Le risque de cyber menace devient de plus en plus important et croissant pour le secteur financier. Il s’explique en partie par des vulnérabilités technologiques, organisationnelles, humaines croissantes et la multiplication de la surface d’attaque ( la forte numérisation, le télétravail ). Le 14 décembre 2022, un règlement sur la résilience opérationnelle numérique du secteur financier a été adopté afin d’atteindre un niveau commun élevé de résilience opérationnelle numérique. Ce règlement est plus connu sous son acronyme anglais « DORA » (Digital Operational Resilience Act). Il s’applique à partir du 17 janvier 2025. Ce règlement entend mettre fin aux disparités législatives et les approches nationales inégales en matière de réglementation ou de surveillance du risque informatique en harmonisant des règles et exigences qui seront directement applicables aux pays membres sans avoir besoin de transposition dans le droit national des pays membres.
Le règlement DORA a plutôt penché pour la résilience opérationnelle (Résistance ou résilience: le règlement DORA se prononce).
Le texte européen définit la résilience opérationnelle numérique comme la capacité d’une entité financière à développer, garantir et réévaluer son intégrité opérationnelle d’un point de vue technologique.
Les grands objectifs du règlement DORA
DORA ambitionne de renforcer le versant numérique de la résilience opérationnelle du secteur financier par des mesures portant sur la sécurité des réseaux et des systèmes d’information. Il impose des exigences et règles relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières.
Il s’agit d’une part, d’exigences applicables aux entités financières, celles relatives aux accords contractuels conclus entre des prestataires tiers de services TIC et des entités financières. Et d’autre part, de règles relatives à l’établissement du cadre de supervision applicable aux prestataires tiers critiques de services TIC lorsqu’ils fournissent des services à des entités financières, ainsi que celles liées à l’exercice des tâches dans ce cadre et de règles relatives à la coopération entre les autorités compétentes, et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.
Focus sur les exigences applicables aux entités financières soumises à DORA
Le renforcement de la résilience opérationnelle du secteur financier doit se faire suivant de grandes exigences qui sont au nombre de 6.
- La gestion des risques liés aux technologies de l’information et de la communication (TIC);
- La notification, aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes;
- La notification aux autorités compétentes, par les entités financières visées à l’article 2, paragraphe 1, points a) à d), des incidents opérationnels ou de sécurités majeures liées au paiement;
- Les tests de résilience opérationnelle numérique;
- Le partage d’informations et de renseignements en rapport avec les cybermenaces et les cybervulnérabilités ;
- Les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC.
Il est certes nécessaire de prendre des mesures pour résister aux incidents informatiques, mais pour prévenir certains risques systémiques, il vaut mieux prévoir, en plus d’outils de résistance, un système résilient c’est-à-dire efficient, flexible et adaptable. L’entité doit être capable de prévenir le risque, à y réagir en cas de survenance, se rétablir et tirer des leçons des événements pour renforcer son dispositif.
Cette réglementation permettra de prévenir les perturbations opérationnelles en assurant une continuité des activités, une gouvernance du risque fondée sur la tolérance aux perturbations. Elle prolonge les outils classiques comme les PCA et une attention particulière du superviseur aux chaînes d’approvisionnement et aux stratégies de sorties et de substitution. Autant dire que les entités financières seront les grandes gagnantes si elles se préparent et assurent une bonne mise en conformité suivant les exigences de la réglementation DORA.
Auteur:
Stéphane KOUAKOU-KAN, Juriste en conformité, spécialisé en Numérique, en Gouvernance des données, en lutte contre le blanchiment des capitaux et le financement du terrorisme.
Pour aller plus loin
Si cet article vous a plu n’hésitez pas à le partager sur vos réseaux !
