Éthique et conformité

Secteur financier : tout savoir sur la réglementation DORA

Parmi les risques que les entreprises sont amenées à gérer, les risques cyber représentent une des plus grosses prises de conscience de ces dernières années. C’est particulièrement vrai pour le secteur financier. Les systèmes numériques de gestion des processus bancaires sont de plus en plus exposés aux cyberattaques.

C’est dans ce cadre que le règlement européen DORA a été ratifié récemment. Il s’agit d’un des règlements les plus conséquents émis par le Parlement européen en matière de cybersécurité financière. Objectif : hausser le niveau d’exigences appliqué aux entreprises du secteur financier pour assurer une meilleure résilience opérationnelle.

Si le DORA devrait agir comme un accélérateur de la gestion des risques numériques, par quoi commencer ? Quelles sont les conséquences tangibles de la réglementation DORA pour les entreprises et leurs conseils d’administration ?

Qu’est-ce que DORA, la nouvelle réglementation européenne?

DORA désigne un règlement européen sur la résilience opérationnelle numérique, ou ​​ “Digital Operational Resilience Act” en anglais. Il s’agit d’une réglementation de l’Union européenne destinée à encadrer l’utilisation des technologies de l’information et des communications (TIC) pour le secteur financier. Les entreprises du secteur vont être amenées à investir davantage pour assurer leur cybersécurité et leur résilience informatique.

Une des implications notables du texte consiste à responsabiliser clairement les équipes dirigeantes. Les règles s’avèrent globalement plus contraignantes en matière de :

En la matière, la réglementation DORA est le premier texte de loi au monde à prévoir la surveillance des fournisseurs de TIC par les services financiers. Où trouver le détail du texte du règlement DORA dans le journal officiel ? L’accord final du règlement européen « Digital Operational Resilience Act » est publié au Journal Officiel de l’Union Européenne (JOUE) depuis le 27 décembre 2022.

Quand a lieu l’entrée en vigueur du règlement DORA ?

La réglementation DORA doit être appliquée dans les 24 mois qui suivent son entrée en vigueur. Celle-ci date du premier trimestre 2023. L’accord technique du projet a effectivement été ratifié en novembre 2022.

Autrement dit, les entreprises de la finance doivent assurer leur conformité à ce nouveau règlement cyber-sécuritaire d’ici le début de l’année 2025. La période de mise en œuvre commence 20 jours après la publication au JO, qui date du 27 décembre 2022. Le cadre de résilience opérationnel doit ainsi être appliqué pour le 17 janvier 2025.

Quels sont les piliers du règlement DORA ?

Le règlement DORA final préserve les cinq composantes de départ proposées par la Commission Européenne :

  • Des exigences accrues en termes de gestion des risques liés aux TICs, lesquels ne relèvent plus seulement des cyberattaques ou des défaillances technologiques, mais aussi de l’atteinte aux fonctions critiques et aux actifs ;
  • Améliorations des mesures de classification et de déclaration des incidents liés aux TICs ;
  • Obligation d’effectuer des tests de résilience opérationnelle numérique au moins une fois par an et de remédier aux vulnérabilités ;
  • Gestion des risques TIC liés aux tiers, avec de nouvelles clauses contractuelles à inclure aux contrats d’externalisation ;
  • Soumission des fournisseurs et TICs “critiques” à la surveillance élargie des AES (Autorités Européennes de Surveillance) et de leur Forum de Surveillance Conjointe (Joint Oversight Forum – JOF).

Par quoi commencer pour appliquer DORA ?

Les entreprises du secteur financier doivent dès à présent analyser l’écart entre leurs procédures et le nouveau cadre réglementaire. Il va aussi falloir évaluer l’impact des process TIC sur la résilience des fonctions critiques. Le nouveau règlement réclame en outre d’employer de nouveaux outils de surveillance.

Dans le détail, ce cadre réglementaire implique des mesures strictes de gestion des risques liés aux TICs :

  • Fixer des indicateurs clés de performance (KPI) et de mesures des risques numériques ;
  • Appliquer la gestion des risques numériques aux « Fonctions Critiques ou Importantes » ;
  • Cartographier les interactions entre ces fonctions, les actifs, les processus et les TICs ;
  • Réaliser des analyses d’impact basées sur les scénarios de « perturbations graves des activités ».

La réglementation DORA s’inscrit dans le cadre de l’émergence d’incidents informatiques polymorphes et complexes. Ceux-ci réclament une évaluation détaillée des risques, pour lesquels les analyses d’échantillons de données réalisées communément par les services d’audit ne suffisent plus. Dans ce contexte, des solutions d’audit automatisées s’imposent.

DORA: Quelles implications pour les conseils d’administration?

La mise en œuvre de ce nouveau règlement cyber sécuritaire implique une participation croissante des conseils d’administration et des directions générales à la stratégie cybersécurité. Un des principaux piliers du nouveau règlement prévoit effectivement que l’instance dirigeante de l’entreprise assume « l’entière et ultime responsabilité » de la gestion des risques liés aux TIC.

Le règlement DORA prévoit en outre des sanctions administratives et des mesures correctives en cas d’infraction. Les pratiques attendues en termes de gestion des risques numériques deviennent donc bien plus contraignantes qu’avant.

Les conseils d’administration du secteur financier voient ainsi leurs missions réaffirmées :

  • Définir et valider la stratégie de résilience opérationnelle numérique ;
  • Penser le plan de gestion de crise en cas d’émergence d’une menace réelle ;
  • Établir la politique de l’entreprise en matière d’utilisation des fournisseurs de TIC ;
  • Piloter la mise en conformité de la société à ce nouveau règlement ;
  • Anticiper les budgets destinés pour assurer la résilience informatique de l’entreprise sur le long terme.

La réglementation DORA devrait permettre aux CA d’évaluer l’impact, notamment commercial, des perturbations numériques opérationnelles. Elle doit aussi les aider à identifier les meilleures mesures d’atténuation des risques et de leurs conséquences.

Avec ce nouveau règlement européen, la cybersécurité de votre logiciel de gestion de la gouvernance est encore plus essentielle qu’avant. Certification ISO 27001, TRUSte Privacy Field, formation du personnel à la cybersécurité, tests de pénétration internes et externes : Diligent met tout en œuvre pour assurer sa résilience informatique. Pour observer nos outils de cybersécurité en direct, demandez-nous une démo personnalisée.

 

Board Portal Buyer’s Guide

With the right Board Portal software, a board can improve corporate governance and efficiency while collaborating in a secure environment. With lots of board portal vendors to choose from, the whitepaper contains the most important questions to ask during your search, divided into five essential categories.

BLOGS À NE PAS MANQUER