Digital Operational Resilience Act (DORA)

DORA signifie « Digital Operational Resilience Act » ou loi sur la résilience opérationnelle numérique en français. Il s’agit d’une réglementation à l’échelle du secteur financier au niveau de l’UE qui traite de la résilience opérationnelle numérique. Avec ce texte, l'Union Européenne crée des réglementations uniformes sur la manière dont les marchés financiers - y compris les banques et les compagnies d'assurance - abordent le problème de la cybersécurité et minimisent les risques liés aux TIC (technologies de l'information et des communications). C'est pourquoi DORA renforce les réglementations relatives à l'utilisation des systèmes numériques.

Les directives de DORA sont avant tout de nature préventive. L’UE veut préparer les entreprises à des cyber-risques accrus sur le marché financier. Lorsque des incidents surviennent, la réglementation DORA devrait permettre aux sociétés financières de mieux réagir et surtout d'être plus efficace.

En raison des progrès de la numérisation de l’économie, les risques ont augmenté ces dernières années. Les systèmes et technologies utilisés sont vulnérables. Or, le secteur financier dépend de plus en plus de ces outils numériques et les obtiennent souvent de prestataires de services tiers.

C'est pourquoi DORA impose aux entreprises du marché financier des exigences contraignantes en ce qui concerne leurs stratégies numériques et leur coopération avec les entreprises et les prestataires de services du secteur digital.

Avec DORA, l’Union Européenne demande aux banques et compagnies d’assurance ainsi que d’autres organisations du secteur financier de concevoir et mettre en place des stratégies de résilience numérique. Les stratégies doivent être basées sur les exigences des normes internationales en matière de gestion des risques liés aux outils numériques. Dans le cadre de la gestion des risques liés à ces derniers, les sociétés financières doivent se fixer des objectifs clairs en matière de sécurité des data.

Les sociétés financières sont tenues de classer et de signaler les incidents liés aux outils numériques qu’elles utilisent. Dans le cadre de la gestion des risques, DORA propose des plans de communication aux sociétés financières. Ceux-ci doivent être utilisés en cas d'incidents graves.

L’Union Européenne exige aussi que certaines sociétés financières effectuent des tests réguliers et indépendants sur les incidents de cybersécurité. Il s’agit notamment de tests de résilience opérationnelle numérique.

Les tests sont utilisés à des fins de surveillance par les sociétés financières et les autorités de régulation. Les tests de code source, les tests de performances ou les tests d'intrusion basés sur les menaces visent à démontrer si l'objectif de résilience opérationnelle numérique a été atteint. Ils font partie intégrante de la gestion des risques.

Afin de réduire les risques liés aux technologies numériques en général, DORA réglemente également la manière dont les entreprises peuvent échanger volontairement des informations sur les risques liés aux TIC au sein de communautés financières de confiance.

Si les sociétés financières travaillent avec des fournisseurs tiers, les mesures affectent également ces derniers. Des registres d'informations sur les relations contractuelles doivent être tenus et des scénarios de résiliation du contrat doivent être développés. L'accent est également mis sur les stratégies que les entreprises qui travaillent ensemble utilisent pour prévenir et gérer les risques. En clair, DORA établit des normes sur la manière dont les sociétés financières utilisent les services  tiers.

L'importance de DORA est particulièrement cruciale pour ces entreprises. Elles doivent désormais intégrer la législation DORA dans leurs processus, que leur siège social se trouve à l'intérieur ou à l'extérieur de l'Union Européenne. Si vous travaillez pour des sociétés financières au sein de l’UE, les exigences DORA s’appliquent également à vous.

En outre, la législation crée un nouveau cadre de contrôle pour les prestataires de services numériques. Cela inclut, entre autres, que les autorités de surveillance européennes superviseront désormais les fournisseurs de services numériques critiques. Cela contribue de manière significative à l’harmonisation des exigences réglementaires au niveau de l’UE.

Le 14 décembre 2022, le Parlement européen et le Conseil européen ont adopté le DORA, soit le règlement (UE) 2022/2554 sous sa dénomination officielle. Il est officiellement entré en vigueur le 17 janvier 2023 dans le cadre du paquet pour la digitalisation de la finance. Dans le même temps, l'Union Européenne a fixé un délai de mise en œuvre de 24 mois.

Le respect des dispositions prévues par le règlement DORA ne sera donc obligatoire qu'à partir du 17 janvier 2025.

DORA est basé sur l'idée de la Commission européenne de créer une résilience opérationnelle numérique dans le secteur financier. Ces quatre problèmes principaux concrétisent l’idée centrale de DORA :

• Augmentation des cyberincidents graves dans les entreprises financières : DORA renforce la résilience numérique et la cybersécurité dans le secteur financier.
• Fragmentation de la réglementation dans le traitement des problèmes de cybersécurité au sein de l'UE : DORA harmonise et standardise les exigences en matière d'opérabilité numérique et de cybersécurité au niveau de l'UE.
• Graves interruptions d’activité suite à des cyberattaques : DORA établit des normes afin que les entreprises soient mieux préparées aux cyber-risques et puissent y répondre efficacement.
• Maintenir la confiance dans le secteur financier : DORA contribue à garantir que les consommateurs et les investisseurs continuent de considérer le secteur financier comme fiable et sûr.

