Protec
Accélération et gouvernance de la sécurité des comptes à privilèges CyberArk
Rationalisez la collecte et la gestion des données réglementaires
Votre allié pour gérer DORA, NIS, ISO et au-delà
Optimisez vos évaluations de sécurité
Pilotez efficacement la sécurité de votre SI
Optimisez la gestion de vos infrastructures
Optimisation de la gestion budgétaire dans le secteur Public
Découvrez notre mission et nos valeurs
Notre impact sociétal et environnemental
Rejoignez-nous
Nos alliances stratégiques
Toutes nos actualités
Nos prochains rendez-vous
La Commission européenne a récemment proposé un projet de réglementation visant à renforcer la résilience opérationnelle informatique des acteurs des services financiers au sein de l’Union européenne. Cette nouvelle norme, connue sous le nom de Digital Operational Resilience Act (DORA), vise à mettre en place un cadre de gouvernance et de contrôle interne spécifique pour améliorer la gestion des risques liés à la cybersécurité et à la protection des données.
Depuis les accords de Bale II en 2005, le risque opérationnel a été reconnu comme une composante essentielle des risques bancaires. Il englobe les pertes résultant de processus internes défaillants, de personnes et de systèmes, ainsi que d’événements externes. La continuité des activités en cas d’incident majeur est évaluée pour mesurer la capacité des établissements financiers à maintenir leurs principales activités malgré les perturbations.
Cependant, l’augmentation de la complexité et de la diversité des incidents informatiques, ainsi que leurs conséquences de plus en plus graves, ont rendu cette évaluation macroscopique des risques technologiques insuffisante. Les systèmes d’information jouent désormais un rôle central et stratégique dans le fonctionnement du système bancaire, exposant ainsi les institutions financières à un risque croissant d’attaques informatiques sophistiquées.
Les cyberattaques, telles que les rançongiciels, peuvent cibler les systèmes internes des établissements financiers ou endommager les infrastructures externes qui soutiennent les services interbancaires. De plus, l’externalisation des services techniques et opérationnels a également contribué à complexifier la gestion des risques, car les prestataires externes peuvent devenir des vecteurs de contamination en cas d’incident.
Face à cette situation critique, il est devenu nécessaire d’améliorer la résilience opérationnelle des institutions financières et de renforcer la réglementation pour les accompagner dans la gestion de leurs risques liés à la cybersécurité et à la protection des données.
Le Parlement européen et le Conseil ont l’intention d’accorder une période de mise en œuvre générale de 24 mois pour la directive DORA. Les entreprises devraient donc envisager une période de mise en œuvre de 24 mois pour l’ensemble des exigences de la directive DORA, s’étalant du second semestre 2022 au second semestre 2024.
En cas de non-respect du règlement DORA, les pays de l’UE auront la possibilité de mettre en place des sanctions pénales spécifiques liées aux obligations de résilience opérationnelle numérique. De plus, une responsabilité particulière sera attribuée aux dirigeants conformément à l’article 46 du règlement DORA.
Les sanctions pour non-respect de la directive DORA peuvent être :
Le montant de la sanction sera donc déterminé en fonction de la gravité de la violation, de la taille de l’entreprise et de ses revenus.
Gestion des risques informatiques
La norme DORA exige une gestion efficace des risques informatiques. Les institutions financières devront déterminer leur niveau de tolérance aux risques et mettre en place des politiques de continuité des activités et de plan de reprise d’activité pour faire face aux incidents technologiques majeurs. Les plans d’audit devront également être régulièrement examinés pour couvrir les risques informatiques. De plus, les contrats d’externalisation de services TIC devront être approuvés et suivis de près, afin de garantir que les conditions de sécurité sont respectées.
Déclaration des incidents majeurs
La norme DORA impose également la déclaration des incidents majeurs liés aux technologies. Les institutions financières devront mettre en place des mécanismes de reporting vers une instance européenne unique, afin de renforcer la gestion des incidents et d’améliorer la coopération en matière de cybersécurité.
Tests de résilience opérationnelle informatique
La norme exige la réalisation régulière de tests de résilience opérationnelle informatique. Ces tests permettront de vérifier la capacité des institutions financières à faire face aux incidents technologiques et à maintenir leurs activités essentielles en cas de perturbations.
Gestion du risque de tiers
Les institutions financières devront superviser de manière plus étroite les prestataires de services « critiques » et s’assurer qu’ils respectent les exigences de sécurité définies par la réglementation.
La mise en place d’une gouvernance solide et une gestion efficace des risques liés aux technologies sont essentielles pour garantir la résilience opérationnelle des institutions financières. La Direction des institutions financières doit jouer un rôle clé dans cette démarche. Elle doit veiller à ce que les risques liés aux technologies soient correctement évalués, que les politiques de continuité des activités et les plans de reprise d’activité soient approuvés et régulièrement révisés, et que les contrats d’externalisation de services TIC soient gérés de manière adéquate.Il est également important que les membres de la Direction disposent d’une formation spécifique pour comprendre et évaluer les risques informatiques, ainsi que leurs impacts sur les opérations financières. Cette formation leur permettra de prendre des décisions éclairées et de mettre en place les mesures nécessaires pour assurer la résilience opérationnelle des institutions financières.La directive européenne va ainsi contribuer à renforcer la sécurité de près de 160 000 entités. Elle favorisera également le partage d’informations avec le secteur privé et les partenaires du monde entier. Selon Bart Groothuis, député européen, “si nous sommes attaqués à grande échelle, nous devons répondre à cette échelle industrielle. Les ransomwares et autres menaces cybernétiques ont trop longtemps ciblé l’Europe. Il est essentiel que nous agissions pour rendre nos entreprises, nos gouvernements et notre société plus résilients face aux opérations cybernétiques hostiles. La directive DORA offre une occasion cruciale de prendre des mesures concertées pour renforcer notre posture de sécurité et protéger nos infrastructures numériques des attaques.”En conclusion, la norme DORA représente une avancée majeure dans le renforcement de la résilience opérationnelle des institutions financières au sein de l’Union européenne. En mettant en place un cadre de gouvernance et de contrôle interne spécifique, cette norme permettra aux acteurs financiers de mieux gérer les risques liés à la cybersécurité et à la protection des données, et de maintenir leurs activités essentielles en cas d’incidents technologiques majeurs. La mise en place de cette norme nécessitera une adaptation des pratiques et des processus au sein des institutions financières, mais elle contribuera à renforcer la confiance des clients et des partenaires commerciaux dans le secteur financier de l’Union européenne.Chez Ignimission, nous comprenons les enjeux liés à la conformité et à la sécurité. C’est pourquoi nous proposons des solutions de collecte de données avancées, conçues pour aider et accompagner les entreprises dans la collecte d’informations pertinentes pour évaluer leur conformité à la norme DORA. Grâce à nos solutions de collecte de données fiables et sécurisées, les entreprises peuvent obtenir des indicateurs clés sur leur conformité.
Envie d’en savoir plus sur Ignimission ? Contactez-nous.
Contactez-nous pour échanger sur vos besoins et avoir une démo de nos solutions.