Le règlement DORA (Digital Operational Resilience Act) représente une avancée majeure dans la régulation des risques liés aux technologies de l'information au sein de l'Union européenne. Adopté en décembre 2022, il vise à renforcer la résilience opérationnelle numérique des entités financières européennes face aux cybermenaces.
Dans cet article, nous examinons les principales mesures prévues par DORA, ses objectifs et son impact sur le secteur financier.
Au sommaire de cet article
- Définition du règlement DORA
- Qui est concerné par le règlement sur la résilience opérationnelle numérique ?
- Quelles sont les 5 étapes clés que comporte DORA ?
- Comment nos solutions d’anonymisation comme DOT Anonymizer peuvent-elles aider à se mettre en conformité avec la réglementation DORA ?
- Conclusion
1. Définition du règlement DORA
Le règlement DORA (Digital Operational Resilience Act), introduit en septembre 2020, a été adopté par le Parlement européen et le Conseil en décembre 2022. Il a pour objectif d'établir des normes uniformes pour renforcer la gestion des risques liés aux technologies de l'information et à la sécurité des réseaux et systèmes d'information dans l'UE. Il s'inscrit dans la stratégie de la Commission européenne pour la finance numérique, visant à promouvoir l'innovation tout en garantissant la stabilité financière et la protection des consommateurs.
Ce règlement est novateur car il propose un cadre détaillé et complet pour renforcer la résilience opérationnelle numérique des entités financières. Il inclut également la mise en place d'un mécanisme de surveillance directe des prestataires de services TIC ( Technologies de l'information et de la communication) considérés comme critiques au niveau de l'UE. Il impose aux entités financières à informer rapidement les autorités de surveillance en cas d'incidents majeurs liés aux TIC.
Bien qu'il soit entré en vigueur le 16 janvier 2023, son application effective débutera en 2025, date limite pour sa mise en œuvre dans l'ensemble des États membres de l'UE.
2. Qui est concerné par le règlement sur la résilience opérationnelle numérique ?
Le règlement DORA concerne principalement les entreprises du secteur financier de l'Union européenne :
- les organismes traditionnels (établissements de crédit, entreprises d'investissement).
- les organismes plus récents (organismes de paiement, sociétés de monnaie électronique, sociétés de gestion, sociétés d'assurance et de réassurance).
Il couvre également les fournisseurs de services TIC considéré comme critiques dans le domaine des services financiers au sein de l'UE. Sont exclues de la réglementation DORA les microentreprises et les très petites entreprises employant moins de 10 personnes ou dont le chiffre d'affaires est inférieur à 2 millions d'euros.
L'objectif principal de DORA est d'unifier et d'étendre les normes et exigences existantes, tant au niveau européen que national, afin de créer un cadre détaillé et harmonisé visant à garantir la continuité des activités financières face aux cyberattaques et renforcer la résilience opérationnelle numérique des entités financières.
3. Quelles sont les 5 étapes clés que comporte DORA ?
Le règlement DORA comporte plusieurs étapes clés pour renforcer la résilience opérationnelle numérique dans le secteur financier de l'Union européenne (UE). Voici cinq piliers importants de DORA :
1. La gestion des risques liés aux Technologies de l’Information et de la Communication (TIC) :
Le règlement DORA exige que la direction assume la responsabilité de la gestion des risques liés aux TIC, identifie les fonctions critiques, et mette en place un cadre de gestion du risque basé sur des normes internationales qui doit être révisé tous les ans.
Ce cadre doit inclure une stratégie de résilience numérique, des audits réguliers, et une formation en cybersécurité pour l'équipe de direction. Tous les employés de la société, incluant les membres de la direction, doivent recevoir une formation en cybersécurité adaptée à leurs postes d’après l’article 13, point 6 du règlement DORA. Il encourage l'utilisation des technologies de pointe, la détection rapide d'activités anormales, la sauvegarde des données, et la transparence en cas d'incidents liés aux TIC.
2. La déclaration des incidents liés aux TIC :
Ce nouveau règlement impose aux entités financières qu'elles améliorent leur capacité à collecter, transmettre et diffuser des informations sur les incidents liés aux technologies de l'information et de la communication (TIC). Le règlement établit un système de détection et de notification harmonisé, obligeant les entreprises à soumettre des rapports initiaux, intermédiaires et finaux en cas d'incidents majeurs liés aux TIC. Ces rapports doivent permettre d'évaluer l'importance de l'incident et ses éventuelles répercussions au-delà des frontières. Les autorités européennes pourront ainsi donner des instructions pour atténuer les conséquences dès la réception de la déclaration initiale et publieront un rapport annuel sur les incidents TIC.
3. Les tests de résilience opérationnelle numérique :
Les entités financières devront effectuer au moins une fois par an des tests de résilience opérationnelle numérique et de vulnérabilité, réalisés par des parties indépendantes, internes ou externes. Ces tests visent à évaluer la capacité des entités à gérer les incidents TIC et à identifier les faiblesses du système, en utilisant une approche basée sur les risques. Avant tout déploiement de nouveaux services ou mises à jour de services existants liés aux fonctions critiques, des évaluations de vulnérabilité sont nécessaires pour garantir la résilience opérationnelle des systèmes informatiques.
4. La gestion des risques tiers :
Le règlement DORA étend les obligations existantes concernant l'externalisation des services TIC aux prestataires tiers, en contraignant les entités financières à gérer les risques liés à ces prestataires. Elles doivent évaluer les risques contractuels, résilier les contrats avec des fournisseurs présentant des risques pour la cybersécurité, et produire un rapport annuel sur les accords TIC. DORA définit des principes clés pour la gestion des risques liés aux prestataires TIC, notamment la tenue d'un registre, des exigences contractuelles minimales, et un cadre de surveillance européen pour les prestataires critiques.
5. Le partage d’informations et de renseignements :
DORA encourage les établissements financiers à partager des informations sur les cybermenaces pour renforcer la résilience numérique et réduire les risques liés aux TIC. Il autorise les entités financières à établir des dispositifs de partage d'informations, tout en garantissant la protection des données à caractère personnel et en exigeant une notification aux autorités compétentes. Cela vise à améliorer les capacités défensives et les techniques de détection contre les cybermenaces.
4. Comment nos solutions d’anonymisation comme DOT Anonymizer peuvent-elles aider à se mettre en conformité avec la réglementation DORA ?
La solution DOT Anonymizer permet de masquer les informations personnelles et identifiantes, garantissant ainsi la confidentialité et la protection des données. Elle se positionne comme un élément essentiel pour se conformer au règlement DORA en assurant la sécurité des données dans les systèmes informatiques ainsi que celles partagées entre les entités financières. Cet outil permet également d'atténuer les risques de fuite de données qui sont liés à notre dépendance croissante vis-à-vis de la technologie et à l’augmentation des cybermenaces.
DOT Extract, lui de son côté, offre la possibilité de ne copier que les données nécessaires à partir de la base de production, réduisant ainsi le temps d'anonymisation et de rechargement. Avec l’apparition de règlementations comme DORA (Réglementation sur la résilience opérationnelle numérique), certains de nos clients existants, tels que SFIL, envisagent l'intégration de DOT Extract dans leur infrastructure informatique. Vous pouvez lire leur témoignage client à ce sujet.
5. Conclusion
Il est important pour les entités financières de prendre en compte le règlement DORA qui a établit des normes déterminantes pour renforcer la résilience opérationnelle numérique dans le secteur financier de l'UE.
Son application en 2025 marque une étape clé dans la garantie de la sécurité et de la protection des données des consommateurs.