Réglementation européenne DORA :
comment vous préparer d'ici 2025 ?

21 mars 2023

48 %

des entreprises ont rapporté
des cyberattaques en 2021
(source : Hiscox, 2021).

13 millions d'€

c'est le coût moyen

d'une cyberattaque pour

une grande entreprise

(source : Accenture, 2019).

25 %

des attaques concernent
le secteur financier
(source : IBM, 2023).

Qu'est-ce que la réglementation DORA ?

Le règlement DORA (Digital Operational Resilience Act) a été proposé par la Commission Européenne, en septembre 2020. Le texte a été adopté le 16 janvier 2023, et entrera pleinement en application le 17 janvier 2025.

Le DORA propose un cadre réglementaire pour la gestion des risques liés aux TIC (Technologies de l'Information et de la Communication), visant à renforcer la résilience opérationnelle numérique du secteur financier de l'UE (Union Européenne).

Ainsi, des mesures doivent être mises en place pour les organisations du secteur financier afin :

  • de prévenir les incidents de cybersécurité et y répondre ;
  • d'assurer leur continuité opérationnelle en cas d'incident ;
  • d'améliorer la gestion des risques cyber dans leur ensemble.

Quels sont les 5 piliers du règlement DORA ?

  1. Mettre en place un dispositif de gestion des risques liés aux TIC (Technologies de l'Information et de la Communication), complet et bien documenté, afin de maîtriser ses risques efficacement et d'assurer un niveau élevé de résilience opérationnelle numérique. Ce dispositif de gestion des risques fait partie intégrante du dispositif global, et doit être mis à jour et amélioré en continu selon les enseignements tirés.

  2. Faire le reporting des incidents TIC et des cyber menaces, en définissant et en mettant en place un processus de gestion des incidents, afin de les détecter, les gérer et les notifier aux autorités. Les entités financières doivent ainsi enregistrer et classer les incidents TIC et les cyber menaces selon les critères déterminés par le règlement européen DORA et les autorités européennes de surveillance (AES : EBA, EIOPA et ESMA).

  3. Établir un programme de tests de résilience opérationnelle numérique, intégré au dispositif global, maintenu et réexaminé régulièrement par les entités financières (autres que les micro entreprises). Ce programme de tests doit répondre à certaines conditions :
  • Comprendre plusieurs évaluations, tests, méthodologies, pratiques et outils à appliquer ;
  • Couvrir l'ensemble des outils et des systèmes TIC ;
  • Être réalisé par des parties indépendantes externes ou internes ;
  • Prévoir des procédures et des stratégies afin d'assurer la hiérarchisation, la classification et la résolution des problèmes mis en lumière durant les tests ;
  • Définir des procédures de revue et de validation de la mise en oeuvre des plans de remédiation.

4. Gérer les risques liés aux prestataires de services TIC, obligeant ainsi les organisations financières à :

  • Mettre en place un dispositif de maîtrise des risques liés aux tiers prestataires de services informatiques ;
  • Définir une politique d'utilisation des services TIC liées aux fonctions jugées critiques ou importantes ;
  • Créer et mettre à jour un registre d’informations relatif aux contrats conclus avec les prestataires de services TIC ;
  • Conduire des diligences avant tout premier contact, et notamment évaluer le risque de concentration ;
  • Intégrer aux contrats des clauses standard minimales, en particulier en matière de résiliation ;
  • Surveiller continuellement la relation avec les prestataires de services TIC.

5. Informer et renseigner d'autres entités financières de confiance au sujet des cyber menaces et cyberattaques observées, dans un souci de sensibilisation et de soutien des capacités de défense, des techniques de détection des menaces ainsi que des stratégies d'atténuation, de réponse et de rétablissement du secteur financier.

Le DORA : quelle deadline pour s'y conformer ?

Le règlement européen DORA est entré en vigueur le 16 janvier 2023, et entrera en application le 17 janvier 2025.
Les États membres de l'Union Européenne (UE) disposent donc de deux ans pour s'y conformer.
Durant cette période, la Commission européenne publiera des actes délégués, selon les règles élaborées par les AES sous forme de RTS/NTR Normes Techniques Réglementaire) ou d’ITS/NTI (Normes Techniques d'Implémentation).

D'ici janvier 2025, comment se préparer au règlement DORA ?

Les entreprises du secteur financier doivent planifier activement la mise en oeuvre du règlement DORA. L'enjeu principal est d'adopter une vision plus large de la résilience. Des outils et une technologie adaptés seront indispensables afin d'identifier des fonctions critiques ou importantes, de communiquer des informations et de mesurer l'impact et les tests.

Le temps est venu de considérer la gestion des risques numériques comme une opportunité d'évoluer sur le plan stratégique, notamment en impliquant efficacement sa Direction et son Conseil d'administration dans l'évaluation de l'impact commercial des perturbations opérationnelles et dans la compréhension des mesures d'atténuation à disposition.

24 mois est un délai relativement court pour que les entités financières planifient activement le règlement DORA. Il faudra ainsi faire preuve de résilience, sans mauvais jeu de mot. Mais surtout, il faudra prendre de l'avance : l'entrée en application du DORA en janvier 2025 accordera aux autorités de surveillance nationales et européennes de nouveaux mandats et pouvoirs considérables en matière de résilience opérationnelle numérique. Cela signifie que des cadres de surveillance et des exigences détaillées pourront être définis, afin de pousser les organisations financières à améliorer leur cadre de résilience opérationnelle numérique en continu.

D'autre part, un large éventail de nouvelles exigences du DORA demanderont un investissement important en matière de gouvernance, de gestion des risques et de conformité, lié aux fonctions TIC, cyber et gestion des risques tiers, ainsi qu'un suivi afin de mettre en oeuvre des plans de remédiation face aux vulnérabilités opérationnelles identifiées.

Les process, les équipes et les données du secteur financier seront particulièrement concernés.
Un outil est une technologie adaptés sont nécessaires pour se préparer au DORA afin :

  • de définir un dispositif de maîtrise des risques liés aux TIC selon leur niveau de criticité ;
  • de collecter et analyser des données relatives aux incidents et menaces identifiés ;
  • d'intégrer des processus et des données d'externalisation des TIC ;
  • d'associer au dispositif de maîtrise des risques des mesures préventives et des bonnes pratiques ;
  • d'impliquer sa Direction et l'ensemble de ses équipes (départements, métiers...) afin de faciliter une collaboration en temps réel ;
  • de créer un cadre harmonisé et favorable au partage d'informations ;
  • de suivre en temps réel l'exécution des tests et plans de contrôle ;
  • d'évoluer au rythme des réglementations en cours et à venir ;
  • de développer une culture de la résilience opérationnelle.


Pour en savoir plus sur la solution de pilotage de Pocket Result, n'hésitez pas à nous contacter.


Démo Gratuite

Découvrez la puissance et les opportunités cachées de vos données : Analysez, Décidez et Actionnez !

These 

À PROPOS


Pocket Result est une solution BI et d’analyse qui permet aux entreprises du monde entier de transformer leurs données en informations précieuses et permettant des décisions fondées sur l’exploitation de leur data.

NEWSLETTER