DORA : de nouvelles règles du jeu pour la résilience numérique dans le secteur financier

En janvier 2025, DORA est devenu une réalité. Pour de nombreux prestataires de services financiers, cela signifie : plus d'efforts, de nouveaux processus - et en même temps l'opportunité d'ancrer la sécurité et la résilience dans la stratégie.

Peu d'autres secteurs sont aussi dépendants des infrastructures numériques que le secteur financier. Qu'il s'agisse des opérations de paiement, du commerce des titres ou de la communication avec les clients, tout passe aujourd'hui par des systèmes en réseau. Et ce sont précisément ces systèmes qui sont de plus en plus ciblés par les cyberattaques. Les cyberattaques et les atteintes à la protection des données sont malheureusement devenues presque quotidiennes de nos jours, ce qui a stimulé la nécessité de renforcer le cadre réglementaire.

L'UE réagit en mettant en place un ensemble complet de règles qui constituent un bouclier numérique pour les entreprises financières : le Digital Operational Resilience Act (DORA). Mais qu'est-ce que cela signifie concrètement - et comment les établissements financiers peuvent-ils se préparer de manière judicieuse ?

‍

Qu'est-ce que DORA ?

En réponse à l'augmentation des menaces, l'Union européenne a créé pour la première fois un cadre européen unique pour la résilience numérique dans le secteur financier, DORA. DORA ne vise pas seulement à créer une base de surveillance uniforme, mais aussi à renforcer la sécurité informatique et à améliorer la résistance aux crises dans l'ensemble du secteur.

Qui est concerné ?
En bref, presque tous les établissements financiers réglementés - banques, assurances, gestionnaires d'actifs, prestataires de services de paiement et leurs fournisseurs de services informatiques, même si ces derniers sont situés en dehors de l'UE.

Délai important :
Le règlement est en vigueur depuis janvier 2023. Depuis le 17 janvier 2025, toutes les directives doivent être mises en œuvre - sans exception.

‍

Pourquoi DORA compte maintenant

Les cybermenaces augmentent rapidement - c'est ce que montrent les chiffres de la Suisse et de l'Allemagne. Parallèlement, les attentes des autorités de surveillance et des clients augmentent : Aujourd'hui, la sécurité, la transparence et la disponibilité ne sont plus des extras sympathiques, mais des exigences critiques pour l'entreprise.

Dans ce contexte, DORA met de l'ordre dans un paysage de règles jusqu'ici fragmenté. L'accent n'est pas mis ici sur la réaction aux influences extérieures, mais sur la résilience numérique activement vécue: les systèmes doivent résister aux perturbations, maintenir les processus commerciaux et reprendre rapidement le travail - même en cas de crise.

À une époque où les paysages informatiques sont de plus en plus complexes - des infrastructures hybrides aux environnements multi-cloud - les institutions financières sont confrontées à une nouvelle réalité : la simple protection de leur propre infrastructure informatique ne suffit plus ; les institutions financières doivent être en mesure de démontrer à tout moment comment les données sensibles sont traitées, stockées et partagées en interne et en externe - une tâche exigeante, mais aussi une énorme opportunité de faire passer leur infrastructure numérique à un niveau supérieur.

‍

Ce que DORA exige : les principales exigences

1. Gestion des risques ICT
   Un cadre complet et documenté devient obligatoire. La responsabilité en incombe clairement à la direction. Il ne suffit plus de connaître les risques informatiques - ils doivent être systématiquement évalués et adressés.
   
   
2. Obligations de notification des incidents
   Les incidents informatiques graves, tels que ceux qui provoquent des interruptions de service importantes, des violations de la protection des données ou des pertes d'intégrité, doivent être immédiatement signalés à l'autorité de surveillance - même si tous les détails ne sont pas encore connus. Des processus clairs et des équipes bien rodées sont ici essentiels.
   
   
3. Tests de résilience
   Les entreprises financières doivent régulièrement tester leurs systèmes sous toutes les coutures - par exemple par des tests de pénétration qui simulent des scénarios d'attaque réalistes. Plus l'entreprise est grande, plus les exigences sont strictes.
   
   
4. Les fournisseurs tiers en ligne de mire
   La gestion des fournisseurs de services informatiques est un point particulièrement sensible. Les contrats doivent être conformes à DORA, même avec des prestataires de services extérieurs à l'UE - par exemple en imposant des clauses contractuelles qui garantissent le respect des normes de résilience et de sécurité de l'UE.

Les défis - et comment les relever

Lors de nos entretiens avec les clients, nous sommes régulièrement confrontés à des questions et des incertitudes similaires :

• Comment documenter sans faille nos processus de données ?
• Comment garder une vue d'ensemble dans des environnements multi-cloud ?
• Comment nous assurons-nous que nos prestataires de services agissent également en conformité avec DORA ?

"Il ne suffit plus de sécuriser sa propre infrastructure technique. Les banques et les prestataires de services financiers doivent au contraire être en mesure de prouver à tout moment comment les données sensibles sont traitées, stockées et transmises - en interne comme en externe".

‍

"Il ne suffit plus de sécuriser sa propre infrastructure technique. Les banques et les prestataires de services financiers doivent au contraire être en mesure de prouver à tout moment comment les données sensibles sont traitées, stockées et transmises - en interne comme en externe".

- Alexander Sommer, notre CEO, le résume ainsi

‍

Ce qui aide maintenant

• Réalisation d'une analyse des écarts pour évaluer la situation actuelle
• Mise en place d'une gestion solide des fournisseurs tiers avec des critères et des audits clairs
• Introduction d'outils automatisés pour le monitoring, le reporting et les pistes d'audit

‍

Conclusion : du cadre réglementaire à la stratégie de résilience

DORA est plus qu'une obligation réglementaire. C'est l'occasion de repenser la sécurité numérique comme une partie intégrante de la stratégie de l'entreprise. Agir maintenant, c'est devenir non seulement conforme, mais aussi résilient.

‍

‍

Pour ceux qui veulent aller plus loin

Dans notre ePaper, nous avons présenté DORA de manière pratique - inclus :

• Listes de contrôle pour chaque champ d'action
• Recommandations concrètes pour la mise en œuvre
• Aperçu des solutions technologiques qui peuvent déjà apporter un soutien aujourd'hui

👉 Télécharger gratuitement maintenant