Le Digital Operational Resilience Act (DORA) est une réglementation qui vise à renforcer la résilience numérique au sein de l’Union Européenne, en établissant un cadre uniforme pour la gestion des risques liés aux technologies de l’information. Bien qu’initialement axé sur le secteur financier, DORA a également des implications pour d’autres secteurs critiques comme celui de l’énergie ou des télécommunications, imposant des normes strictes en matière de cybersécurité.
Qu’est-ce que DORA (Digital Operational Resilience Act) ?
Origine et objectifs de la réglementation
Dans le cadre de DORA, “DOR” signifie “résilience opérationnelle numérique”, ce qui désigne la capacité d’une organisation à maintenir et à restaurer ses opérations numériques essentielles face à des perturbations, des cyberattaques ou des défaillances technologiques, assurant ainsi la continuité et la sécurité de ses services.
Son objectif est d’assurer que tous les acteurs du système financier bénéficient des assurances requises afin de réduire les cyberattaques et autres risques liés aux technologies de l’information et de la communication (TIC), maintenir des fonctions critiques en cas de perturbation grave, et favoriser la confiance dans leur capacité à faire face aux chocs opérationnels.
Champ d’application et entités concernées
Bien que DORA ait été initialement conçu pour le secteur financier, son champ d’application est vaste. Il couvre une large gamme d’entités financières, notamment :
- Les établissements de crédit
- Les entreprises d’investissement
- Les fournisseurs de services de paiement
- Les compagnies d’assurance et de réassurance
- Les gestionnaires de fonds d’investissement alternatifs
- Les fournisseurs de services liés aux crypto-actifs
De plus, DORA s’applique également aux fournisseurs tiers critiques de services TIC pour ces entités financières, reconnaissant ainsi l’importance de la chaîne d’approvisionnement dans la résilience opérationnelle globale.
Calendrier de mise en œuvre
Le calendrier de mise en œuvre de DORA est progressif, permettant aux entités concernées de s’adapter aux nouvelles exigences :
- Décembre 2022 : Adoption finale de DORA par le Parlement européen
- Janvier 2023 : Entrée en vigueur de DORA
- Janvier 2025 : Date prévue pour l’application effective de DORA
Ce délai de deux ans entre l’entrée en vigueur et l’application effective vise à donner aux entreprises le temps nécessaire pour se conformer aux nouvelles exigences.
Les piliers principaux de DORA
DORA repose sur quatre piliers fondamentaux qui visent à renforcer la résilience opérationnelle numérique des entités concernées :
Gestion des risques liés aux TIC
DORA exige des entités qu’elles mettent en place un cadre solide de gestion des risques liés aux TIC. Cela comprend :
- L’identification et la classification des actifs d’information
- La protection et la prévention contre les menaces potentielles
- La détection des anomalies et des incidents de sécurité qui impose d’avoir un SOC
- La mise en place de processus de réponse et de récupération
Les entreprises devront démontrer qu’elles ont une compréhension approfondie de leurs risques numériques et qu’elles disposent de stratégies efficaces pour les gérer.
Tests de résilience opérationnelle numérique
DORA introduit l’obligation de mener régulièrement des tests de résilience opérationnelle numérique. Ces tests peuvent inclure :
- Des analyses de vulnérabilité
- Des tests de pénétration
- Des exercices de simulation de crise
- Des tests de reprise après sinistre
L’objectif est de vérifier la capacité des entités à maintenir leurs opérations critiques face à des perturbations majeures.
Gestion des incidents et reporting
Un autre aspect de DORA est l’amélioration de la gestion des incidents et des processus de reporting. Les entités devront :
- Mettre en place des procédures de détection et de gestion des incidents liés aux TIC
- Classifier les incidents en fonction de leur gravité
- Signaler les incidents majeurs aux autorités compétentes dans des délais stricts
- Partager des informations sur les menaces et les vulnérabilités avec d’autres acteurs du secteur
Cette approche vise à améliorer la réactivité face aux incidents et à favoriser le partage d’informations au sein du secteur.
Les autorités compétentes pour recevoir les notifications d’incidents majeurs sont les Autorités Européennes de Surveillance (AES), à savoir :
- L’Autorité bancaire européenne (ABE)
- L’Autorité européenne des marchés financiers (AEMF)
- L’Autorité européenne des assurances et des pensions professionnelles (AEAPP)
Gestion des risques liés aux tiers et fournisseurs de services TIC
Reconnaissant la dépendance croissante aux fournisseurs de services cloud et autres prestataires TIC, DORA impose également des exigences strictes en matière de gestion des risques liés aux tiers. Cela inclut :
- L’évaluation rigoureuse des risques avant de s’engager avec un fournisseur
- La mise en place de contrats détaillés couvrant les aspects de sécurité et de résilience
- La surveillance continue des performances et de la conformité des fournisseurs
- La planification de stratégies de sortie en cas de défaillance d’un fournisseur critique
Implications de DORA pour les entreprises
Nouvelles exigences en matière de gouvernance et de gestion des risques
DORA impose de nouvelles exigences significatives en matière de gouvernance et de gestion des risques :
- Responsabilité accrue du conseil d’administration et de la direction dans la supervision des risques liés aux TIC
- Nécessité de disposer de politiques et de procédures documentées pour la gestion des risques numériques
- Obligation de mener des évaluations régulières des risques et de mettre à jour les stratégies de gestion des risques
Les entreprises devront intégrer la résilience opérationnelle numérique dans leur stratégie globale et leur culture d’entreprise.
Nécessité de renforcer les capacités de cybersécurité
Pour se conformer à DORA, de nombreuses entreprises devront considérablement renforcer leurs capacités de cybersécurité :
- Investissement dans des technologies de pointe pour la détection et la prévention des menaces
- Formation continue du personnel sur les questions de cybersécurité
- Mise en place d’équipes dédiées à la gestion des incidents et à la réponse aux crises. Cela peut être fait à travers un SOC ou un CERT externalisé.
- Développement de compétences internes en matière d’analyse des risques numériques
Impact sur les relations avec les fournisseurs de services cloud
DORA aura un impact significatif sur la manière dont les entreprises gèrent leurs relations avec les fournisseurs de services cloud et autres prestataires TIC :
- Nécessité de procéder à des évaluations plus approfondies des fournisseurs avant de s’engager
- Exigence de contrats plus détaillés couvrant les aspects de sécurité, de résilience et de conformité
- Obligation de mettre en place des processus de surveillance continue des fournisseurs
- Besoin de développer des stratégies de sortie robustes pour les services critiques
Les entreprises devront adopter une approche plus proactive et rigoureuse dans la gestion de leurs fournisseurs de services TIC, en veillant à ce que ces derniers respectent les normes élevées imposées par DORA.
DORA représente donc un changement important dans la manière dont les entreprises européennes, en particulier dans le secteur financier, abordent la résilience opérationnelle numérique. DORA offre également une opportunité de renforcer la cybersécurité, d’améliorer la confiance des clients et de contribuer à la création d’un écosystème numérique plus résilient en Europe.
Avec sa solide expérience dans les projets de conformité et des intervenants certifiés, Cloud Temple peut vous accompagner dans votre démarche de mise en conformité DORA. Contactez nos équipes