Digital Operational Resilience Act (DORA) : la Commission européenne souhaite renforcer la sécurité numérique du secteur financier

Dans un contexte de multiplication des cyberattaques, l’Europe souhaite renforcer la sécurité numérique du secteur financier. La Présidence du Conseil de l’Union européenne et le Parlement européen sont parvenus à un accord provisoire concernant un règlement visant à améliorer la résilience informatique des acteurs financiers. Cette loi, appelée DORA (Digital Operational Resilience Act), entrera en vigueur fin 2022. Que retenir de ce projet de règlement ?

Digital Operational Resilience Act : qu’est-ce que c’est ?

La présidence du Conseil de l’Union européenne (UE) et le Parlement européen s’attaquent désormais à la sécurité numérique des acteurs financiers. L’objectif : améliorer leur résilience opérationnelle informatique en cas de perturbation opérationnelle grave.

Appelé règlement sur la résilience opérationnelle numérique du secteur financier ou Digital Operational Resilience Act, le projet prévoit de renforcer la cybersécurité de l’ensemble du secteur financier. Celui-ci fixe des exigences uniformes pour assurer la sécurité des systèmes d’information des acteurs concernés et de leurs prestataires fournissant des services liées aux technologies de l’information et de la communication (TIC).

Ainsi, les institutions financières devront prendre des mesures spécifiques pour assurer leur résilience opérationnelle numérique, y compris la capacité de se remettre rapidement d’un incident et de protéger les données des clients. En outre, les institutions seront tenues de fournir aux autorités de régulation des rapports annuels sur leurs plans de sécurité numérique et leurs progrès.

Les objectifs du règlement DORA

Après son entrée en vigueur prévue fin 2022, les établissements financiers devront notamment respecter 5 obligations en matière de gestion des risques liés à leurs dispositifs informatiques :

Il s’agit ici pour les établissement financiers de mettre en place un organe responsable des risques informatiques, chargé de :

    • définir les rôles et les responsabilités de toutes les équipes informatiques,
    • mettre en place des examens réguliers et des processus de contrôle,
    • allouer un budget à la résilience opérationnelle numérique.

L’organe de gestion définit entre autres le cadre de gestion des risques par la mise en place d’une cartographie, de mécanismes de détection, des politiques de sauvegarde, des formations pour le personnel concerné, etc. 

Le règlement DORA prévoit la mise en place d’un dispositif de signalement des incidents informatiques standardisé pour tous les acteurs financiers comprenant : 

    • La formalisation d’un processus de gestion des incidents ;
    • La classification des incidents ;
    • La notification des incidents majeurs ;
    • L’harmonisation, la centralisation et les retours d’information des notifications d’incidents ;
    • La présentation de rapports d’incidents anonymisés par les AES (Autorités Européennes de Surveillance).

Afin d’anticiper l’impact d’une éventuelle cyberattaque, les établissements financiers auront l’obligation de mettre en place des tests de résilience opérationnelle numérique régulièrement. Ces tests devront avoir lieu au moins une fois par an pour les applications et systèmes critiques liés au TIC. 

Le règlement DORA prévoit la mise en œuvre d’une stratégie et d’une politique de gestion des risques liés aux prestataires de services TIC afin d’en réduire leur portée. Cette surveillance des tiers prestataires intègre également un volet contrôle avec une évaluation régulière des prestataires au regard des exigences de résilience opérationnelle numérique. 

Afin de faire face collectivement aux cybermenaces, il est prévu de définir une stratégie de communication spécifique entre acteurs financiers. L’objectif ici est de promouvoir l’échange d’informations entre les établissements financiers, tout en incluant des clauses de confidentialité et l’obligation d’information envers l’autorité de régulation. 

Qui est concerné par le règlement DORA ?

Le règlement DORA s’appliquera à l’ensemble des acteurs du secteur financier (dont les compagnies d’assurance, les entreprises d’investissement et les sociétés de gestion), et plus particulièrement aux Organismes d’Importances Vitales (OIV) dans le secteur de la finance.

Bien que le règlement soit encore à l’état de projet, il est fortement conseillé aux institutions financières de commencer à lancer leur mise en conformité dès maintenant.

    • les établissements de crédit,
    • les établissements de paiement,
    • les établissements de monnaie électronique,
    • les entreprises d’investissement,
    • les prestataires de services sur crypto-actifs, les émetteurs de crypto-actifs, les émetteurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative,
      les dépositaires centraux de titres,
    • les contreparties centrales,
    • les plateformes de négociation,
    • les référentiels centraux,
    • les gestionnaires de fonds d’investissement alternatifs,
    • les sociétés de gestion,
    • les prestataires de services de communication de données,
    • les entreprises d’assurance et de réassurance,
    • les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire,
    • les institutions de retraite professionnelle,
    • les agences de notation de crédit,
    • les contrôleurs légaux des comptes et les cabinets d’audit,
    • les administrateurs d’indices de référence d’importance critique,
    • les prestataires de services de financement participatif,
    • les référentiels des titrisations,
    • les tiers prestataires de services informatiques.

Un projet de loi pour renforcer la cybersécurité et protéger la finance numérique

Cette évolution réglementaire intervient dans un contexte de tensions internationales et de multiplication des cyberattaques. Les acteurs financiers sont en outre particulièrement exposés aux cybermenaces du fait de la place essentielle des services informatiques dans le fonctionnement du système bancaire, de l’externalisation croissante des prestations liées aux TIC et de la mise en commun de leurs ressources techniques et opérationnelles. 

Afin de renforcer leur cybersécurité, les établissements financiers ont la possibilité de mettre en place des veilles proactives permettant de détecter les fuites de données et d’anticiper les conséquences de ces expositions. Experts de l’HUMINT (Human Intelligence) et de l’OSINT (Open Source Intelligence), les consultants Major accompagnent les établissements financiers afin d’évaluer leur surface de risque cyber et de détecter les fuites malveillantes ou involontaires. Sur le long terme, cela permet à l’organisation financière de surveiller son exposition, mais aussi celles de ses personnages clés, ses partenaires, sa marque et ses clients.

Pour aller plus loin
Cet article vous a plu ? Partagez-le !
Pour contacter Major Intelligence

+33 4 85 44 00 01