La fréquence et la sophistication croissantes des cyberattaques posent de graves menaces à la stabilité financière mondiale selon un nouveau rapport du Fonds Monétaire International (FMI). Au cours des deux dernières décennies, près d'un cinquième des incidents cybernétiques signalés ont affecté le secteur financier mondial, causant 12 milliards de dollars de pertes directes aux entreprises financières, note le rapport.

Reconnaissant la nécessité de la résilience des entités financières, l'Union Européenne a réagi avec l'Acte de Résilience Opérationnelle Numérique (DORA). Cette réglementation emblématique est conçue pour renforcer la résilience opérationnelle des institutions financières en exigeant des mesures de cybersécurité strictes.

Dans cet article de blog, nous examinerons en détail les spécificités de DORA, son objectif, ses exigences, son calendrier de mise en œuvre, les sanctions en cas de non-conformité et comment Secureframe peut simplifier et accélérer votre chemin vers la conformité.

Qu'est-ce que l'Acte de Résilience Opérationnelle Numérique ?

L'Acte de Résilience Opérationnelle Numérique (DORA) est une réglementation de l'UE qui vise à aider les entités financières et leurs fournisseurs de technologies de l'information et de la communication (TIC) à résister, répondre et se remettre de tous types de perturbations et menaces liées aux TIC. En établissant des normes robustes pour la gestion des risques TIC, la déclaration d'incidents, les tests de résilience opérationnelle et la surveillance des risques tiers, DORA cherche à améliorer la résilience opérationnelle numérique du secteur financier de l'UE.

Bien que DORA recoupe d'autres réglementations telles que le RGPD et la NIS 2, l'applicabilité des trois cadres est très différente. DORA est unique par son objectif de renforcer la résilience numérique de l'écosystème financier européen et est applicable spécifiquement au secteur financier alors que la NIS2 et le RGPD sont beaucoup plus larges en termes d'applicabilité organisationnelle.

DORA est entrée en vigueur le 16 janvier 2023 et sera obligatoire à partir du 17 janvier 2025. À mesure que cette date de mise en application approche, il est important que les organisations comprennent la portée, l'objectif et les exigences de DORA. Nous aborderons cela ci-dessous.

À qui s'applique DORA ?

La portée de DORA est large au sein du secteur financier. La nouvelle loi s'applique aux entités financières, ce qui inclut la plupart des types de services financiers réglementés dans l'UE, tels que les banques, les entreprises de paiement et de monnaie électronique, les entreprises d'investissement, les assureurs et les entreprises de crypto-actifs.

DORA s'applique également aux prestataires de services tiers TIC « critiques » de ces entités financières. Les fournisseurs sont désignés comme critiques en fonction de plusieurs facteurs, y compris :

• l'impact potentiel qu'une défaillance à grande échelle aurait sur la prestation de services financiers
• le type et l'importance des entités qui dépendent du fournisseur
• la facilité avec laquelle le fournisseur peut être remplacé

Ces fournisseurs devront montrer qu'ils peuvent se conformer aux dispositions contractuelles obligatoires sous DORA pour continuer à servir leurs clients dans l'UE.

Quelle est la finalité de DORA ?

L'objectif principal de DORA est de renforcer la résilience opérationnelle des institutions financières face à la croissance des cybermenaces. Elle le fait de deux manières significatives. Premièrement, elle vise à harmoniser les différentes réglementations en matière de cybersécurité et de gestion des risques qui s'appliquent aux entités financières à travers l'UE. Deuxièmement, elle vise à offrir un cadre complet qui aborde plusieurs aspects clés de la gestion des risques.

Ces domaines d'intervention clés sont :

• Gestion des risques liés aux TIC : Établir des cadres de gestion des risques complets pour identifier, évaluer et atténuer les risques liés aux TIC
• Incidents liés aux TIC : Exiger des rapports rapides et normalisés des incidents significatifs liés aux TIC aux autorités compétentes
• Tests de résilience opérationnelle numérique : Exiger des tests réguliers des systèmes TIC pour identifier et rectifier les vulnérabilités
• Gestion des risques des tiers liés aux TIC : Assurer que les entités financières gèrent les risques associés aux fournisseurs de services TIC tiers
• Supervision des fournisseurs tiers critiques : Renforcer le cadre de gouvernance pour surveiller efficacement les pratiques de gestion des risques TIC
• Partage d'informations : Échanger des informations et des renseignements sur les cybermenaces

Exigences de DORA : Comment se conformer à la réglementation

Le document DORA lui-même fait presque 80 pages et comprend 64 articles. Le document définit plusieurs domaines clés d'intervention dans sa réglementation.

Ci-dessous, nous résumons les principales exigences pour se conformer à DORA.

1. Établir un cadre de gestion des risques TIC

Les institutions financières concernées doivent développer et maintenir un solide cadre de gestion des risques TIC qui leur permet de répondre rapidement et globalement aux risques.

