Le règlement européen DORA : Ce que dit le texte
La structure du texte du règlement européen DORA.
Le règlement DORA (Digital Operational Resilience Act) est un texte européen volumineux et complexe. Il comporte 53 articles et 11 annexes. Le tout, divisé en 6 parties. Il vise à renforcer la résilience numérique du secteur financier. Adopté en décembre 2022, il sera sanctionnable dès le 1er janvier 2025.
Quels sont les objectifs fixés par le texte du règlement européen DORA ?
Le règlement DORA a pour objectifs de :
- Renforcer la capacité des entités financières à résister à des incidents informatiques majeurs, tels que des cyberattaques ou des pannes de système.
- Harmoniser les règles de supervision en matière de résilience numérique au sein de l’Union européenne.
- Améliorer la communication entre les autorités de supervision et les entités financières.
Comment le texte du règlement européen DORA applique ces objectifs ?
Pour atteindre ces objectifs, le règlement européen DORA impose aux acteurs du secteur financier et bancaire de mettre en place différentes dispositions comme la cartographie de leurs systèmes d’information, l’évaluation des risques cyber, de mettre en place des actions nécessaires pour faire face à des cyberattaques potentielles, de faire des tests de résilience et surtout de surveiller les fuites de données en sources ouvertes (OSINT).
Les différents tests en fonction de la taille de l’entreprise.
Le règlement européen DORA : une exigence en matière de cybersécurité
Le règlement DORA met l’accent sur la cybersécurité. Il exige des entités financières qu’elles mettent en place des mesures pour protéger leurs systèmes informatiques contre les cyberattaques. Ces mesures incluent :
- Mettre en place des contrôles d’accès stricts.
- Utiliser des technologies de cryptage.
- Mettre à jour régulièrement les logiciels.
- Former le personnel à la cybersécurité.
- Surveiller les données OSINT.
- Surveiller les fuites de données de ses fournisseurs.
Les fuites de données, un point important souligné par le texte du règlement européen DORA.
Le règlement DORA s’intéresse à la surveillance des fuites de données de plusieurs manières :
- La détection des incidents :
Le règlement européen DORA impose aux entités financières de mettre en place des systèmes de surveillance pour détecter les incidents de sécurité, y compris les fuites de données.
- L’examen des incidents :
Le règlement impose également aux entités financières de mener une enquête pour déterminer l’origine de la cyberattaque. Ils doivent également savoir quelles données ont été fuitées.
- La notification aux autorités et le partage d’informations :
Les entités financières doivent notifier les autorités compétentes en cas de fuite de données, c’est pourquoi l’examen des incidents est imposé. Elles doivent également partager les informations de cybermenace aux autres entités financières.
- Les sanctions :
Le non-respect de ces derniers points imposés par le texte du règlement européen DORA entraine des sanctions importantes.
Le règlement DORA est un défi important pour les entités financières, mais il est également une opportunité pour elles d’améliorer leur gestion des risques et de renforcer la confiance de leurs clients.