Qu’est-ce que le Digital Operational Resilience Act (DORA) ?

Le digital operational resilience act (DORA) est un règlement de l’Union européenne qui vise à renforcer la cybersécurité et la résilience opérationnelle des institutions financières, telles que les banques, les compagnies d’assurance et les entreprises d’investissement.

Conçu avec des critères et des exigences spécifiques, le DORA établit un cadre complet pour garantir que le secteur financier européen puisse résister et se remettre de graves perturbations opérationnelles, y compris des cyberattaques.

Le digital operational resilience act est un règlement qui a été adopté par l’UE en 2022 et qui entrera en vigueur en janvier 2025. Il est conçu pour harmoniser les règles et les exigences relatives à la résilience opérationnelle du secteur financier dans l’ensemble de l’UE, couvrant plus de 20 types différents d’entités financières ainsi que les fournisseurs de services TIC (technologies de l’information et de la communication).

Plus qu’une simple recommandation, DORA est une réglementation essentielle qui vise à renforcer la cybersécurité et la résilience opérationnelle du système financier européen dans son ensemble.

Pour y parvenir, le DORA impose aux institutions financières de comprendre l’ensemble de leur infrastructure informatique, y compris les fournisseurs tiers, et d’identifier les vulnérabilités et les risques potentiels. Ces entités devront mettre en œuvre des stratégies solides pour protéger leurs systèmes, leurs données et leurs clients contre les perturbations.

Le DORA vise à donner au secteur financier les moyens de mieux identifier, protéger, détecter, répondre et récupérer les incidents liés aux TIC qui pourraient menacer la fourniture de services financiers essentiels. Ses principaux objectifs sont les suivants :

• Renforcer la cybersécurité et la résilience opérationnelle des entités financières de l’Union européenne, telles que les banques, les compagnies d’assurance et les entreprises d’investissement.
• La mise en place d’un cadre global permet au secteur financier de résister et de se remettre de graves perturbations opérationnelles, y compris les cyberattaques.
• Normaliser les exigences relatives à la résilience opérationnelle pour le secteur financier de l’UE, y compris les différents types d’entités financières et les fournisseurs de services TIC tiers.
• En s’assurant que les institutions financières comprennent l’ensemble de leur infrastructure informatique, y compris les fournisseurs tiers, elles peuvent identifier les vulnérabilités et les risques potentiels et mettre en œuvre des stratégies solides pour protéger leurs systèmes, leurs données et leurs clients contre les perturbations.

L’objectif principal de DORA est d’élever les normes de cybersécurité et la résilience opérationnelle numérique dans le secteur financier européen. Il vise à aller au-delà des simples mesures défensives, en plaidant pour un cadre de résilience robuste qui assure la continuité et la qualité des services financiers, même face à des perturbations opérationnelles importantes.

Le cadre global du Digital Operational Resilience Act (DORA) visant à renforcer la cybersécurité et la résilience opérationnelle du secteur financier de l’UE s’articule autour de cinq exigences clés :

1. GESTION DES RISQUES LIÉS AUX TIC

Le DORA exige des entités financières qu’elles disposent d’un cadre solide de gestion des risques liés aux TIC, avec des stratégies, des politiques et des procédures pour protéger les informations, les logiciels et les biens physiques. En outre, les entités doivent effectuer des analyses d’impact sur les activités, créer des plans de réponse et de récupération et les tester régulièrement. Elles doivent également mettre en œuvre des programmes de sensibilisation à la sécurité pour l’ensemble du personnel et de la direction.

2. GESTION, CLASSIFICATION ET SIGNALEMENT DES INCIDENTS LIÉS AUX TIC

Les entités doivent être en mesure de classer, de traiter et de signaler rapidement aux régulateurs et aux parties concernées les incidents liés aux TIC et les cybermenaces. Les incidents doivent être signalés dans les quatre heures suivant leur découverte, et un rapport plus détaillé doit être fourni dans un délai d’une semaine. Pour ce faire, les entités doivent disposer de solides plans de réponse aux incidents et de processus d’analyse des causes profondes.

3. ESSAIS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE

Le DORA exige des entités qu’elles effectuent régulièrement des tests sur leurs systèmes et infrastructures TIC afin d’évaluer les vulnérabilités et l’efficacité des mesures de protection. Il s’agit notamment de tests de base annuels et de tests de pénétration plus complets basés sur les menaces tous les trois ans afin d’identifier les lacunes et les faiblesses dans les capacités de résilience de l’entité.

