DORA : Digital Operational Resilience Act - Défis et opportunités
La loi sur la résilience opérationnelle numérique (DORA), qui entrera en vigueur en janvier 2025, s'ajoute à la multitude de réglementations concernant l'informatique des entreprises financières. Comme les exigences prudentielles existantes de la BaFin (BAIT, ZAIT, KAIT, VAIT ; en bref : XAIT) ont notamment servi de modèle, de nombreuses entreprises devraient être bien préparées en conséquence. Pour toutes les autres, il y a beaucoup à faire.
Le secteur financier est confronté à une série d'exigences réglementaires adaptées à chaque domaine d'activité par la BaFin. Le Digital Operational Resilience Act (DORA) de l'UE complète désormais ces exigences nationales existantes et crée un cadre uniforme.
À partir de janvier 2025, le Digital Operational Resilience Act (DORA) entrera en vigueur et entraînera des changements majeurs pour la sécurité informatique dans le secteur financier.
Qui est concerné par DORA ?
Contrairement à XAIT, DORA n'est pas conçu pour un secteur spécifique, mais pour tous les secteurs. Cela signifie que la réglementation concerne aussi bien les assurances que les sociétés de gestion de capitaux, les banques et les fonds d'investissement, etc. Concrètement, sont concernés (champ d'application article 2, paragraphe 1 DORA)
Établissements de crédit Établissements de paiement Fournisseur de services d'information sur les comptes Établissements de monnaie électronique Entreprises d'investissement Fournisseur de services de cryptographie Dépositaire central de titres Contreparties centrales Places de négoce Registre des transactions Gestionnaire de fonds d'investissement alternatifs Sociétés de gestion Services de mise à disposition de données Entreprises d'assurance et de réassurance Intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance à titre accessoire Institutions de retraite professionnelle Agences de notation Administrateurs de références critiques Prestataire de services de financement participatif Registre des titrisations Fournisseurs de services TIC
Quels sont les objectifs généraux de DORA ?
Réduction de la fragmentation : DORA a pour objectif d'éliminer les différences réglementaires existantes et de créer une norme uniforme.
Renforcer la résilience numérique : Établir des normes plus strictes pour gérer les technologies de l'information et de la communication (TIC), les développer et les mettre en œuvre.
Harmonisation des réglementations : Créer un cadre réglementaire unique pour la sécurité informatique dans le secteur financier, qui permette la reconnaissance transfrontalière des résultats des audits.
Gestion des risques : Les institutions financières doivent mettre en place des procédures efficaces de gestion des risques afin d'identifier, de classer et de gérer les risques liés aux TIC.
Rapports d'incidents : Le règlement oblige les institutions financières à signaler les incidents graves liés aux TIC aux autorités compétentes.
Augmenter la transparence : En accédant aux incidents liés aux TIC, les entreprises et les autorités peuvent mieux faire face aux menaces de demain.
Éliminer les redondances : Au niveau européen, les obligations de déclaration sont simplifiées et les informations déclarées de manière redondante sont minimisées.
Défis à relever
DORA vise à assurer un niveau élevé de sécurité et de résistance (résilience) du secteur financier dans l'UE et peut être résumé sommairement dans les quatre chapitres suivants :
1. gestion des risques liés aux TIC (art. 5-16)
Les institutions financières doivent disposer d'un ensemble complet et bien documenté de règles pour la gestion des risques liés aux TIC. Cela comprend des stratégies, des politiques, des procédures, des protocoles TIC et des outils pour identifier, classer, évaluer, surveiller et atténuer les risques liés aux TIC. L'organe de direction de l'entreprise financière (par exemple le conseil d'administration dans le cas d'une banque) est responsable de la stratégie et du pilotage de la gestion des risques liés aux TIC.
Exigences et besoins de mise en œuvre :
Planification et mise à disposition de ressources et d'un budget adéquat
Adaptation du cadre réglementaire une fois par an et après des incidents graves
Contrôle régulier par des audits internes
garantir l'indépendance de la gestion des risques, des contrôles et des audits grâce à la séparation des fonctions
Ligne directrice en matière de sécurité de l'information avec des règles pour protéger la disponibilité, l'authenticité, l'intégrité et la confidentialité des données
Les systèmes TIC doivent toujours être à la pointe du progrès
C'est ainsi que LocateRisk peut apporter son soutien :
Identification et classification des actifs informatiques
Réalisation de l'évaluation annuelle des risques informatiques
Réalisation d'un audit basé sur les incidents à tout moment
Surveillance continue de la sécurité des systèmes informatiques
En cas d'incidents importants liés aux TIC, un rapport rapide et complet est nécessaire. DORA définit des exigences et des délais précis pour de tels rapports. Les entreprises doivent disposer de processus de gestion des incidents informatiques qui garantissent une détection et une résolution rapides.
Objectifs :
Assurer une détection et une réponse rapides aux incidents informatiques
Notification rapide aux autorités et aux clients/consommateurs
Promouvoir les échanges sur les nouvelles menaces
Exigences et besoins de mise en œuvre :
Classification des incidents TIC selon certains critères
Signaler immédiatement les incidents informatiques graves aux autorités dans des délais définis
Création de plans de communication de crise
3. test de la résilience numérique opérationnelle/Digital Resilience Testing (articles 24-27)
DORA oblige les entreprises financières à mettre en place des programmes de test complets pour évaluer leur niveau de préparation aux cyber-risques et détecter les éventuelles vulnérabilités.