Au minimum, ce cadre devrait :

• Identifier les fonctions métier supportées par les TIC : Cartographier clairement toutes les fonctions métier qui dépendent des systèmes et services TIC.
• Identifier les risques TIC : Cataloguer toutes les sources potentielles de risques TIC, y compris le matériel, les logiciels, les données et les systèmes de communication.
• Aborder les menaces et les vulnérabilités en matière de cybersécurité : Surveiller et évaluer en continu les menaces et les vulnérabilités en matière de cybersécurité, et mettre en œuvre des mesures (telles que des politiques, des procédures et des outils) pour se protéger contre ces menaces et les mettre régulièrement à jour en fonction de l'évolution du paysage des menaces.
• Atténuer les risques identifiés : Développer et appliquer des stratégies d'atténuation des risques pour gérer efficacement les risques identifiés.

2. Établir des processus et des procédures de signalement des incidents

Les entités concernées sont tenues de mettre en place des processus et des procédures pour la détection, la gestion et le signalement en temps opportun des incidents de sécurité liés aux TIC. Certaines étapes suivantes peuvent inclure :

• Mettre en place des systèmes pour détecter les incidents dès qu'ils surviennent, y compris des mécanismes de détection automatiques et manuels
• Développer un processus clair de gestion des incidents une fois détectés, y compris des mesures de réponse immédiate, des procédures d'enquête et des étapes de remédiation.
• Définir et respecter des délais stricts pour signaler les incidents aux autorités compétentes et s'assurer que ces rapports contiennent des informations détaillées sur la nature de l'incident, son impact et les mesures prises pour y remédier.

3. Tester régulièrement votre système TIC

Le test régulier des systèmes TIC est obligatoire pour assurer la résilience contre les menaces potentielles. Les entités concernées sont tenues de superviser la mise en œuvre et les résultats des tests de résilience, y compris les évaluations de vulnérabilité et les tests de pénétration. Les deux types de tests peuvent aider à identifier et à résoudre les vulnérabilités de sécurité dans l'infrastructure TIC de l'entité.

Il est également important que les entités concernées utilisent les résultats de ces tests pour améliorer et renforcer les mesures de sécurité TIC en conséquence.

4. Établir un système de gestion des risques des tiers

Les entités concernées doivent s'assurer que leurs contrats avec les fournisseurs de services TIC tiers (y compris les nouveaux contrats et les contrats existants) répondent aux exigences prescriptives énoncées dans la DORA.

Les contrats doivent inclure certaines dispositions mandatant l'adhésion aux normes de gestion des risques de l'entité, telles que la fourniture d'une assistance pour la gestion des incidents et la participation à la sensibilisation à la sécurité et à la formation à la résilience opérationnelle de l'entité.

Les entités concernées doivent développer et maintenir un registre des informations sur les fournisseurs de services TIC à l'intention des autorités compétentes au moins tous les trois ans, voire plus souvent si elles engagent des fournisseurs pour des fonctions critiques. Ce registre d'informations doit contenir une diligence raisonnable approfondie, y compris les accords contractuels et les rapports d'information.

Chronologie de mise en œuvre de DORA

La mise en œuvre de DORA suit une chronologie structurée pour permettre aux entités financières de disposer de suffisamment de temps pour se conformer :

• Entrée en vigueur: DORA est entré en vigueur le 16 janvier 2023.
• Période de transition: Les entités financières bénéficient d'une période de transition jusqu'au 17 janvier 2025 pour aligner leurs opérations sur les nouvelles exigences.
• Date limite de conformité: D'ici le 17 janvier 2025, toutes les institutions financières de l'UE doivent se conformer pleinement à DORA.

Violations de DORA et amendes : Pénalités pour non-conformité

La non-conformité à DORA peut entraîner des pénalités significatives, reflétant la nature stricte du règlement.

Les institutions financières qui ne respectent pas les exigences de DORA sont passibles d'amendes atteignant 2 % de leur chiffre d'affaires annuel mondial total. Les particuliers encourent une amende maximale de 1 000 000 EUR pour non-conformité. Le montant dépendra de la gravité de la violation et de la volonté de coopérer de l'entité financière avec les autorités. Le non-respect de l'obligation de signaler les incidents majeurs liés aux TIC ou les menaces cybernétiques importantes comme exigé par DORA peut également entraîner des amendes.

Les prestataires de services TIC désignés comme critiques par les autorités de surveillance européennes (ESA) peuvent être passibles d'amendes allant jusqu'à 5 000 000 EUR pour non-conformité. Les particuliers encourent une amende maximale de 500 000 EUR.

Les entités peuvent également faire face à des sanctions supplémentaires, y compris des censures publiques, des restrictions sur les activités commerciales voire la révocation des licences dans les cas graves. Outre les sanctions financières et les sanctions, la non-conformité peut également entraîner des dommages sévères à la réputation, érodant la confiance des clients et des investisseurs.

Comment les fournisseurs de services gérés peuvent aider les entités à respecter la date limite de conformité de DORA

Selon une enquête McKinsey réalisée en mars 2024, seuls environ un tiers des institutions financières étaient convaincus de pouvoir répondre à toutes les attentes réglementaires de DORA d'ici janvier 2025. 31 % doutaient de pouvoir respecter la date limite de DORA, tandis que 38 % étaient neutres. De plus, tous ont déclaré s'attendre à ce qu'au moins certains efforts de conformité à DORA se poursuivent après la date limite de 2025.