4. GESTION DES RISQUES LIÉS AUX TIC POUR LES TIERS

La loi DORA oblige les entités à gérer activement les risques liés aux TIC posés par les fournisseurs de services tiers, notamment en procédant à des vérifications préalables et à des audits. Les contrats conclus avec les tiers doivent comporter des dispositions relatives à la sécurité, à la notification des incidents et aux stratégies de sortie. Les entités doivent également s’assurer que les tiers respectent les exigences du DORA.

5. ÉCHANGE D’INFORMATIONS ET DE RENSEIGNEMENTS

Afin de contribuer à la prise de conscience collective et de développer les meilleures pratiques pour prévenir et répondre aux cybermenaces, les entités sont encouragées à participer à l’échange volontaire de renseignements sur les cybermenaces avec d’autres institutions financières. L’échange d’informations doit être conforme aux réglementations en matière de protection des données et éviter de divulguer des informations sensibles sur les clients.

En mettant en œuvre ces cinq exigences, les entités financières de l’UE peuvent renforcer leur résilience opérationnelle numérique globale et mieux résister et se remettre des graves perturbations liées aux TIC.

Le champ d’application du DORA est large et couvre un grand nombre d’entités et de services financiers de l’UE.

Les principales entités concernées par le DORA sont les suivantes :

INSTITUTIONS FINANCIÈRES TRADITIONNELLES

• Établissements de crédit (banques)
• Institutions de paiement
• Établissements de monnaie électronique
• Entreprises d’investissement
• Sociétés d’assurance et de réassurance
• Agences de notation

Ces acteurs traditionnels du secteur financier sont les principales cibles de DORA, car ils sont responsables de services financiers essentiels et détiennent de grandes quantités de données sensibles sur les clients.

ENTITÉS FINANCIÈRES ÉMERGENTES

• Fournisseurs de services de crypto-actifs (CASP)
• Fournisseurs de services de crowdfunding
• Gestionnaires de fonds d’investissement alternatifs (AIFM)
• Sociétés de gestion d’OPCVM

Le DORA couvre également les nouveaux acteurs des marchés financiers, reconnaissant leur rôle croissant dans la fourniture de services et la nécessité de garantir la résilience opérationnelle.

FOURNISSEURS DE SERVICES TIERS ESSENTIELS

• Fournisseurs de services de cloud computing
• Opérateurs de centres de données
• Éditeurs de logiciels
• Sociétés d’analyse de données

Le DORA inclut les fournisseurs de services TIC tiers essentiels qui soutiennent les opérations des entités financières. Ces fournisseurs sont considérés comme étant d’importance systémique et doivent également se conformer aux exigences du DORA.

Le DORA couvre un large éventail d’institutions financières et de prestataires de services de l’UE.

Toutefois, son champ d’application s’étend au-delà des institutions basées dans l’UE : la loi DORA couvre également les entités financières non européennes qui opèrent sur les marchés européens.

Cela signifie que même si une organisation a son siège en dehors de l’UE, mais qu’elle est présente ou qu’elle fournit des services dans l’UE, elle est toujours soumise aux réglementations du DORA.

La large portée de DORA est intentionnelle, car elle vise à améliorer la résilience opérationnelle globale de l’ensemble du secteur financier européen.

En englobant les banques traditionnelles, les acteurs émergents de la fintech et les fournisseurs de services tiers essentiels, DORA cherche à atténuer les risques systémiques découlant de perturbations ou de cyberincidents affectant n’importe quelle partie de l’écosystème financier.

Au printemps 2024, le Digital Operational Resilience Act est en période de mise en œuvre, qui dure deux ans à compter de son entrée en vigueur. Cela signifie que toutes les entités financières concernées sur les marchés de l’UE et leurs fournisseurs de TIC critiques doivent être prêts à se conformer pleinement aux exigences de la loi DORA d’ici janvier 2025.

Bien que les régulateurs européens soient encore en train de finaliser les détails techniques spécifiques, le champ d’application et les exigences générales du DORA sont désormais clairs. En janvier 2024, Les autorités européennes de surveillance (AES) ont publié la première série d’exigences prévues par le DORA pour la gestion des risques liés aux TIC et aux tiers, ainsi que pour la classification des incidents.

Ces règles sont disponibles sur le site web de l’Autorité européenne des assurances et des pensions professionnelles.

Après une mise en œuvre de deux ans, le Digital Operational Resilience Act sera pleinement applicable à partir de janvier 2025.

Les autorités de régulation compétentes de chaque État membre de l’UE veilleront à l’application des exigences de la loi sur la résilience opérationnelle numérique. Ces autorités auront le pouvoir de contrôler la conformité et d’imposer des sanctions aux entités financières qui ne respectent pas les normes de la réglementation.

