Le règlement DORA (Digital Operational Resilience Act) vient d’être adopté au Conseil des ministres du 15 octobre. Il impose aux institutions financières de renforcer leur résilience face aux risques cyber. Il entrera en application le 17 janvier 2025. La directive accompagnant le règlement apporte des mesures améliorant la cohérence juridique et contient des éléments d’ordre techniques.
DORA s’articule autour de plusieurs axes clés. Le premier changement majeur concerne la responsabilité des dirigeants, qui peut être engagée. “L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC” précise le Règlement.
DORA introduit également des formations obligatoires pour les organes de direction.
“Les membres de l’organe de direction de l’entité financière doivent maintenir à jour leurs connaissances et compétences suffisantes pour évaluer le risque TIC et son incidence sur les opérations de l’entité, notamment en suivant régulièrement une formation proportionnée au risque TIC géré”.
DORA repose sur plusieurs axes structurants pour les établissements financiers, banques et assurances.
Les acteurs doivent définir une stratégie de résilience numérique tenant compte des spécificités du secteur pour garantir une résilience opérationnelle. Ils sont également tenus de mettre en place une politique de continuité des activités incluant des tests avancés et des pénétrations régulières. Ces tests visent à évaluer la capacité des systèmes à résister aux cyberattaques et incidents techniques, garantissant ainsi la disponibilité des services essentiels.
Les établissements doivent aussi réaliser des exercices avec des équipes externes pour tester leur robustesse face aux cybermenaces. En cas d’incident majeur, les banques et assurances doivent notifier rapidement les autorités compétentes, telles que l’AMF et l’ACPR, et fournir une analyse complète des impacts afin d’assurer une réponse coordonnée au niveau sectoriel.
Les établissements doivent également encadrer strictement leurs prestataires.
“En cas d’externalisation, l’entité financière reste pleinement responsable de vérifier le respect des exigences en matière de gestion du risque TIC“. Cela inclut l’inscription de clauses contractuelles imposant des normes de sécurité renforcées aux prestataires tiers et l’évaluation régulière de leur capacité à maintenir la continuité des services en cas de crise. Les prestataires de services TIC jugés critiques, tels que ceux liés à l’infrastructure cloud et la gestion des données sensibles, sont soumis à DORA. “Le cadre de supervision de l’Union, établi par le règlement, s’applique à tous les prestataires tiers critiques de services TIC, y compris les fournisseurs de services en nuage”. Les banques et assurances doivent veiller à ce que leurs partenaires respectent ces exigences et se préparent aux audits des autorités.
Le partage d’informations est un autre pilier clé. La coopération est essentielle pour la stratégie de résilience cyber. Les banques et assurances sont encouragées à partager proactivement des informations sur les cybermenaces et les vulnérabilités avec d’autres acteurs financiers, renforçant ainsi la réponse collective face aux cyberattaques.
Des ressources précieuses
Avant l’entrée en vigueur de DORA en janvier 2025, banques, assurances et partenaires peuvent utiliser les outils d’autoévaluation disponibles sur le site de l’Autorité bancaire européenne et profiter des bonnes pratiques issues des contrôles SPOT réalisés par l’AMF.
