La règlementation DORA est le fruit d’une profonde évolution. Tout commence avec la mise en place des accords de Bâle. En effet, la crise financière de 2008 a révélé une interconnexion étroite entre banques et assureurs, ce qui a conduit à la mise en place des accords Bâle II et Bâle III. Ces accords visaient à atténuer le risque de crédit et à intégrer le risque opérationnel dans les exigences minimales de fonds propres.
Cependant, ces accords se concentrent sur les erreurs humaines et les problèmes techniques, négligeant ainsi deux formes de malveillance :
- Les cyberattaques criminelles, souvent motivées par des gains financiers.
- Les cyberattaques étatiques, menées dans le cadre d’activités de renseignement politique ou économique.
Avec la numérisation de l’économie, en particulier après la crise COVID, la finance numérique a beaucoup évolué et a surtout gagné en popularité. Cependant, en devenant populaire, le secteur financier est devenu également particulièrement ciblé et le risque cyber, s’il n’a pas encore engendré de crise de grande ampleur, peut devenir systémique et remettre en cause la stabilité financière.
Pour adapter la législation aux particularités du secteur financier, l’Union Européenne a entrepris une réflexion sur la création d’une réglementation spécifique, suivant les directives NIS1 et NIS2. Cette démarche a abouti à la signature de l’acte final de DORA le 14 décembre 2022.
Qu’est-ce que la réglementation DORA ?
Que signifie DORA ?
DORA, acronyme de « Digital Operational Resilience Act », est un règlement européen relatif à la résilience numérique opérationnelle. Il vise à renforcer la capacité des institutions financières à faire face aux cyberattaques et aux autres incidents informatiques majeurs.
Cette initiative s’inscrit dans le cadre de la stratégie en matière de finance numérique de la Commission européenne qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des consommateurs.
Ce nouveau cadre réglementaire comprend deux actes législatifs :
- Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (dit règlement DORA). Il définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
- La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022. Elle a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, …afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.
Contexte de DORA
Le règlement DORA a été proposé par la Commission européenne en 2020 et adopté par le Parlement européen en 2022. Il s’inscrit dans un contexte de multiplication des cyberattaques et de prise de conscience croissante des risques liés à la dépendance croissante aux technologies numériques.
Principaux éléments de la réglementation DORA
DORA vise à simplifier et à améliorer la résilience des organisations des services financiers en établissant un cadre réglementaire et un cadre de supervision robustes.
La réglementation introduit des exigences à travers cinq piliers :
- Gestion du risque lié aux TIC
- Gestion, classification et notification des incidents liés aux TIC
- Tests de résilience opérationnelle numérique
- Gestion des risques liés aux prestataires tiers de services TIC
- Dispositifs de partage d’informations (facultatif)
Pilier 1 : Gestion des Risques Liés aux Technologies de l’Information et de la Communication (TIC)
La gestion des risques associés aux technologies de l’information et de la communication (TIC) est une préoccupation majeure dans le paysage numérique actuel. Pourquoi cette attention particulière ? L’objectif est de mettre en place des mesures et des contrôles spécifiques afin de limiter les perturbations sur le marché et pour les consommateurs résultant des incidents, tout en garantissant la responsabilité des organes de gestion en matière de gestion de ces risques.
Challenges : dans le cadre de processus d’amélioration continue, la Directive sur les Opérations Réglementaires Numériques (DORA) exige une formation obligatoire sur la résilience opérationnelle numérique pour l’ensemble du personnel, en plus de l’organe de gestion, dans le cadre de son programme de formation générale.
Pilier 2 : Signalement des Incidents TIC
L’harmonisation et la centralisation du signalement des incidents liés aux TIC sont essentielles pour permettre une réaction rapide du régulateur et pour favoriser une meilleure compréhension des menaces actuelles sur le marché.
Challenges : les entreprises doivent adapter leur méthode de classification des incidents pour se conformer aux exigences. De plus, elles doivent mettre en place les processus et les canaux appropriés pour informer rapidement l’autorité de régulation en cas d’incident majeur.