Les aspects essentiels des normes d’application du DORA sont les suivants :

• Surveillance réglementaire : Les autorités de surveillance surveilleront de près le respect par les entités financières des exigences du DORA, notamment en ce qui concerne la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience et les pratiques de gestion des risques des tiers.
• Sanctions en cas de non-conformité : Les autorités peuvent imposer des sanctions importantes aux institutions financières qui ne respectent pas les normes de la DORA. Ces sanctions peuvent comprendre des amendes administratives allant jusqu’à 1 % du chiffre d’affaires annuel total de l’entité, ainsi que d’autres mesures correctives telles que des réprimandes publiques ou même le retrait de l’autorisation d’exercer de l’entité.
• Orientations et coordination : Les autorités de régulation fourniront également des orientations et des bonnes pratiques pour aider les entités financières à se conformer à la loi DORA. Elles favoriseront aussi la coordination et la cohérence des pratiques de surveillance dans l’UE afin de garantir des conditions de concurrence équitables.
• Supervision des tiers critiques : Le DORA introduit un nouveau cadre pour la supervision des fournisseurs de services TIC tiers critiques qui soutiennent le secteur financier. Ces fournisseurs seront soumis à une supervision directe par les AES afin de gérer les risques qu’ils représentent pour les entités financières.

En donnant aux régulateurs les moyens de contrôler étroitement le respect des règles et d’imposer des sanctions significatives, le DORA vise à garantir que les institutions financières de l’UE prennent les mesures nécessaires pour se conformer aux normes réglementaires du DORA.

Alors que les entités financières s’efforcent de se conformer au Digital Operational Resilience Act, elles sont confrontées à plusieurs défis et obstacles majeurs pour répondre aux normes du DORA.

COMPLEXITÉ DES EXIGENCES RÉGLEMENTAIRES

Compte tenu de leur complexité, l’interprétation et la compréhension des nombreuses réglementations DORA peuvent s’avérer difficiles. Les organisations doivent investir beaucoup de temps et de ressources pour bien comprendre les exigences de la réglementation et élaborer des stratégies de conformité sur mesure.

CONTRAINTES DE RESSOURCES

De nombreuses organisations sont confrontées à des limitations en termes de budget, de main-d’œuvre et d’expertise technique pour mettre en œuvre les mesures de conformité rigoureuses exigées par la loi DORA. Il s’agit notamment de procéder à des évaluations approfondies des risques, d’investir dans des solutions de cybersécurité avancées et de mettre à niveau les systèmes informatiques existants.

SYSTÈMES INFORMATIQUES HÉRITÉS

Les infrastructures obsolètes et les systèmes existants au sein des entités financières peuvent ne pas disposer des capacités et des mesures de sécurité nécessaires pour répondre aux exigences du DORA. La mise à niveau ou le remplacement de ces systèmes peut être une entreprise coûteuse et complexe.

ÉVOLUTION DES CYBERMENACES

La nature dynamique et sophistiquée des cybermenaces représente un défi permanent pour les organisations qui s’efforcent de respecter la réglementation. Une surveillance, une évaluation et un renforcement continus des mesures de sécurité sont nécessaires pour suivre l’évolution du paysage des menaces.

GESTION DES RISQUES POUR LES TIERS

Le DORA met l’accent sur la gestion des risques liés aux technologies de l’information et de la communication (TIC) posés par les fournisseurs de services tiers. Les entités financières doivent mettre en place des processus solides de surveillance et de diligence raisonnable pour leur vaste réseau de fournisseurs, ce qui peut s’avérer une entreprise complexe et gourmande en ressources.

TEST DE RÉSILIENCE

Tester régulièrement la résilience opérationnelle numérique des entités financières, comme l’exige le DORA, peut s’avérer difficile. Les organisations doivent développer une approche stratégique et coordonnée des évaluations de vulnérabilité, des tests de pénétration et d’autres exercices de résilience afin d’assurer une couverture complète de leurs fonctions critiques.

PROMOUVOIR UNE CULTURE DE LA CONFORMITÉ

L’instauration d’une culture de sensibilisation aux risques, de responsabilisation et d’amélioration continue dans l’ensemble de l’organisation est cruciale pour une mise en conformité efficace avec le DORA. Surmonter les mentalités cloisonnées et aligner les différentes équipes, telles que l’informatique, la conformité, le service juridique et la gestion des risques, peut constituer un défi de taille.

Pour relever ces défis, les entités financières devront adopter une approche proactive et collaborative, en tirant parti de l’expertise et des solutions externes si nécessaire. Une planification minutieuse, une allocation stratégique des ressources et un engagement à améliorer la résilience opérationnelle numérique seront essentiels pour répondre avec succès aux exigences de la loi DORA.

