE doivent se conformer à la DORA.
Comment fonctionne DORA ?
Alors que les exigences réglementaires de DORA continuent d’évoluer, les institutions financières doivent mettre en place un cadre solide pour la résilience opérationnelle, la gestion des risques et la réponse aux incidents. La complexité croissante des obligations réglementaires et la nécessité d’une conformité efficace et interconnectée dans l’ensemble du secteur financier exigent une approche unifiée et automatisée de la gestion de la résilience et des risques.
La loi DORA normalise les réglementations en matière de résilience opérationnelle pour 20 types différents d’entités financières et de fournisseurs de services TIC tiers au sein du secteur financier.
La loi couvre six domaines clés :
1. Tests de résilience opérationnelle numérique
Tests de faible et haute intensité
2. Incidents liés aux TIC
Des exigences fondamentales sont définies pour les technologies de l’information et de la communication
Obligations de déclaration d’incidents en cas de perturbations majeures des TIC
3. Gestion des risques liés aux TIC
Principes directeurs et exigences réglementaires pour la gestion des risques liés aux TIC
4. Gestion des risques liés aux TIC pour les tiers
Surveillance des prestataires de services tiers
Clauses contractuelles essentielles
5. Partage d’informations
Échange de renseignements sur les cybermenaces
6. Supervision des fournisseurs tiers essentiels
Cadre réglementaire pour les services TIC critiques fournis par des tiers
Sanctions en cas de non-respect de la loi DORA
Le non-respect des exigences de la loi peut avoir de graves conséquences financières pour les parties suivantes :
- Les entreprises : Jusqu’à 2 % du chiffre d’affaires annuel mondial OU jusqu’à 1 % du chiffre d’affaires journalier moyen au niveau mondial
- Personnes physiques : Jusqu’à 1 000 000 €.
- Fournisseurs de services TIC tiers : Jusqu’à 500 000 euros pour les particuliers et 5 000 000 € pour les entreprises.
Les défis à relever pour se conformer à la loi DORA
Rome ne s’est pas construite en un jour, et il en va de même pour votre résilience opérationnelle. Le vaste champ d’application de la loi DORA, qui couvre diverses entités financières et fournisseurs tiers, pose d’importants problèmes de conformité, en particulier pour les petites entreprises.
- Complexité de la mise en œuvre : La loi DORA exige des institutions financières qu’elles révisent leurs cadres opérationnels, ce qui implique souvent l’intégration de nouveaux systèmes de gestion des risques et de signalement des incidents
- Gestion des risques liés aux tiers : La surveillance stricte des fournisseurs tiers prévue par la loi DORA accroît la complexité, surtout lorsqu’il s’agit de grands fournisseurs de services internationaux
- Le signalement des cyber incidents : Les exigences strictes du DORA en matière de rapports, en particulier les délais serrés pour les notifications initiales et intermédiaires, peuvent être difficiles à respecter, en particulier lors de cyberattaques à grande échelle
- L’intensité des ressources : La mise en conformité avec la loi DORA exige d’importantes ressources financières et humaines, notamment l’embauche de nouveaux employés, l’investissement dans la technologie et la formation continue. Les petites entreprises peuvent être confrontées à des difficultés particulières
- Conformité et mise en œuvre à l’échelle de l’UE : La mise en œuvre d’une conformité uniforme dans l’ensemble des États membres de l’union européenne, chacun disposant de son propre cadre réglementaire, peut s’avérer difficile pour les entreprises multinationales. La coordination avec les autorités nationales alourdit les charges administratives
- Tests de résilience opérationnelle : Les tests continus des systèmes TIC, y compris les tests de pénétration et les tests de résistance, demandent beaucoup de ressources et peuvent perturber les opérations s’ils ne sont pas gérés avec soin
- Évolution du paysage des cybermenaces : Suivre l’évolution du paysage des cybermenaces tout en adhérant aux exigences strictes du DORA exige une vigilance constante .
En savoir plus ici avec le “Manuel Tactique
Comprendre les exigences de conformité du règlement sur la résilience opérationnelle numérique (DORA)”.