Alors que les acteurs du secteur financier ont encore quelques mois pour s’y préparer, notre chroniqueur invité Gilles Chevillon décrit les principaux piliers qui composent le Digital Operational Resilience Act (DORA) décidé par l’Union européenne.
Le 16 janvier 2023, la règlementation DORA (Digital Operational Resilience Act) entrait en vigueur dans l’Union Européenne. Il s’agit d’un cadre innovant et ambitieux qui s’attaque aux risques posés par la transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques, ainsi que la multiplication des cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur financier.
Cette initiative, qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des consommateurs, concerne environ 22 000 entités financières au sein de l’UE, telles que les banques, les sociétés de gestion, les compagnies d’assurance ou encore les prestataires de services de cryptoactifs.
Comment assurer la protection des données et la sécurité des systèmes d’information dans un environnement de plus en plus interconnecté et complexe ?
DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l’information et de la communication (TIC).
Le concept de résilience opérationnelle met alors l’accent sur la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus large et proactive, qui part du principe que les incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.
Cette approche requiert de développer une connaissance fine du fonctionnement des activités de l’entreprise, y compris de son écosystème, afin d’identifier les risques et les menaces, mais également d’évaluer les niveaux de perturbations acceptables pour elle, mais aussi du point de vue du client.
Le règlement DORA apporte, dans un seul acte législatif et pour la première fois dans l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique, et définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux TIC et à la sécurité des réseaux et des systèmes d’information.
A travers ses 5 piliers, DORA comprend les éléments suivants :
- Un cadre de gestion des risques liés aux TIC, qui doit être approuvé et supervisé par l’organe de direction de l’entité financière, et qui doit couvrir tous les aspects du cycle de vie des TIC, tels que la conception, le développement, le déploiement, la maintenance, ou leur externalisation dans certains cas.
- Une politique de classification des incidents liés aux TIC, qui doit permettre d’identifier, d’évaluer, de notifier et de gérer les incidents majeurs liés aux TIC, en tenant compte de leur impact potentiel sur la continuité des activités, la sécurité des données, ou même la réputation.
- Un programme de tests de résilience, qui doit être exécuté au moins une fois par an par des parties indépendantes (internes ou externes), et qui doit comprendre une série d’évaluations, de méthodologies, de pratiques et d’outils pour simuler des scénarios de perturbation liés aux TIC et mesurer la capacité de l’entité financière à y faire face.
- Une politique de gestion des relations avec les prestataires de services TIC, qui doit définir les critères de sélection, d’évaluation, de surveillance et de contrôle des prestataires de services TIC, en particulier ceux qui sont considérés comme critiques, et qui doit prévoir des clauses contractuelles spécifiques pour garantir le respect des exigences du règlement DORA.
- Et enfin, une politique de partage d’information et de gestion de la sécurité de l’information, qui doit établir les mesures techniques et organisationnelles pour assurer la confidentialité, l’intégrité, la disponibilité et la traçabilité des données et des systèmes d’information, en tenant compte des normes et des bonnes pratiques reconnues au niveau international.
Les défis et les opportunités liés à la transformation numérique du secteur financier
Étant donné les nombreux sujets traités, le règlement DORA représente un défi majeur pour les entités financières, qui doivent se mettre en conformité avec ses dispositions d’ici le 17 janvier 2025, date à laquelle il entrera en application.
Le compte à rebours a donc commencé, et il ne faut pas le prendre à la légère. En effet, le non-respect du règlement DORA pourra entraîner des sanctions administratives, financières, ou des mesures correctives, telles que la suspension ou même l’interdiction de fournir des services ou certaines activités.
Par conséquent, pour relever le défi du règlement DORA, les entités financières devront nécessairement adopter une approche globale et transversale, qui impliquera toutes les parties prenantes de l’entreprise, tant au niveau stratégique qu’opérationnel.
Elles devront également s’appuyer sur des méthodes et des outils adaptés, qui leur permettront de réaliser un diagnostic de leur situation actuelle, d’identifier les écarts par rapport aux exigences du règlement DORA, de définir un plan d’action et de le mettre en œuvre, de suivre les progrès et de mesurer les bénéfices.
Mais au-delà des contraintes réglementaires, DORA offre aussi des opportunités aux entités financières, qui peuvent tirer parti de cette occasion pour renforcer leur compétitivité et leur attractivité sur le marché. En effet, en améliorant leur résilience opérationnelle numérique, les entités financières peuvent accroître leur confiance dans leurs capacités à faire face aux perturbations liées aux TIC, réduire leurs coûts opérationnels, optimiser leurs processus, augmenter leur satisfaction client, et se différencier de leurs concurrents.
Vous l’aurez compris : DORA est bien plus qu’une réglementation. C’est surtout une réelle opportunité pour parvenir à plus de sécurité, d’efficacité et donc un formidable levier de performance.
Janvier 2025 arrivant à grands pas, il est essentiel que l’ensemble de l’écosystème financier se mette au plus tôt en ordre de bataille pour tenir l’échéance. La feuille de route DORA est en effet consistante et l’anticipation est une vertu. Nous ne pouvons donc qu’inciter chacun à entamer dès que possible ces travaux de mise en conformité.