DORA : Les nouvelles règles pour la résilience numérique dans le secteur financier

En janvier 2025, DORA est devenue réalité. Pour de nombreux prestataires de services financiers, cela signifie davantage d'efforts, de nouveaux processus et, en même temps, la possibilité d'ancrer stratégiquement la sécurité et la résilience.

Aucun autre secteur n'est aussi dépendant des infrastructures numériques que le secteur financier. Qu'il s'agisse d'opérations de paiement, de transactions sur titres ou de communication avec les clients, tout fonctionne aujourd'hui via des systèmes en réseau. Et ce sont précisément ces systèmes qui sont de plus en plus la cible de cyberattaques. Les cyberattaques et les violations de données sont malheureusement devenues monnaie courante ces derniers temps, d'où la nécessité de mettre en place des cadres réglementaires plus stricts.

L'UE répond par un ensemble complet de réglementations qui fournissent un bouclier numérique aux sociétés financières : la loi sur la résilience opérationnelle numérique (DORA). Mais qu'est-ce que cela signifie concrètement et comment les institutions financières peuvent-elles s'y préparer de manière raisonnable ?

‍

Qu'est-ce que DORA ?

En réponse à la situation de menace croissante, l'Union européenne a créé pour la première fois un cadre européen uniforme pour la résilience numérique dans le secteur financier avec DORA. Cependant, DORA ne vise pas seulement à créer une base de supervision uniforme, mais également à garantir une plus grande sécurité informatique et une meilleure résilience aux crises dans l'ensemble du secteur.

Qui est concerné ?
En bref : presque toutes les institutions financières réglementées - banques, compagnies d'assurance, gestionnaires d'actifs, prestataires de services de paiement et leurs prestataires de services informatiques, même si ces derniers sont basés en dehors de l'UE.

Date limite importante :
L'ordonnance est en vigueur depuis janvier 2023. Toutes les exigences doivent être mises en œuvre par 17 janvier 2025 - sans exception.

‍

Pourquoi DORA compte maintenant

Les cybermenaces augmentent rapidement, comme le montrent les chiffres de la Suisse et de l'Allemagne. Dans le même temps, les attentes des autorités de surveillance et des clients augmentent : la sécurité, la transparence et la disponibilité ne sont plus des avantages, mais des exigences critiques pour l'entreprise.

Dans ce contexte, DORA met de l'ordre dans un paysage de règles et de réglementations auparavant fragmenté. L'accent n'est pas mis ici sur la réaction aux influences extérieures, mais sur pratiquer activement la résilience numérique: les systèmes doivent éviter les interruptions, maintenir les processus métier et reprendre rapidement leurs activités, même en cas de crise.

À une époque où les environnements informatiques sont de plus en plus complexes, des infrastructures hybrides aux environnements multicloud, les institutions financières sont confrontées à une nouvelle réalité : il ne suffit plus de protéger leur propre infrastructure informatique ; les institutions financières doivent être en mesure de prouver à tout moment comment les données sensibles sont traitées, stockées et partagées en interne et en externe. C'est une tâche difficile, mais aussi une formidable opportunité de faire passer leur infrastructure numérique à un niveau supérieur.

‍

Ce dont DORA a besoin : les exigences les plus importantes

1. Gestion des risques liés aux TIC
   Un cadre complet et documenté est obligatoire. La responsabilité incombe clairement à la direction. Il ne suffit plus d'être conscient des risques informatiques : ils doivent être évalués et traités de manière systématique.
   
   
2. Obligations de signalement
   Les incidents informatiques graves, tels que ceux qui entraînent des interruptions de service importantes, des violations de données ou une perte d'intégrité, doivent être immédiatement signalés à l'autorité de surveillance, même si tous les détails ne sont pas encore connus. Des processus clairs et des équipes bien coordonnées sont essentiels à cet égard.
   
   
3. Tests de résilience
   Les sociétés financières doivent régulièrement mettre leurs systèmes à l'épreuve, par exemple au moyen de tests d'intrusion simulant des scénarios d'attaque réalistes. Plus l'entreprise est grande, plus les exigences sont strictes.
   
   
4. Garder un œil sur les fournisseurs tiers
   Le gestion des fournisseurs de services informatiques est une question particulièrement délicate. Les contrats doivent être conformes à la norme DORA, même avec des prestataires de services extérieurs à l'UE, par exemple en stipulant des clauses contractuelles garantissant le respect des normes de résilience et de sécurité de l'UE.

‍

Les défis et les moyens de les relever

Lors des discussions avec les clients, nous sommes régulièrement confrontés à des questions et à des incertitudes similaires :

• Comment documentons-nous entièrement nos processus de traitement des données ?
• Comment conserver une vue d'ensemble dans les environnements multicloud ?
• Comment pouvons-nous nous assurer que nos fournisseurs de services sont également conformes à la norme DORA ?

« Il ne suffit plus de sécuriser sa propre infrastructure technique. Les banques et les prestataires de services financiers doivent être en mesure de prouver à tout moment comment les données sensibles sont traitées, stockées et transmises, à la fois en interne et en externe. »

‍

« Il ne suffit plus de sécuriser sa propre infrastructure technique. Les banques et les prestataires de services financiers doivent être en mesure de prouver à tout moment comment les données sensibles sont traitées, stockées et transmises, à la fois en interne et en externe. »

— Alexander Sommer, notre PDG, résume les choses en quelques mots

‍

Ce qui aide aujourd'hui :

• Réalisation d'un analyse des écarts pour évaluer la situation actuelle
• Mise en place de robustes gestion des fournisseurs tiers avec des critères et des audits clairs
• Présentation de outils automatisés pour la surveillance, les rapports et les pistes d'audit

‍

Conclusion : d'un ensemble de règles à une stratégie de résilience

DORA est bien plus qu'un simple impératif réglementaire. C'est l'occasion de repenser la sécurité numérique, en tant que partie intégrante de la stratégie de l'entreprise. Ceux qui agissent dès maintenant seront non seulement conformes, mais aussi résilients.

‍

‍

Pour tous ceux qui veulent approfondir

Dans notre ePaper, nous avons préparé DORA de manière pratique, y compris :

• Listes de contrôle pour chaque domaine d'action
• Recommandations spécifiques pour la mise en œuvre
• Aperçu des solutions technologiques qui peuvent déjà apporter une assistance aujourd'hui

👉 Téléchargez gratuitement dès maintenant

‍