Le secteur des services financiers a été identifié comme une cible privilégiée des cybermenaces, ce qui souligne la nécessité de mettre en place des mesures de résilience opérationnelle solides. Selon le Fonds monétaire international (FMI), son enquête a révélé que le secteur financier est en danger en raison de la faiblesse des mesures en matière de cybersécurité.

Ce sentiment est partagé par la Banque d’Angleterre, dont la dernière enquête sur le risque systémique a révélé que 74 % des personnes interrogées considèrent les cyberattaques comme le risque le plus important auquel est confronté le secteur financier.

Les cadres tels que le DORA sont devenus essentiels pour aider les institutions financières et leurs fournisseurs associés, tels que les fournisseurs de TIC, à comprendre comment gérer efficacement ces cyber-risques en constante évolution. Des études récentes menées par l’industrie mettent en évidence les menaces cybernétiques importantes auxquelles est confronté le secteur financier :

• Le Verizon 2022 Data Breach Investigations Report (DBIR) a recensé les menaces les plus répandues, notamment les violations de données, les attaques DDoS et les ransomwares. Le rapport souligne que le vol d’informations d’identification est un facteur clé dans la réussite de bon nombre de ces attaques.
• Une étude réalisée en 2022 par la Commodity Futures Trading Commission a révélé que 74 % des 130 institutions financières mondiales interrogées avaient subi au moins une attaque par ransomware au cours de l’année précédente.

Ces statistiques alarmantes soulignent la nécessité urgente pour les entités financières de renforcer leur position en matière de cybersécurité et leur résilience opérationnelle, conformément à des réglementations telles que le DORA.

Le Digital Operational Resilience Act met fortement l’accent sur la gestion des risques liés aux tiers, reconnaissant le rôle important que jouent les fournisseurs de TIC dans le soutien au secteur des services financiers.

Une étude de l’industrie met en évidence la menace croissante des attaques de la chaîne d’approvisionnement ciblant le secteur financier. Selon le Verizon 2022 Data Breach Investigations Report, le secteur financier est la deuxième cible la plus populaire pour ce type d’attaques.

Le DORA vise à remédier à cette vulnérabilité en établissant des exigences complètes pour que les entités financières gèrent les risques liés aux TIC posés par leurs fournisseurs de services tiers.

L’Agence européenne pour la cybersécurité (ENISA) a signalé une augmentation de la sophistication et du volume des attaques de la chaîne d’approvisionnement, les acteurs de la menace ciblant la chaîne d’approvisionnement technologique pour voler des données et des actifs financiers.

Les dispositions de la loi DORA relatives à la gestion des risques liés aux tiers coordonneront les exigences en utilisant les cadres existants tels que les lignes directrices de l’Autorité bancaire européenne (ABE) en matière d’externalisation.

Tout fournisseur de TIC désigné comme “critique” par une AES sera soumis à un cadre de surveillance strict. Cet examen approfondi garantit que ces fournisseurs de technologies essentielles au système mettent en œuvre des mesures de sécurité robustes et se conforment aux exigences du DORA.

Les institutions financières se tournent de plus en plus vers les solutions Zero Trust pour gérer efficacement les risques liés aux tiers. Ces technologies offrent une meilleure visibilité sur le réseau étendu de fournisseurs, y compris les fournisseurs de TIC.

En appliquant des mesures de sécurité telles que l’accès au moindre privilège et le contrôle proactif des zones et des données sensibles, Zero Trust aide à prévenir les violations de données et à atténuer l’impact des ransomwares et d’autres cybermenaces.

À l’approche de la date limite d’application du Digital Operational Resilience Act en janvier 2025, les institutions financières doivent prendre des mesures proactives pour s’assurer qu’elles sont prêtes à répondre aux exigences de la réglementation.

Voici quelques conseils utiles pour se préparer de manière proactive à la conformité au DORA :

Comprendre le DORA en profondeur

• Familiarisez-vous avec le règlement DORA, ses exigences spécifiques et la manière dont il s’applique à votre organisation.
• Envisagez de suivre une formation spécialisée, par exemple en devenant un spécialiste de la conformité certifié par la DORA, afin d’approfondir vos connaissances de la réglementation.

Évaluer les cyberrisques

• Procéder à une évaluation complète des cyber-risques au sein de votre organisation et de votre chaîne d’approvisionnement étendue.
• Utiliser des solutions d’évaluation des risques pour aider à identifier et à évaluer les vulnérabilités potentielles.