Pilier 3 : Test de résilience opérationnelle numérique
Pourquoi ? S’assurer que les entités financières testent l’efficacité du cadre de gestion des risques et des mesures en place pour répondre à un large éventail de scénarios d’incidents liés aux TIC et s’en remettre, avec un minimum de perturbations des fonctions critiques et importantes, d’une manière proportionnée à leur taille et à leur criticité pour le marché.
Challenges : il est probable que les entreprises critiques devront organiser ce test de pénétration fondé sur la menace d’ici la fin de 2024 et ce type de test nécessite beaucoup de préparation. Le fait qu’il doive impliquer des tiers critiques dans le domaine des TIC signifiera également qu’ils devront participer à la préparation. Les entreprises qui pensent être concernées (il peut s’agir d’entreprises déjà concernées par la réglementation sur les NEI) doivent commencer à réfléchir au scénario dès que possible afin de permettre une validation avec le régulateur au moins deux ans avant la date limite.
Pilier 4 : Gestion des risques liés aux tiers dans le domaine des TIC
Pourquoi ? Veiller à ce que les organismes financiers disposent d’un niveau approprié de contrôle et de surveillance de leurs tiers TIC, en particulier ceux qui sous-tendent les fonctions critiques ; et mettre en place une surveillance spécifique des fournisseurs qui sont essentiels pour le marché dans son ensemble.
Challenges : rassembler des informations sur tous les fournisseurs de TIC (pas seulement les plus importants), avec les services fournis et les fonctions qu’ils sous-tendent pour le registre des informations sera une tâche très importante pour les grandes organisations financières qui dépendent généralement de milliers de petits et grands fournisseurs et de systèmes de gestion de contrats hérités qui rendent difficile l’extraction de données.
Pilier 5 : Partage d’informations et de renseignements
Pourquoi ? Promouvoir l’échange d’informations et de renseignements sur les cybermenaces entre les organismes financiers afin de leur permettre d’être mieux préparés.
Challenge : Nous ne voyons pas de défi particulier dans ce domaine car de nombreuses organisations ont déjà mis en place de tels accords. Ce sera l’occasion de rendre visibles les initiatives, les réseaux ou les associations locales et d’encourager un plus grand nombre d’entreprises à y participer.
Pourquoi est-ce que DORA est si important ?
Le règlement DORA est important pour plusieurs raisons :
- Il vise à garantir la stabilité du système financier en cas de cyberattaque majeure.
- Il renforce la protection des données des clients des institutions financières.
- Il incite les institutions financières à investir dans des technologies de sécurité informatique plus robustes.
Quel impact sur les différents secteurs d’activité ?
Le règlement DORA s’applique à tous les acteurs du secteur financier, y compris les banques, les assurances, les sociétés d’investissement et les prestataires de services de paiement. Il aura un impact significatif sur ces différents secteurs d’activité, en les incitant à investir dans la sécurité informatique et à renforcer leur gouvernance.
Les institutions financières ont jusqu’en janvier 2025 pour se mettre en conformité avec le règlement DORA. Les autorités compétentes seront chargées de veiller à l’application du règlement et de sanctionner les manquements.
Défis et controverses entourant les règlements DORA
Le règlement DORA a été salué par les acteurs du secteur financier et les autorités de régulation. Cependant, il a également fait l’objet de critiques, notamment de la part de certains acteurs qui le jugent trop complexe et coûteux à mettre en œuvre.
Mesures visant à assurer le respect de DORA
Les autorités compétentes ont mis en place plusieurs mesures pour assurer le respect du règlement DORA, notamment :
- Des guides et des orientations : les autorités compétentes ont publié des guides et des orientations pour aider les institutions financières à se mettre en conformité avec le règlement.
- Des contrôles : les autorités compétentes effectuent des contrôles auprès des institutions financières pour vérifier leur conformité au règlement
Le règlement DORA est un texte important qui aura un impact significatif sur le secteur financier. Il est important que les institutions financières prennent les mesures nécessaires pour se mettre en conformité avec le règlement d’ici janvier 2025. Le respect du règlement DORA permettra de renforcer la résilience du système financier aux cyberattaques et de protéger les données des clients.
Le règlement DORA est une étape importante dans la régulation des technologies numériques. Il est probable que d’autres réglementations similaires seront adoptées dans les années à venir.