Dans le monde digitalisé d’aujourd’hui, où l’innovation et le risque coexistent, les réglementations jouent un rôle prépondérant en matière de sécurité. En 2024, le secteur européen des services financiers a commencé à se préparer à une initiative réglementaire transformatrice : la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act), communément appelée DORA.
Le 17 janvier 2025, la réglementation DORA s’appliquera directement à l’ensemble des États membres de l’UE, et aura un impact sur un grand nombre d’institutions financières.
La réglementation DORA
La réglementation DORA reconnaît que les systèmes digitaux et financiers sont profondément imbriqués, et que les perturbations technologiques peuvent avoir des effets considérables sur la stabilité économique. En établissant un cadre réglementaire unifié pour la gestion du risque digital, DORA aide les entités financières à renforcer leur résilience, en s’assurant qu’elles peuvent continuer à servir leurs clients de manière efficace même en cas de crise.
Cette réglementation n’est pas seulement une question de conformité ; elle vise à positionner les organisations de manière à ce qu’elles puissent affronter l’avenir digital en toute confiance. En adoptant les principes et les mesures décrits dans le DORA, les institutions financières ont la possibilité d’améliorer leurs capacités opérationnelles, d’accroître la confiance de leurs clients et d’acquérir un avantage concurrentiel sur le marché.
Les piliers de DORA
Pour atteindre ses objectifs, DORA s’articule autour de cinq piliers fondamentaux qui visent collectivement à renforcer la résilience numérique des institutions financières :
- Gestion des risques liés aux TIC : Les institutions financières doivent mettre en place des dispositifs complets de gestion des risques afin d’identifier, de contrôler et de limiter les risques liés aux technologies de l’information et de la communication (TIC), ce qui implique d’évaluer les risques liés aux systèmes internes et aux fournisseurs tiers.
- Test de résilience opérationnelle : Les établissements sont tenus de tester leur résilience opérationnelle digitale au moyen de diverses évaluations et simulations. Ces tests permettent d’identifier les défaillances et de s’assurer que les systèmes peuvent résister aux perturbations.
- Rapports d’incidents : La détection et le signalement en temps réel des incidents liés aux TIC sont essentiels dans le cadre de la réglementation DORA. Les entités financières doivent mettre en place des protocoles pour signaler rapidement les incidents aux régulateurs, afin de minimiser l’impact sur les opérations et les clients.
- Gestion des risques liés aux tiers : Compte tenu de la dépendance à l’égard des fournisseurs externes de TIC, la réglementation DORA impose aux institutions de gérer et de limiter les risques liés aux tiers, y compris les fournisseurs de clouds et les centres de données.
- Partage de l’information : DORA encourage les institutions financières à partager les renseignements sur les menaces et les informations sur les cyber-risques avec les parties prenantes concernées. Cette approche collective renforce la résilience globale de l’écosystème financier.
Prêt ?
Nous vous avons exposé les notions de base sur la réglementation DORA, mais il se peut que vous ayez besoin d’approfondir le sujet.
La conformité fait partie de votre métier ? Vous devez absolument consulter le site officiel de la Commission européenne sur DORA.
N’hésitez pas à regarder notre replay webinar (en anglais) « Navigating DORA Compliance for Legal Departments », avec une session de questions-réponses avec nos experts.
Si vous avez encore des questions et que vous souhaitez voir concrètement comment une solution de gouvernance d’entreprise peut vous aider à accélérer les processus et à vous préparer à la réglementation DORA, réservez dès aujourd’hui votre démo personnalisée avec nous !