Adopter un principe de proportionnalité

• Veillez à ce que votre approche de la conformité DORA tienne compte de l’ampleur, de la complexité et de l’importance des dépendances et des risques liés aux TIC.
• Prendre des décisions éclairées en matière de gestion des risques, conformément aux exigences du règlement.

Impliquer les équipes interfonctionnelles

• Engager plusieurs équipes, y compris la sécurité informatique, le service juridique, la conformité, la gestion des risques et la direction générale, dans le processus de mise en conformité avec le DORA.
• Garantir une approche holistique, à l’échelle de l’organisation, pour répondre aux exigences du DORA.

Renforcer le leadership

• Veiller à ce que les cadres supérieurs dirigent la mise en œuvre du DORA et reçoivent une formation adéquate, par exemple en devenant des agents certifiés en matière de cyberrisques (Certified Cyber Risk Officer).
• Obtenir l’adhésion et le soutien du conseil d’administration pour les changements nécessaires liés au DORA.

Révision et mise à jour régulières des plans

• Examinez et mettez à jour en permanence votre stratégie de résilience opérationnelle numérique et vos politiques de gestion des risques liés aux TIC pour les tiers afin de rester en phase avec le DORA.
• Rester agile pour apporter les changements nécessaires en fonction de l’évolution des réglementations et des menaces.

Établir des priorités pour les mesures d’assainissement

• Élaborer un processus simple pour hiérarchiser et traiter les vulnérabilités opérationnelles recensées dans le cadre des évaluations liées au DORA.
• Concentrez-vous d’abord sur les domaines les plus critiques afin d’atténuer les risques les plus prioritaires.

Produire des preuves démontrables

• Être en mesure de fournir aux autorités réglementaires la preuve que votre organisation est résistante aux menaces spécifiques à l’entreprise et aux menaces sectorielles plus larges.
• Conservez une documentation complète pour mettre en évidence vos efforts de conformité avec le DORA.

Facteur dans l’environnement externe

• Surveillez régulièrement le paysage des menaces extérieures et intégrez ces informations dans votre stratégie globale de résilience opérationnelle.
• Rester informé des risques potentiels et prendre des mesures proactives pour les atténuer.

Identifier les fonctions critiques

• Identifier clairement les fonctions critiques ou importantes (CIF) au sein de votre organisation, conformément aux exigences du DORA.
• Veiller à ce que ces FIC soient le point de convergence pour la mise en place d’une solide résilience opérationnelle.

En suivant ces conseils détaillés, les institutions financières peuvent mieux se préparer aux exigences de conformité DORA à venir et renforcer leur résilience opérationnelle numérique globale.

Proofpoint propose une gamme de solutions et d’expertises qui peuvent aider les organisations du secteur financier à se conformer efficacement aux exigences du Digital Operational Resilience Act.

Les capacités de Proofpoint peuvent améliorer la résilience globale de la cybersécurité d’une organisation et ses capacités de réponse aux incidents. En fournissant des outils avancés de détection, de prévention et de réponse aux menaces, Proofpoint permet aux entreprises de mieux se protéger contre les cybermenaces externes, les risques internes et les vulnérabilités de la chaîne d’approvisionnement — autant d’éléments essentiels de la loi DORA et de la conformité à la directive sur les réseaux et les systèmes d’information (NIS 2).

Comme ces réglementations l’encouragent, Proofpoint facilite également le partage d’informations et l’échange de renseignements sur les menaces. Les services de renseignement sur les menaces et les plateformes de collaboration sécurisées de l’entreprise aident les organisations à rester informées des dernières cybermenaces et à coordonner leurs efforts de réponse avec les parties prenantes et les autorités concernées.

De l’évaluation des risques et de l’analyse des lacunes à l’élaboration de stratégies de conformité sur mesure, Proofpoint peut aider les organisations à comprendre leurs capacités actuelles, à identifier les domaines à améliorer et à mettre en œuvre les contrôles et les processus nécessaires.

En outre, les solutions de Proofpoint permettent une surveillance continue de la conformité et l’établissement de rapports. Les organisations peuvent utiliser les outils de Proofpoint pour évaluer régulièrement leur posture de sécurité, identifier les vulnérabilités et générer la documentation nécessaire pour démontrer aux organismes de réglementation qu’elles respectent les exigences DORA et NIS 2.

En s’associant à Proofpoint, les institutions financières et autres fournisseurs d’infrastructures critiques peuvent renforcer leur résilience opérationnelle numérique globale et répondre aux normes de cybersécurité rigoureuses définies par ces réglementations européennes historiques. Pour en savoir plus, contactez Proofpoint.