Renforcer la résilience opérationnelle du secteur financier grâce au règlement Dora
Le secteur financier va devoir renforcer sa résilience opérationnelle face aux cybermenaces et aux risques liés aux technologies de l'information et de la communication (TIC). C'est l'objectif du nouveau règlement européen sur la résilience opérationnelle numérique du secteur financier, baptisé Dora (Digital Operational Resilience Act), adopté le 14 décembre 2022 et qui entrera en vigueur le 17 janvier 2025. Les acteurs concernés n'ont plus que quelques mois pour se mettre en conformité avec ces nouvelles obligations.
Un champ d'application très large touchant l'ensemble de la finance
La particularité de ce règlement est son périmètre particulièrement étendu. Comme le souligne Nicolas Quoy, associé au sein du cabinet d'avocats Ashurst, « il y avait, depuis longtemps, des réglementations pour les banques sur les risques opérationnels, le risque IT cyber, l'externalisation etc... Là, cela concerne tous les acteurs du secteur financier ».
Sont ainsi visés les établissements de crédit, les établissements de paiement, les prestataires de services d'information sur les comptes, les établissements de monnaie électronique, les plateformes de négociation, les sociétés de gestion, les institutions de retraite professionnelle, les prestataires de services de financement participatif, et bien d'autres encore. La liste exhaustive figure à l'article 2 du règlement Dora.
Quatre piliers clés allant de la gestion des risques au reporting des incidents
Le texte s'articule autour de quatre axes principaux :
- La mise en place d'un système de gestion des risques liés aux TIC
- L'identification et le contrôle des tiers prestataires de services TIC
- Le test régulier des capacités de continuité opérationnelle face aux menaces
- L'obligation de signaler et partager les incidents majeurs
Comme l'explique Thomas Hutin, directeur du département cybersécurité chez FTI Consulting, « certains aspects relèvent de la gouvernance, des process et des obligations de reporting en cas d'incident ; d'autres concernent des aspects plus juridiques ».
Un compte à rebours lancé pour janvier 2025
Les entités concernées doivent désormais se préparer activement pour respecter ces nouvelles exigences d'ici le 17 janvier 2025, date d'entrée en application du règlement Dora. Comme le résume Nicolas Quoy, « c'est un texte qui a pour vocation d'assurer la résilience opérationnelle des établissements financiers ». Un enjeu crucial à l'heure où les cyberattaques se multiplient et deviennent de plus en plus sophistiquées.
Certains piliers sont de l'ordre de la gouvernance, des process et des obligations de reporting en cas d'incident ; d'autres concernent des aspects plutôt juridiques.
Nicolas Quoy, associé cabinet Ashurst
Pour se mettre en conformité, les acteurs financiers devront notamment :
- Cartographier l'ensemble de leurs actifs et systèmes informatiques
- Analyser en profondeur leurs vulnérabilités et leurs dépendances vis-à-vis de tiers
- Définir une stratégie de tests de résilience opérationnelle
- Mettre en place des procédures de gestion et de notification des incidents majeurs
Un chantier de grande ampleur qui nécessitera la mobilisation de ressources importantes au sein des établissements, mais qui est indispensable pour renforcer la confiance et la stabilité du système financier dans un monde de plus en plus digitalisé et interconnecté. Le compte à rebours est lancé.