Depuis l’entrée en vigueur du règlement DORA, les régulateurs ont élaboré des projets de normes techniques de réglementation et de mise en œuvre.

Le projet final de normes techniques de réglementation et de mise en œuvre pour DORA a été publié le 17 janvier 2024 et adopté par la Commission européenne le 13 mars 2024. Ils sont actuellement en phase d'examen de trois mois.

DORA étant un règlement européen, il est également directement valable dans le droit national. Le règlement est donc immédiatement contraignant pour les entreprises françaises du secteur financier ainsi que pour leurs fournisseurs de services. En France, deux autorités sont en charge de l’application et la supervision des règles énoncées par DORA: l’Autorité des marchés financiers (AMF) et l’Autorité de contrôle prudentiel et de résolution (ACPR). Leurs missions seront de:

• Contrôler la gestion des risques numériques des institutions financières.
• Superviser les tests de résilience opérationnelle menés par les entreprises.
• Recevoir les rapports sur les incidents majeurs relatifs à la sécurité numérique.

Gestion des risques liés aux outils numériques

Les institutions financières doivent mettre en œuvre des systèmes et des contrôles robustes pour gérer les risques liés aux outils numériques. Cela comprend l’identification, l’évaluation et l’atténuation des risques. Les systèmes ECM facilitent la gestion et la traçabilité des documents et processus de gestion des risques. L'automatisation et la journalisation garantissent que toutes les mesures sont documentées et vérifiables.

• Conformité et audits : les systèmes ECM peuvent garantir que le stockage et l’archivage de tous les documents et enregistrements nécessaires tels que les analyses de risques, les évaluations et les plans d'atténuation sont à l'épreuve des audits.
• Les modifications et l'accès aux documents peuvent être entièrement surveillés à l'aide du versioning et documentés pour des audits ultérieurs. Cela signifie que les mesures de gestion des risques peuvent être tracées à tout moment.
• Les processus d'approbation et la distribution des rapports de risques aux parties concernées peuvent être automatisés et standardisés avec des flux de travail prédéfinis.

Signalement des incidents numériques

Les institutions financières sont tenues de documenter et de signaler rapidement et efficacement les incidents informatiques graves (documentation des incidents) afin de permettre une réponse et une résolution rapides.
Les systèmes ECM prennent en charge la capture et le reporting rapides des incidents numériques grâce à des rapports d'incidents standardisés et des notifications automatisées. Cela contribue au respect des obligations de déclaration.

• Gestion des incidents : enregistrement et documentation centralisés des incidents numériques.
• Notifications et alertes : notification automatisée des personnes concernées lorsqu'un incident se produit.
• Création de rapports : création et stockage des rapports d'incident qui répondent aux exigences réglementaires.

Continuité des services

Les institutions financières doivent prendre des mesures pour garantir que les services essentiels puissent continuer même en cas de graves perturbations opérationnelles. Les systèmes ECM contribuent à la continuité des activités en sécurisant les documents critiques et en garantissant des processus automatisés qui fonctionnent indépendamment de toute intervention manuelle. Cela garantit que les services essentiels restent disponibles même en cas de perturbations.

• Reprise après sinistre : les systèmes ECM peuvent faire partie de la planification d’une reprise de l’activité après un sinistre en fournissant des capacités de sauvegarde et de récupération pour garantir que les documents et informations critiques restent accessibles en cas de panne.
• Assurer la continuité des activités : en automatisant les flux de travail, les systèmes ECM peuvent garantir que les processus métier se poursuivent ou redémarrent automatiquement, même en cas de perturbations.

Surveillance et tests

Les institutions financières doivent surveiller et auditer régulièrement leurs systèmes numériques pour s'assurer qu'ils respectent les exigences de la réglementation. Les systèmes ECM offrent des capacités complètes de surveillance et d’audit qui garantissent que toutes les activités sont documentées et auditables. Ces fonctionnalités prennent en charge la vérification régulière de l’intégrité et de la sécurité du système.

• Pistes d'audit : journalisation complète de toutes les actions et accès aux documents à des fins d'audit.
• Surveillance en temps réel : les systèmes ECM peuvent surveiller en temps réel qui accède à quelles informations et quelles modifications sont apportées. Cela soutient la transparence et la traçabilité requises par DORA.
• Rapports : la création de rapports réguliers sur l'utilisation et la conformité du système peut être automatisée et simplifiée grâce aux systèmes ECM.

Sécurité et protection des informations

Les institutions financières doivent veiller à ce que la sécurité et la confidentialité des informations soient garanties, notamment par la mise en œuvre de contrôles d'accès et de cryptage. Les systèmes ECM offrent des fonctionnalités de sécurité robustes qui garantissent la protection et la confidentialité des informations. Les contrôles d'accès et le cryptage garantissent que seuls les utilisateurs autorisés peuvent accéder aux données sensibles.

• Contrôles d'accès : les systèmes ECM offrent des contrôles précis sur qui peut accéder à quelles informations. Ils garantissent que seuls les utilisateurs autorisés peuvent accéder aux informations sensibles.
• Sécurité et confidentialité : les solutions ECM modernes offrent des fonctionnalités permettant de chiffrer et de garantir l'intégrité des données, à la fois lors du stockage et en transit.
• Politiques de sécurité : mise en œuvre et application des politiques de sécurité des informations de l'entreprise.

FAQ