Un fournisseur de services gérés peut aider à simplifier et à accélérer le processus. En tirant parti de l'expertise et des ressources des fournisseurs de services gérés, les institutions financières peuvent rationaliser leurs efforts de conformité, en identifiant rapidement et en comblant les lacunes dans leurs pratiques de gestion des risques TIC et en veillant à ce qu'ils respectent la date limite de conformité de DORA.

Voici quelques moyens par lesquels les fournisseurs de services gérés peuvent aider les entités financières à atteindre la conformité DORA de manière efficace et efficiente :

• Réalisation d'une analyse des lacunes : une analyse des lacunes est une première étape cruciale dans le processus de conformité. Elle permet d'identifier les différences entre l'état actuel de la gestion des risques TIC d'une entité et les exigences énoncées par DORA. Après avoir évalué les processus existants de gestion des risques TIC, les procédures de réponse aux incidents, les processus de gestion des risques tiers et les structures de gouvernance, les PSRM peuvent mettre en évidence les lacunes là où les pratiques actuelles de l'entité ne répondent pas aux exigences de DORA et offrir des recommandations concrètes pour combler ces lacunes et aligner les pratiques sur les normes réglementaires.
• Mise en œuvre d'un outil de conformité automatisé : Au-delà des recommandations concrètes, les PSRM peuvent simplifier davantage le processus de conformité à DORA en mettant en œuvre des outils qui automatisent les tâches de conformité, comme la collecte de preuves, la gestion des politiques et la surveillance continue, et réduisent ainsi les efforts manuels.
• Offrir des conseils d'experts : Les PSRM peuvent aider à soutenir les entités financières tout au long du processus de conformité, pas seulement pendant la phase de préparation. En offrant des conseils d'experts à toutes les étapes, les PSRM peuvent aider les entités à naviguer dans les complexités de DORA, à mettre en œuvre les meilleures pratiques en matière de gestion des risques TIC et à intégrer leurs efforts dans un programme de cybersécurité et de conformité existant.
• Effectuer des évaluations continues : Après avoir aidé l'entité à développer et mettre en œuvre un cadre solide de gestion des risques TIC, ainsi que des procédures de rapport d'incidents, des processus de gestion des risques tiers, et plus encore, les PSRM peuvent évaluer régulièrement le statut de conformité de l'entité et identifier les lacunes ou problèmes émergents.

Si vous avez besoin d'aide pour trouver un prestataire de services pour vous aider à vous conformer à DORA, contactez-nous directement à partners@secureframe.com.

Simplifiez et accélérez la conformité à DORA avec Secureframe

Réaliser la conformité à DORA peut être un processus complexe et gourmand en ressources. En fait, l'enquête McKinsey a révélé que la plupart des institutions financières s'attendent à dépenser entre 5 à 15 millions d'euros pour des stratégies, la planification, la conception et l'orchestration de DORA — et certaines estimations préliminaires des coûts de mise en œuvre complète atteignent de cinq à dix fois cette gamme. De plus, 40 % des entités financières et des fournisseurs TIC interrogés consacrent plus de sept équivalents temps plein à leur programme de conformité à DORA.

Les solutions d'automatisation de la conformité comme Secureframe peuvent simplifier et accélérer considérablement ce parcours, aidant à réduire les efforts et les coûts nécessaires pour se conformer. Voici quelques-unes des fonctionnalités clés que Secureframe offre :

• Test des contrôles automatisé : Secureframe automatise les tests des exigences de l'UE DORA grâce à des intégrations avec votre pile technologique existante, garantissant une conformité continue avec les exigences de l'UE DORA sans le fardeau manuel. Avec 110 contrôles alignés sur l'UE DORA, vous pouvez être sûr d'être conforme à la réglementation.
• Politiques développées par des experts : Secureframe propose des modèles de politiques et de procédures, développés et approuvés par des experts en conformité spécifiquement pour l'UE DORA. Vous pouvez facilement publier cette documentation, les assigner à des propriétaires, et suivre l'acceptation et la révision régulière des politiques au sein de Secureframe.
• Expertise en conformité : Notre équipe d'experts en conformité et d'anciens auditeurs en sécurité et en conformité fournissent un soutien essentiel pour vous aider à naviguer efficacement dans les exigences de l'UE DORA et à mettre en œuvre les meilleures pratiques en matière de gestion des risques TIC.
• Soutien basé dans l'UE : Notre équipe dédiée dans l'UE vous garantit une assistance rapide et localisée.
• Surveillance continue : Secureframe facilite le respect de la DORA de l'UE. Vous pouvez organiser et planifier des examens réguliers des contrôles via la plateforme Secureframe, garantissant ainsi une adhérence continue aux exigences réglementaires.

Planifiez une démonstration pour voir comment les institutions financières peuvent répondre en toute confiance aux exigences de la DORA, protéger leurs opérations et garantir leur résilience face aux cybermenaces, avec Secureframe.