Javvad Malik, responsable de la sensibilisation à la sécurité chez KnowBe4, fait le point pour nos lecteurs sur le règlement sur la résilience opérationnelle numérique (DORA ou Digital Operational Resilience Act).
Depuis le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (DORA) est entré en vigueur dans l’ensemble des États membres de l’Union européenne. Son objectif essentiel est de renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les sociétés d’investissement. Pour ce faire, ce règlement vise à harmoniser les modalités de déclaration des incidents de cybersécurité, à tester la résilience opérationnelle et à encadrer les risques liés aux prestataires tiers.
Cependant, bien que DORA soit directement applicable dans toute l’UE, son application et son exécution varient d’un pays à l’autre. Certains États membres se sont rapidement adaptés au nouveau cadre en publiant des lignes directrices nationales et en introduisant des mesures de supervision supplémentaires. D’autres, en revanche, rencontrent des retards ou des difficultés à aligner leur dispositif réglementaire. Alors que les organisations se préparent à faire face à l’impact de DORA, il est essentiel de comprendre ses implications et les principaux éléments à prendre en compte pour s’y conformer.
En France, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité porté par Clara Chappaz, ministre déléguée chargée de l’Intelligence artificielle et du Numérique, marque une étape décisive dans l’adaptation du cadre législatif français aux nouvelles menaces numériques. Adopté le 4 mars 2024 par la commission spéciale du Sénat et adopté par les sénateurs le 12 mars, ce texte transpose trois directives européennes essentielles : la directive sur la résilience des entités critiques (REC), la directive Network and Information Security 2 (NIS 2) et le Digital Operational Resilience Act (DORA).
Le texte adopté par le Sénat doit passer en seconde lecture à l’Assemblée Nationale, où il pourra à nouveau être amendé, certains changements n’étant pas alignés avec les positions du gouvernement.
L’essence du règlement DORA
Fondamentalement, DORA vise à établir un cadre global de gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier. Il reconnaît que la dépendance croissante aux technologies numériques expose les institutions financières à de nombreuses cybermenaces, allant des violations de données aux interruptions de service. En imposant des exigences en matière de gestion des risques, de déclaration d’incidents et de supervision des tiers, DORA entend renforcer les défenses et la résilience du secteur.
Comment a-t-il été adopté ?
Bien que DORA s’applique uniformément dans l’UE, son application diffère selon les États membres. Chaque pays désigne ses propres autorités de supervision chargées de veiller à la conformité et de prononcer des sanctions, qui peuvent varier en gravité et en portée.
Des pays comme l’Allemagne et les Pays-Bas ont adopté une approche proactive en publiant des lignes directrices nationales détaillées et en renforçant les mécanismes de supervision pour faciliter la mise en conformité. En Allemagne, l’Autorité fédérale de supervision financière (BaFin) a mis en place un portail dédié avec des actes juridiques, des notes d’interprétation et une FAQ destinée à guider les institutions financières.
À l’inverse, certains États membres accusent des retards dans l’intégration de DORA à leur cadre réglementaire, en raison d’un manque de ressources ou de difficultés à faire évoluer la législation existante. Ces disparités compliquent la tâche des entités financières opérant dans plusieurs juridictions, qui doivent composer avec des niveaux d’application et des interprétations du règlement variables. Ce manque d’harmonisation pourrait encourager l’arbitrage réglementaire, les organisations profitant d’un encadrement moins strict dans certains pays — ce qui risque de compromettre l’objectif de DORA : un secteur financier harmonisé et résilient à l’échelle européenne.
Implications pour les organisations
Comme toute nouvelle législation ou exigence réglementaire, l’impact sur les organisations est vaste. Il leur a fallu réévaluer leurs dispositifs de contrôle et les aligner sur les nouvelles pratiques, en identifiant les recoupements éventuels avec d’autres cadres réglementaires. Tout écart constaté devra être comblé ou compensé par des mesures adaptées.
L’un des effets les plus significatifs de DORA réside probablement dans l’accent mis sur la résilience des prestataires de services tiers, tels que les fournisseurs de services cloud ou d’externalisation. Les entités financières doivent effectuer des diligences renforcées et assurer un suivi continu de leurs relations avec ces prestataires, afin de garantir qu’ils respectent les normes de sécurité requises.
Cette surveillance accrue devrait profondément remodeler le paysage des fournisseurs, les organisations se tournant davantage vers ceux qui peuvent démontrer de solides pratiques de cybersécurité et une conformité avec DORA.
Adopter l’esprit de DORA
Au-delà des exigences spécifiques, il est tout aussi important que les organisations adoptent l’esprit de cette réglementation. DORA ne se limite pas à une simple liste de contrôles techniques ; il incarne une nouvelle approche de la cybersécurité dans le secteur financier. Il reconnaît que la résilience ne consiste pas uniquement à prévenir les incidents, mais aussi à savoir les détecter, y répondre et s’en remettre efficacement.
Pour incarner pleinement l’esprit de DORA, les organisations doivent promouvoir une culture de sensibilisation et de responsabilité en matière de cybersécurité à tous les niveaux. Cela passe par la formation des collaborateurs à l’identification et au signalement des menaces potentielles, ainsi que par la mise en place de processus clairs de communication et de prise de décision pour la gestion des incidents. Une approche proactive de la gestion des risques est également indispensable, reposant sur une surveillance continue de la menace et une adaptation régulière des défenses.
En outre, les organisations devraient voir dans DORA une opportunité de renforcer leur posture en cybersécurité et de consolider la confiance de leurs clients et parties prenantes.
Perspectives
Désormais en vigueur, DORA impose aux institutions financières de passer de la préparation à la conformité effective, en répondant à ses exigences strictes. Cela implique une collaboration étroite entre les services informatiques, gestion des risques et conformité, afin de mettre en œuvre une approche holistique de la cybersécurité. De nombreuses organisations font également appel à des experts externes ou à leurs homologues du secteur pour affiner leurs pratiques et appréhender les subtilités de ce paysage réglementaire en mutation.
Toutefois, tandis que certains États membres ont intégré rapidement DORA à leur réglementation nationale, d’autres peinent à suivre, ce qui crée une incertitude pour les entités opérant à l’échelle transfrontalière. Ces dernières doivent rester agiles et capables de s’adapter à des niveaux de supervision réglementaire inégaux.
La réussite de DORA dépendra en définitive de la capacité du secteur financier à aller au-delà de la conformité formelle pour s’approprier pleinement ses principes. En développant une culture de la résilience, les organisations peuvent renforcer leurs défenses numériques et assurer leur stabilité opérationnelle à long terme dans un contexte de menaces cyber croissantes.
Avec des textes comme DORA, l’UE continue de montrer la voie en matière de transparence, de responsabilité et de résilience opérationnelle — établissant une nouvelle référence mondiale en matière de cybersécurité financière, même si certains États membres doivent encore rattraper leur retard.
