Les institutions financières utilisent désormais massivement des solutions numériques pour fournir leurs services.
À cela s’ajoute une exposition croissante du secteur financier aux risques numériques et aux cybermenaces.
La mise en place du règlement DORA marque donc une étape importante pour la cybersécurité du secteur, en imposant aux institutions financières des exigences précises en matière de gestion des risques numériques et de continuité de leurs activités.
Quel est le contenu du règlement DORA ? Quelles sont les entités concernées ? Comment se préparer à DORA ? Oodrive liste ici les principales informations à connaître sur ce règlement.
Qu’est-ce que la réglementation DORA ?
Connu sous le terme « loi DORA », le « Digital Operational Resilience Act » est un texte législatif européen (règlement (UE) 2022/2554 du 14 décembre 2022).
Il crée un cadre réglementaire sur la résilience opérationnelle numérique du secteur financier et la cybersécurité des entités financières.
Pourquoi cette réglementation ? Le règlement DORA s’inscrit dans un contexte de transformation numérique des activités (nombre croissant de données, dépendance accrue vis-à-vis de tiers informatiques, etc.) et de développement des risques cyber, autant d’éléments auxquels est particulièrement confronté le secteur financier.
Quel est l’objectif principal du règlement DORA ?
Le règlement DORA crée – pour la première fois à l’échelle européenne – un cadre détaillé et complet sur la résilience opérationnelle numérique des entités financières.
Celles-ci devront s’assurer de leur capacité à résister, à répondre et à se rétablir face aux perturbations liées aux technologies de l’information et de la communication (TIC).
Ce texte édite un ensemble de règles et de normes destinées à atténuer les risques liés aux TIC pour les entités financières.
SecNumCloud : label de confiance
Le référentiel qui garantit le plus haut niveau de sécurité pour la protection de vos données sensibles.
Il les oblige à adopter une approche proactive en matière de gestion des risques informatiques afin d’assurer la continuité de leurs activités en cas d’incident.
Le règlement DORA inscrit un principe de proportionnalité. Ses exigences s’appliquent aux entités financières en fonction de leur taille, de la nature, de l’ampleur et de la complexité de leurs services, ainsi qu’en fonction des risques auxquels sont exposées ces entités.
Le règlement promeut également le principe de « security by design », une approche selon laquelle la sécurité doit être intégrée à la gouvernance des institutions, dès la conception des produits et services, ainsi que tout au long de leur cycle de vie.
Qui est concerné par le règlement DORA ?
Le règlement concerne 21 catégories d’entités (aussi bien des acteurs traditionnels que des acteurs plus récents), réparties au sein de 4 grands secteurs.
Il s’applique également à des prestataires de services TIC opérant au sein de l’Union européenne avec des services financiers.
Les entreprises de moins de 10 salariés et avec un chiffre d’affaires annuel inférieur à 2 millions d’euros ne sont pas concernées par le règlement DORA.
Quels sont les piliers du règlement DORA ?
Le règlement DORA incite les institutions financières à intégrer un objectif de résilience numérique au sein d’une stratégie globale à l’échelle de l’entreprise, avec des implications en matière de gouvernance.
Le texte identifie 5 grands piliers essentiels à la résilience opérationnelle numérique des institutions financières. Il liste également les exigences à mettre en œuvre pour se conformer à chacun de ces grands piliers.
- Pilier 1 – Gestion des risques liés aux TIC
- Pilier 2 – Gestion, classification et notification des incidents liés aux TIC (rapports d’incidents / reporting harmonisé et centralisé à destination des autorités compétentes)
- Pilier 3 – Conduite de tests réguliers portant sur la résilience opérationnelle numérique
- Pilier 4 – Gestion des risques liés aux tiers
- Pilier 5 – Partage d’informations entre entités financières afin de favoriser l’échange sur les cybermenaces
Quel est le calendrier d’application du règlement DORA ?
Le règlement DORA et la directive associée (UE) 2022/2556 sont entrés en vigueur le 16 janvier 2023. La date d’entrée en application du règlement DORA est fixée au 17 janvier 2025.
Contrairement à la directive NIS 2, le règlement DORA s’appliquera directement au sein de tous les pays membres de l’Union européenne, sans transposition dans le droit national.
Comment se préparer à DORA ?
Voici les principales étapes clés et éléments à prendre en compte pour se conformer au règlement DORA.
- Mettre en œuvre une gouvernance dédiée avec analyse des risques cyber, implication des acteurs concernés (au-delà de la direction informatique) et développement d’une culture de la résilience opérationnelle numérique.
- Prendre en compte l’ensemble des contraintes et évolutions réglementaires en cours ou à venir (la directive NIS 2, par exemple).
- S’appuyer sur les approches de gestion des risques existantes en les inscrivant dans une approche de résilience opérationnelle plus homogène et plus transversale.
- Créer un cadre harmonisé permettant le reporting d’incidents.
- Étudier ses contrats avec les prestataires de services TIC (supervision des prestataires TIC critiques).
- Définir un programme de tests de résilience opérationnelle numérique.
Comment garantir sa conformité avec la réglementation DORA grâce aux solutions Oodrive ?
Oodrive est considéré comme un prestataire tiers de services TIC au sens du règlement DORA. Les solutions de collaboration souveraines et sécurisées Oodrive répondent aux exigences du règlement, en particulier en matière de gestion des risques liés aux TIC (grâce à des mesures de sécurité renforcées) et de gestion des risques liés aux tiers.
L’essentiel de la réglementation DORA
Téléchargez l’infographie pour mieux se préparer à DORA
En utilisant Oodrive Work, les acteurs financiers bénéficient par exemple d’une solution de partage de fichiers dans le cloud conforme à la réglementation DORA.
La solution permet également aux entités financières de sécuriser leur chaîne d’approvisionnement (avec des tiers, sous-traitants, filiales, etc.) lorsqu’elles échangent des documents dans le cloud.
Oodrive garantit le niveau de protection et de confidentialité des données sensibles le plus élevé du marché. Ses offres sont qualifiées SecNumCloud depuis 2019 et répondent à plus de 400 points d’exigences définis par l’ANSSI. En choisissant les solutions Oodrive, les acteurs financiers bénéficient des meilleures pratiques de sécurité et assurent leur conformité au 4e pilier du règlement DORA (gestion des risques liés aux tiers).
Réglementation DORA : 3 points à retenir
- Le règlement DORA crée un cadre réglementaire détaillé et complet portant sur la résilience opérationnelle numérique des entités financières.
- Les acteurs financiers devront être en mesure de résister, de répondre et de se rétablir face à toute perturbation opérationnelle majeure liée aux technologies de l’information et de la communication.
- Les entités concernées doivent engager dès maintenant leur conformité à la réglementation DORA.
