La transformation numérique rapide du secteur financier a certes apporté des avantages remarquables en termes d’accessibilité pour les consommateurs et d’efficacité opérationnelle, mais a aussi entraîné de nouvelles menaces. Pour faire efficacement face à cette situation, plusieurs propositions de règles sont faites. C’est le cas du Digital Operational Resilience Act (DORA). En quoi consiste réellement cette réglementation ? Quelles sont ses implications ? Comment s’applique-t-elle ? Découvrez ici plus d’informations utiles pour mieux comprendre la réglementation DORA.

La réglementation DORA ou Digital Operational Resilience Act

La DORA est une initiative de l’Union européenne (UE) qui vise à renforcer la résilience opérationnelle des acteurs du secteur financier face au développement du numérique. Les progrès technologiques récents ont affecté les domaines comme l’information, les communications, les infrastructures et les réseaux du secteur financier. De nombreuses entreprises financières ont désormais besoin des systèmes numériques pour effectuer leurs opérations quotidiennes (transactions financières, gestion de compte, services clients, etc.). Cette dépendance expose les acteurs à divers risques comme les pannes systémiques, les cyberattaques et d’autres incidents liés à la technologie.

Ces risques peuvent avoir des répercussions importantes sur la confiance des investisseurs, la stabilité financière et l’intégrité du marché. Ils impactent aussi négativement les métiers du secteur financier.

C’est pour mieux contrôler ces risques que l’UE a initié le règlement DORA qui a pour objectif principal d’améliorer la gouvernance, la cybersécurité et la surveillance des risques du secteur. Cette réglementation repose sur certains principes essentiels. Il s’agit de :

  • la pérennité des services,
  • la prévention des incidents,
  • la réactivité,
  • la détection précoce des risques,
  • la récupération rapide en cas d’incident.

Publiée par la Commission européenne le 24 septembre 2020, cette proposition de normes a été finalement adoptée en fin d’année 2022. Elle entrera officiellement en application à partir de janvier 2025.

réglementation DORA établissements financiers

Ce qu’elle implique pour les établissements financiers

Les établissements du secteur financier, tous concernés par la réglementation DORA, doivent répondre à certaines normes et dispositions établies par cette dernière.

La résilience opérationnelle renforcée

Pour minimiser l’impact des cyberattaques et des incidents opérationnels sur leurs opérations et les services qu’ils proposent, les établissements financiers doivent mettre en place des mesures adéquates. Cela demande une évaluation des risques et menaces spécifiques du secteur pour l’élaboration d’un plan sur mesure, adapté aux réalités de chaque entreprise.

La gestion améliorée des risques

C’est un point très important du règlement DORA. Il exige des institutions financières, le recours à des mécanismes performants d’analyse des risques pour identifier clairement, évaluer puis atténuer les risques auxquels elles peuvent être confrontées. Les risques liés à la cybersécurité et la technologie doivent être traités en priorité.

La gestion améliorée des risques telle que décrite dans la réglementation DORA implique aussi la mise en place des plans de continuité d’activités et une cartographie des ressources. Cela vise à permettre aux acteurs de mieux projeter leurs activités.

La DORA impose aussi aux entreprises d’améliorer leur politique de gestion des risques au niveau des sous-traitants et des ressources externes qu’elles emploient. Autrement dit, les expertises et ressources externes que sollicitent les entreprises doivent être correctement évaluées de sorte à avoir une idée précise des risques auxquels elles exposent l’entité. C’est le cas par exemple du cloud qui peut servir de ressource externe très utile à l’entreprise. Il expose aussi cette dernière à divers risques allant d’une simple défaillance des systèmes à la perte totale des données.

Les évaluations et tests réguliers

Les entreprises financières doivent effectuer régulièrement des tests, des évaluations et des simulations pour s’assurer qu’elles sont capables de faire face aux incidents majeurs tout en restant opérationnelles. Pour ce faire, divers scénarios doivent être envisagés en tenant compte des réalités de chaque entreprise.

Les normes de cybersécurité strictes

Pour protéger leurs données critiques et éviter les erreurs courantes de trésorerie, les établissements du secteur financier doivent investir dans des systèmes de sécurité avancés. Pour les systèmes qui se présentent sous forme de logiciels, certaines versions minimums seront imposées, selon leur rôle.

La notification d’incidents obligatoire

Les institutions financières doivent systématiquement signaler tout incident majeur qui se produit dans leurs locaux aux autorités compétentes. Il est surtout question des incidents qui affectent significativement les services ou opérations et qui impliquent les Technologies de l’Information et de la Communication (TIC). Des protocoles stricts existent pour faciliter la notification des incidents selon leur nature.

La mise en œuvre de ce point du règlement DORA assure une meilleure coordination de l’entreprise financière avec les autorités en cas d’incident, car elle prouve la transparence de cette dernière.

Le partage d’informations

Pour une bonne application de la réglementation DORA, les établissements financiers doivent faire la promotion du partage d’informations et de renseignements au sein de leurs équipes. Cela permet à chacun de mieux appréhender les menaces et les risques.

DORA réglementation européenne

Une réglementation à échelle européenne

La réglementation DORA, initiée par l’UE, s’applique uniformément dans les 27 pays membres. Le caractère transfrontalier de ce règlement vise à harmoniser les pratiques et les normes relatives au secteur financier dans l’union. Il favorise aussi la cohérence et la coordination des efforts, en termes de gestion des risques et des incidents, pour les établissements financiers qui opèrent dans plusieurs de ces pays.

La réussite de la mise en œuvre de la réglementation DORA à l’échelle de l’UE demande de relever certains défis. D’abord, les établissements financiers qui sont déjà présents sur le marché devront mobiliser des ressources (humaines, matérielles et financières) pour affiner leurs politiques afin d’être conformes aux dispositions du règlement. Les autorités de régulation dans les différents pays concernés doivent aussi suivre de près l’application de la réglementation. Des campagnes d’information et de sensibilisation à grande échelle sont nécessaires pour informer suffisamment sur le nouveau règlement. Pour cela, divers canaux sont envisageables : les médias sociaux, la presse écrite, les conférences, les affichages publics, les séminaires, les ateliers en entreprise, etc. Une révision régulière est requise pour veiller à la conformité du règlement avec les réalités très évolutives du secteur financier.

En définitive, une bonne application du règlement DORA permettra d’améliorer ou de formaliser les dispositions existantes au sein des entreprises financières pour lutter contre les nombreuses menaces du secteur. Recourir aux services de professionnels du domaine permet de bénéficier d’un accompagnement personnalisé pour renforcer durablement la résilience de votre entreprise.