La directive DORA : résumé
Le « Règlement sur la Résilience Opérationnelle Numérique » (DORA) est un texte européen ayant pour objectif de renforcer la cybersécurité des services financiers.
Adopté en décembre 2022 et applicable dès janvier 2025, DORA vise à garantir que les entités financières de l’Union Européenne soient résilientes face aux cybermenaces croissantes.
Ce règlement constitue une réponse législative globale aux risques posés par la digitalisation du secteur financier, tout en s’inscrivant dans un cadre juridique déjà existant, mais jugé jusqu’alors insuffisant.
Cet article présente les grandes lignes de la directive, vous pouvez retrouver notre dossier complet et gratuit ici-même.
Contexte et objectifs de DORA
L’essor du numérique a permis au secteur financier d’innover et d’améliorer ses services, mais il a également ouvert la voie à de nouveaux risques liés à la cybersécurité. Les infrastructures critiques, comme les réseaux bancaires, sont devenues des cibles privilégiées des cyberattaques, notamment celles affectant les transactions financières et les données personnelles des utilisateurs.
DORA a été conçu pour répondre à plusieurs besoins : la protection des consommateurs, la sécurisation des infrastructures critiques et la création d’un cadre harmonisé au niveau européen.
Avant DORA, il n’existait pas de législation unifiée pour traiter des risques opérationnels numériques spécifiques à la finance. Cette absence fragmentait le marché unique et exposait les institutions à des vulnérabilités.
L’Union Européenne, après des travaux menés par plusieurs autorités financières, a donc mis en place ce cadre pour uniformiser les normes et renforcer la coopération entre les entités financières et les régulateurs nationaux.
Champs d’application et enjeux
DORA concerne plus de 22 000 entités financières à travers l’Union européenne. Parmi elles, on retrouve les banques, les compagnies d’assurance, les gestionnaires de fonds, mais aussi des acteurs plus récents comme les prestataires de services de crypto-actifs.
Toutes ces entités doivent désormais respecter des obligations strictes en matière de résilience opérationnelle numérique, en mettant en place des outils et des stratégies pour gérer les cybermenaces.
Le texte tient compte des différences entre les grandes entités et les micro-entreprises, en allégeant les exigences pour ces dernières, tout en garantissant que les grandes institutions respectent les normes les plus élevées.
Les piliers du règlement DORA
Les entités financières doivent mettre en place des mécanismes de gestion des risques liés aux Technologies de l’Information et de la Communication (TIC).
Il s’agit non seulement de se protéger contre les cyberattaques, mais également d’assurer une détection précoce des incidents potentiels. Cela inclut la mise en place de politiques de contrôle d’accès, de sauvegarde des données et de plans de rétablissement après une attaque. L’objectif est de réduire au maximum les interruptions de services et les pertes de données.
DORA impose des règles précises sur la classification et la notification des incidents informatiques. Lorsqu’un incident majeur survient, il doit être signalé à l’Autorité Bancaire Européenne (ABE) ou aux autorités nationales compétentes. Cette obligation de signalement permet aux régulateurs de réagir rapidement et de prévenir d’autres entités en cas de risque transfrontalier.
Une autre innovation majeure de DORA réside dans la gestion des risques liés aux prestataires de services informatiques externes. Les entités financières doivent désormais s’assurer que ces prestataires, notamment ceux classés comme « critiques », respectent des standards élevés en matière de sécurité informatique. Cela inclut des audits réguliers, des stratégies de sortie en cas de défaillance du prestataire, ainsi qu’un cadre de surveillance par les autorités compétentes.
DORA impose des tests réguliers de résilience numérique pour s’assurer que les systèmes informatiques des entités financières sont capables de résister à des cyberattaques. Ces tests, qui incluent des simulations d’attaques et des évaluations des vulnérabilités humaines et techniques, doivent être effectués au moins une fois par an. Les entités financières identifiées comme présentant un risque systémique plus élevé devront passer des tests avancés de pénétration.
En cas de non-respect des exigences de DORA, des sanctions administratives peuvent être appliquées.
Les autorités européennes de surveillance, telles que l’ABE, l’Autorité Européenne des Marchés Financiers (AEMF) et l’Autorité Européenne des Assurances et des Pensions (AEAPP), ont désormais des pouvoirs étendus pour surveiller et sanctionner les entités financières ou leurs prestataires informatiques en cas de violation des règles.
Une approche européenne harmonisée
L’un des principaux défis avant DORA résidait dans la disparité des cadres juridiques nationaux concernant la cybersécurité dans le secteur financier. En harmonisant les normes à travers l’Europe, DORA vise à créer un marché unique plus sécurisé, où les règles sont les mêmes pour toutes les entités, qu’elles opèrent dans un ou plusieurs États membres.
Comme pour la directive NISv2, cette harmonisation permet également de renforcer la coopération entre les régulateurs nationaux et européens, en facilitant le partage d’informations sur les cybermenaces. Cela inclut des échanges de renseignements, mais aussi la possibilité pour les entités financières de partager entre elles des informations sur les vulnérabilités détectées et les techniques de défense.
ORNISEC, prestataire PASSI pouvant vous accompagner
Face aux exigences techniques et opérationnelles imposées par DORA, ORNISEC propose une approche sur mesure pour assurer une transition fluide et efficace vers cette nouvelle réglementation.
ORNISEC est capable de répondre aux demandes techniques des piliers fondamentaux de cette nouvelle directive.
Il est stipulé dans les exigences de la DORA que les entités financières doivent disposer d’un cadre de gestion du risque formalisé et documenté avec une révision annuelle.
Afin d’accompagner les entités à être en conformité avec ce point, ORNISEC est capable de réaliser un état des lieux complet (audit organisationnel, plan de mise en conformité), une analyse des risques (analyse complète et plan de traitement en fonction des vulnérabilités identifiées) ainsi qu’une mise en place d’un cadre de gestion formel (politiques, cartographies, procédures, protocoles et outils de gestion des risques) et de procédures d’amélioration continue (SMSI).
Dans le but d’aider les entités financières à disposer de processus de gestion des incidents, ORNISEC applique un accompagnement en cinq points : état des lieux (audit), processus de gestion des incidents (détection, classification, notification), PCA/PRA, Plan de communication et enfin test de gestion de crise.
Les experts ORNISEC ont la capacité de réaliser des tests d’intrusion/red team, des audits de sécurité physique mais aussi des audits de code de logiciel et d’application financière. Ces opérations ayant pour objectif de répondre à l’exigence DORA concernant l’établissement et la réalisation d’un programme de test de résilience opérationnelle.
Enfin, la directive impose aux entités de définir une politique des gestion et de surveillance des risques induits par leurs prestataires. Sur ce point, ORNISEC est capable de réaliser les audits des parties prenantes afin d’aider à la rédaction d’exigences contractuelles les concernant. La réalisation d’un répertoire des prestataires et des besoins de surveillance associés complète cette prestation.
Pour plus d’informations sur nos services et comment ORNISEC peut vous aider à répondre aux exigences de la directive DORA, vous pouvez écrire directement à contact@ornisec.com ou visiter notre site web www.ornisec.com. Nos équipes d’experts se feront une joie d’aborder vos problématiques ainsi que de répondre à vos questions.