DORA (Digital Operational Resilience Act) est la nouvelle règlementation européenne adoptée par le Conseil de l’Union Européenne en Janvier 2023 dont l’objectif est d’améliorer la résilience opérationnelle des entités financières, au sens large. Celles sont ont 2 ans, c’est à dire jusqu’à Janvier 2025 pour mettre en œuvre l’ensemble des exigences formulées dans la règlementation.
Pourquoi une règlementation européenne?
Selon les experts en assurance, le risque de CyberSécurité arrive pour la première fois en 2ième place dans la liste des 10 risques émergents, après le changement climatique, selon une étude 2023. Le scénario le plus critique envisagé par ces mêmes experts est l’arrêt brutal d’un service essentiel. C’est aussi ce que pense le président de la FED, Jerome POWELL : « Je dirais que le risque que nous surveillons le plus est le Cyber risque ». Il craint qu’une grande institution financière perde la capacité de suivre les paiements ou que les paiements ne puissent plus être effectués, expliquait-il au Point en 2021. Afin d’éviter l’arrêt brutal d’un service essentiel rendant impossible l’utilisation d’un service de masse, il convient donc que les institutions financières mettent en place tout un processus afin de résister à une cyberattaque et de continuer à fonctionner.
DORA : Harmonisation des mesures
La commission de l’Union européenne a fait le constat d’une part que « la numérisation et la résilience opérationnel du secteur financier sont les 2 faces d’une même médaille », mais que d’autres part, « les risques informatiques continuent […] de menacer la résilience opérationnelle, les performances et la stabilité du système financier de l’UE ». C’est pourquoi le Conseil de l’Union Européenne a décidé de créer « un cadre détaillé et exhaustif sur la résilience opérationnelle numérique pour les entités financières de l’UE ». Cela permettra d’harmoniser et de renforcer les pratiques qui sont déjà mises en oeuvre au sein des entités financières.
Les exigences de DORA
DORA défini un certain nombre d’exigences en commençant par la définition d’une gouvernance détaillé, avec « l’attribution de rôles et de responsabilités clairs pour toutes les fonctions liées à l’informatique ». Afin de limiter et de contenir l’incidence d’une cyberattaque, une gestion des risques informatiques doit être conduite, en incluant : l’identification des menaces, la prévention, la réduction des risques, la mise en œuvre de moyen de détection et l’élaboration des plans de continuité… Celle-ci doit être revue regulièrement afin « de rester en phase avec l’évolution rapide du paysage des cybermenaces ». De plus, les plans de continuité doivent être testés périodiquement afin de permettre dans un premier temps d’identifier les faiblesses, puis de les améliorer afin de se préparer à leur mise en oeuvre en cas d’attaques.
DORA impose aussi un processus de communication et de gestion des incidents informatiques au sein de l’entité financière et auprès des autorités compétentes. DORA n’oublie pas les prestataires de service qui font désormais partie intégrante des SI et sont interconnectés entre eux. Elle impose aux entités financière un suivi rapproché sur la gestion des risques dédiée aux prestations de service, ce qui passe notamment par un renforcement des clauses contractuelles.
