Ce début d’année 2025 marquera l’entrée en vigueur du Digital Operational Resilience Act (DORA), un règlement européen axé sur la résilience opérationnelle numérique dans le secteur financier.

Il s’agit d’une avancée majeure qui vise à renforcer la cybersécurité des institutions financières en Europe, en mettant en place des mesures spécifiques pour protéger les services financiers contre les cybermenaces. Dans cet article nous traiterons de 10 points essentiels à connaître sur ce nouveau règlement DORA.

1. Qu’est-ce que le règlement DORA ?

Le Digital Operational Resilience Act (DORA) est un cadre réglementaire européen qui vise à assurer la résilience opérationnelle des entités financières et des prestataires de services TIC.

Il a pour but de réduire les risques de cyberattaques, de standardiser les pratiques de gestion des risques numériques et d’améliorer la résistance des entreprises aux cyberattaques et aux interruptions de services.

 

2. Qui est concerné par DORA ?

Pour rappel, le règlement européen DORA s’applique à 20 types de sociétés financières dont :

  • les établissements de crédit et de paiement,
  • les établissements de monnaie électronique,
  • les entreprises d’investissement,
  • les prestataires de services sur cryptoactifs,
  • les plateformes de négociation,
  • les sociétés de gestion,
  • les entreprises d’assurance et de réassurance et leurs intermédiaires,
  • les institutions de retraite professionnel,
  • les agences de notation de crédit,
  • les prestataires de services de financement participatif,
  • ou encore les gestionnaires de fonds d’investissement alternatifs.

Ces sociétés doivent avoir plus de 10 salariés et un chiffre d’affaires annuel et/ou le total du bilan annuel qui atteint au moins 2 millions d’euros.

S’ajoute à cette liste les prestataires IT (les prestataires tiers de services TIC) qui opèrent au sein de l’Union Européenne.

DORA touche donc une dizaine de milliers de sociétés en Europe.

résilience informatique

Les différents tests en fonction de la taille de l’entreprise.

3. Quand entre-t-il en vigueur ?

Le DORA sera officiellement appliqué à partir du 17 janvier 2025. L’année 2024 était la période de transition pour que les institutions se préparent en intégrant des mesures pour répondre à ses nouvelles exigences.

4. Objectifs clés de DORA

Les principaux objectifs du règlement DORA sont de :

 

  • Renforcer la résilience des institutions financières face aux cybermenaces.
  • Améliorer la gestion des risques informatiques au sein du secteur.
  • Harmoniser les pratiques de gestion des risques à l’échelle européenne.
  • Favoriser une réponse coordonnée aux cyber-incidents pour limiter les impacts systémiques.
  • Assurer la stabilité financière et la protection des consommateurs.

5. Exigences de gestion des risques technologiques

DORA exige que les institutions financières mettent en place des systèmes de gestion des risques spécifiques aux technologies de l’information. Cela comprend :

  • l’identification, la surveillance, et la limitation des risques informatiques,
  • la mise en œuvre de protocoles de sécurité efficaces pour protéger les données et les infrastructures critiques,
  • l’identification et la surveillance des données OSINT fuitées en dehors du SI des entreprises.

 

6. Obligations en matière de signalement des incidents

Les entreprises devront signaler tout incident numérique significatif affectant leurs services ou la sécurité des données.

En cas de fuite de données en sources ouvertes, l’entreprise devra être outillée pour la détecter rapidement. Ce rapport doit se faire dans des délais précis, en fonction du classement de l’incident et en respectant les directives DORA. Cela permettra aux autorités de régulation de réagir rapidement et d’évaluer l’impact de l’incident sur le secteur.

7. Surveillance des prestataires de services tiers (TIC)

Le règlement impose également aux institutions financières de renforcer la surveillance des fournisseurs tiers, notamment ceux qui fournissent des services informatiques critiques. DORA exige la mise en place de contrats robustes, la réalisation d’audits réguliers et l’évaluation des capacités des fournisseurs à gérer les cyber-risques.

En effet, les fournisseurs TIC possèdent beaucoup de données confidentielles et stratégiques de leurs clients et sont très souvent beaucoup plus exposés qu’eux, car moins bien protégés. L’institution financière doit donc surveiller également ses données qui peuvent avoir fuité en sources ouvertes après une cyberattaque d’un fournisseur TIC (ce que montre le schéma ci-dessous).

 

DORA

8. Tests de résilience opérationnelle

DORA exige que les institutions réalisent des tests de résilience opérationnelle pour identifier les faiblesses de leur système et évaluer leur capacité à faire face à des cyberattaques.

Ces tests incluent des exercices de simulation et des audits de sécurité, qui doivent être conduits régulièrement pour rester conformes aux normes de sécurité.

9. Formation et sensibilisation à la cybersécurité

Le règlement DORA encourage également la formation continue du personnel des institutions financières sur les enjeux de cybersécurité.

Les employés doivent être sensibilisés aux bonnes pratiques de sécurité et être capables d’identifier les cybermenaces pour garantir la sécurité de l’institution

 

10. Sanctions en cas de non-conformité

Les entreprises qui ne respectent pas les règles DORA s’exposeraient à des amendes pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total.

Les sanctions sont prévues par chaque Etat membre et devront inclure des sanctions pécuniaires voire la cessation temporaire ou définitive d’une activité impactée.

Les régulateurs nationaux et européens auront le pouvoir de contrôler. Mais aussi d’imposer des sanctions en cas de non-conformité et en fonction de critères précis qui restent encore à préciser.

 

Conclusion

Les entreprises qui ne respectent pas les règles DORA s’exposeraient à des amendes pouvant aller jusqu’à 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total.

Les sanctions sont prévues par chaque Etat membre et devront inclure des sanctions pécuniaires voire la cessation temporaire ou définitive d’une activité impactée.

Les régulateurs nationaux et européens auront le pouvoir de contrôler et d’imposer des sanctions en cas de non-conformité et en fonction de critères précis qui restent encore à préciser.