Objectifs :
Contrôle objectif de l'efficacité de la gestion des risques informatiques
Initier et démontrer l'amélioration continue de la mesure de protection
Exigences et besoins de mise en œuvre : Les tests annuels de base comprennent
Évaluations et analyses de vulnérabilité
Analyses open source
Évaluations de la sécurité du réseau
Analyses GAP
Vérifications de la sécurité physique
Questionnaires et scans de solutions logicielles
Contrôles du code source
Tests de compatibilité
Tests de performance
Tests de bout en bout
Tests d'intrusion et autres
Tests obligatoires tous les trois ans :
Tests d'intrusion axés sur les menaces et réalisés par des testeurs qualifiés et réputés
Voici comment LocateRisk peut aider:
Évaluations des points faibles
Tests de performance
Analyses GAP
Contrôle de la sécurité du réseau
4) gestion des risques liés aux TIC/gestion des risques liés aux tiers (articles 28 à 44)
En plus de leur propre sécurité informatique, les entreprises financières doivent également minimiser les risques dans leurs relations commerciales avec les prestataires de services externes. Cela implique une stratégie de gestion des risques pour les parties tierces telles que les fournisseurs de services en nuage, les fournisseurs de logiciels, les services d'analyse de données et les centres de données, ainsi que les fournisseurs de services de paiement et de traitement des paiements.
Objectifs :
Réduire le risque d'attaques via la chaîne d'approvisionnement
minimiser les conséquences potentielles de la défaillance de certains prestataires de services
Exigences et besoins de mise en œuvre :
Déjà avant la conclusion du contrat : évaluer la criticité ou l'importance des services externalisés et l'adéquation du prestataire de services TIC tiers sur la base d'une analyse complète
Dispositions contractuelles : Les contrats avec les fournisseurs de TIC tiers doivent contenir des accords clairs et précis sur les aspects de la résilience opérationnelle, y compris les accords de niveau de service (SLA), les exigences de disponibilité, les normes de sécurité et les plans d'urgence.
Surveillance et testing : Les entreprises financières sont encouragées à surveiller en permanence les activités des fournisseurs de TIC tiers et à tester régulièrement l'efficacité des mesures de sécurité et des stratégies de résilience.
Stratégie de sortie : Une stratégie de sortie claire doit être mise en place dans le cas où le service d'un fournisseur tiers de TIC est interrompu ou ne répond plus aux normes requises, afin d'assurer la continuité des processus d'entreprise et de se prémunir contre une dépendance excessive à l'égard d'un seul fournisseur.
Voici comment LocateRisk peut aider:
Évaluation à la demande des nouveaux partenaires commerciaux
Vérification automatisée de la conformité informatique et au RGPD
Surveillance des prestataires, des partenaires et des fournisseurs à des intervalles librement choisis
Contrôle des fournisseurs au moyen d'un questionnaire numérique / Self Assessment Questionnaire (SAQ)
Conclusion
DORA présente des défis considérables, mais aussi des opportunités pour le secteur financier. L'harmonisation des réglementations et l'introduction de normes plus strictes en matière de résilience numérique visent à atteindre un niveau de sécurité uniforme dans l'UE. Les nouvelles exigences sont vastes et exigent des entreprises une préparation et une mise en œuvre approfondies. Le soutien de fournisseurs spécialisés tels que LocateRisk peut aider à répondre à ces nouvelles exigences réglementaires et à renforcer la résilience numérique.
L'article se concentre sur les quatre chapitres mentionnés et ne traite pas de l'ensemble du règlement. Vous trouverez des informations détaillées sur DORA sur le site web de la BaFin Bundesanstalt für Finanzdienstleistungsaufsicht à l'adresse suivante DORA - Loi sur la résilience opérationnelle numérique
Demandez maintenant une Démo en direct personelle
Identifiez et réduisez vos cyber-risques grâce à un aperçu comparable et compréhensible de votre sécurité informatique. Demandez conseil à nos experts et découvrez comment LocateRisk peut vous aider à résoudre vos cyber-risques.
Voulez vous en savoir plus, réserver une démo ou juste échanger un instant? Alex se réjouit d'avance!
Nous utilisons des cookies pour optimiser notre site web et nos services.
Fonctionnel
Toujours activé
le stockage technique ou l'accès est strictement nécessaire dans le but légitime de permettre l'utilisation d'un service spécifique expressément demandé par l'abonné ou l'utilisateur, ou dans le seul but d'effectuer la transmission d'une communication par la voie d'un réseau de communications électroniques
Préférences
le stockage ou l'accès technique est nécessaire aux fins légitimes de la conservation des préférences qui n'ont pas été demandées par l'abonné ou l'utilisateur.
Statistiques
le stockage ou l'accès technique, à des fins exclusivement statistiques.le stockage ou l'accès technique, utilisé uniquement à des fins statistiques anonymes. En l'absence d'une citation, d'un accord volontaire de ton fournisseur d'accès à Internet ou d'enregistrements supplémentaires de tiers, les informations stockées ou consultées à cette seule fin ne peuvent généralement pas être utilisées pour t'identifier.
Marketing
Le stockage technique ou l'accès est nécessaire pour créer des profils d'utilisateurs, pour envoyer des publicités ou pour suivre l'utilisateur sur un site web ou sur plusieurs sites web à des fins de marketing similaires.
Français 
Deutsch 
English