Introduction à la nouvelle norme européenne DORA : Renforcer la résilience opérationnelle des institutions financières dans l’Union européenne

La Commission européenne a récemment proposé un projet de réglementation visant à renforcer la résilience opérationnelle informatique des acteurs des services financiers au sein de l’Union européenne. Cette nouvelle norme, connue sous le nom de Digital Operational Resilience Act (DORA), vise à mettre en place un cadre de gouvernance et de contrôle interne spécifique pour améliorer la gestion des risques liés à la cybersécurité et à la protection des données.

Evolution de la réglementation pour renforcer la résilience opérationnelle

Depuis les accords de Bale II en 2005, le risque opérationnel a été reconnu comme une composante essentielle des risques bancaires. Il englobe les pertes résultant de processus internes défaillants, de personnes et de systèmes, ainsi que d’événements externes. La continuité des activités en cas d’incident majeur est évaluée pour mesurer la capacité des établissements financiers à maintenir leurs principales activités malgré les perturbations.

Cependant, l’augmentation de la complexité et de la diversité des incidents informatiques, ainsi que leurs conséquences de plus en plus graves, ont rendu cette évaluation macroscopique des risques technologiques insuffisante. Les systèmes d’information jouent désormais un rôle central et stratégique dans le fonctionnement du système bancaire, exposant ainsi les institutions financières à un risque croissant d’attaques informatiques sophistiquées.

Les cyberattaques, telles que les rançongiciels, peuvent cibler les systèmes internes des établissements financiers ou endommager les infrastructures externes qui soutiennent les services interbancaires. De plus, l’externalisation des services techniques et opérationnels a également contribué à complexifier la gestion des risques, car les prestataires externes peuvent devenir des vecteurs de contamination en cas d’incident.

Face à cette situation critique, il est devenu nécessaire d’améliorer la résilience opérationnelle des institutions financières et de renforcer la réglementation pour les accompagner dans la gestion de leurs risques liés à la cybersécurité et à la protection des données.

Le Parlement européen et le Conseil ont l’intention d’accorder une période de mise en œuvre générale de 24 mois pour la directive DORA. Les entreprises devraient donc envisager une période de mise en œuvre de 24 mois pour l’ensemble des exigences de la directive DORA, s’étalant du second semestre 2022 au second semestre 2024.

En cas de non-respect du règlement DORA, les pays de l’UE auront la possibilité de mettre en place des sanctions pénales spécifiques liées aux obligations de résilience opérationnelle numérique. De plus, une responsabilité particulière sera attribuée aux dirigeants conformément à l’article 46 du règlement DORA.

Les sanctions pour non-respect de la directive DORA peuvent être :

• Des amendes d’un montant maximum de 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.
• Des sanctions administratives, telles que l’injonction, l’interdiction temporaire ou définitive d’exercer une activité ou la publication d’une mise en garde.
• Des sanctions pénales, telles que l’emprisonnement ou l’amende.

Le montant de la sanction sera donc déterminé en fonction de la gravité de la violation, de la taille de l’entreprise et de ses revenus.

Les objectifs de la norme DORA

Gestion des risques informatiques

La norme DORA exige une gestion efficace des risques informatiques. Les institutions financières devront déterminer leur niveau de tolérance aux risques et mettre en place des politiques de continuité des activités et de plan de reprise d’activité pour faire face aux incidents technologiques majeurs. Les plans d’audit devront également être régulièrement examinés pour couvrir les risques informatiques. De plus, les contrats d’externalisation de services TIC devront être approuvés et suivis de près, afin de garantir que les conditions de sécurité sont respectées.

Déclaration des incidents majeurs

La norme DORA impose également la déclaration des incidents majeurs liés aux technologies. Les institutions financières devront mettre en place des mécanismes de reporting vers une instance européenne unique, afin de renforcer la gestion des incidents et d’améliorer la coopération en matière de cybersécurité.

Tests de résilience opérationnelle informatique

La norme exige la réalisation régulière de tests de résilience opérationnelle informatique. Ces tests permettront de vérifier la capacité des institutions financières à faire face aux incidents technologiques et à maintenir leurs activités essentielles en cas de perturbations.

Gestion du risque de tiers

Les institutions financières devront superviser de manière plus étroite les prestataires de services « critiques » et s’assurer qu’ils respectent les exigences de sécurité définies par la réglementation.

Assurer une gestion efficace des risques liés aux technologies

La mise en place d’une gouvernance solide et une gestion efficace des risques liés aux technologies sont essentielles pour garantir la résilience opérationnelle des institutions financières. La Direction des institutions financières doit jouer un rôle clé dans cette démarche. Elle doit veiller à ce que les risques liés aux technologies soient correctement évalués, que les politiques de continuité des activités et les plans de reprise d’activité soient approuvés et régulièrement révisés, et que les contrats d’externalisation de services TIC soient gérés de manière adéquate.
Il est également important que les membres de la Direction disposent d’une formation spécifique pour comprendre et évaluer les risques informatiques, ainsi que leurs impacts sur les opérations financières. Cette formation leur permettra de prendre des décisions éclairées et de mettre en place les mesures nécessaires pour assurer la résilience opérationnelle des institutions financières.

La directive européenne va ainsi contribuer à renforcer la sécurité de près de 160 000 entités. Elle favorisera également le partage d’informations avec le secteur privé et les partenaires du monde entier. Selon Bart Groothuis, député européen, “si nous sommes attaqués à grande échelle, nous devons répondre à cette échelle industrielle. Les ransomwares et autres menaces cybernétiques ont trop longtemps ciblé l’Europe. Il est essentiel que nous agissions pour rendre nos entreprises, nos gouvernements et notre société plus résilients face aux opérations cybernétiques hostiles. La directive DORA offre une occasion cruciale de prendre des mesures concertées pour renforcer notre posture de sécurité et protéger nos infrastructures numériques des attaques.”

En conclusion, la norme DORA représente une avancée majeure dans le renforcement de la résilience opérationnelle des institutions financières au sein de l’Union européenne. En mettant en place un cadre de gouvernance et de contrôle interne spécifique, cette norme permettra aux acteurs financiers de mieux gérer les risques liés à la cybersécurité et à la protection des données, et de maintenir leurs activités essentielles en cas d’incidents technologiques majeurs. La mise en place de cette norme nécessitera une adaptation des pratiques et des processus au sein des institutions financières, mais elle contribuera à renforcer la confiance des clients et des partenaires commerciaux dans le secteur financier de l’Union européenne.

Chez Ignimission, nous comprenons les enjeux liés à la conformité et à la sécurité. C’est pourquoi nous proposons des solutions de collecte de données avancées, conçues pour aider et accompagner les entreprises dans la collecte d’informations pertinentes pour évaluer leur conformité à la norme DORA. Grâce à nos solutions de collecte de données fiables et sécurisées, les entreprises peuvent obtenir des indicateurs clés sur leur conformité.

Envie d’en savoir plus sur Ignimission ? Contactez-nous.