Accueil Cybersécurité AVIS D’EXPERT – Les entités financières concernées par DORA : exigences et...

AVIS D’EXPERT – Les entités financières concernées par DORA : exigences et mise en conformité pour 2025

Image par Tumisu de Pixabay
Julien Grès

Julien Grès, consultant cybersécurité spécialiste en protection des données chez Fidens by TVH Consulting, revient pour nos lecteurs sur le Digital Operational Resilience Act. Quelles organisations sont concernées ? Et quelles protections cyber doivent-elles mettre en place ?

 

 

 

Le 17 janvier 2025, date d’entrée en vigueur du Digital Operational Resilience Act (DORA) marque un tournant décisif pour les institutions financières et, plus largement, pour l’ensemble des entreprises européennes. Face à la multiplication et à la sophistication croissante des cyberattaques, cette réglementation vise à renforcer la résilience numérique des organisations. Les autorités de supervision, comme l’ACPR (Autorité de contrôle prudentiel et de résolution) en France, pourront initier les premiers contrôles de conformité.

Selon une étude de l’Agence de l’Union européenne pour la cybersécurité (ENISA), plus de 75 % des entreprises européennes ont signalé une augmentation des incidents de sécurité informatique en 2023. Ces attaques, qui coûtent des milliards d’euros chaque année, ne se contentent pas de fragiliser les finances des organisations, elles sapent également la confiance des clients et des partenaires.

DORA extension de NIS2 sur la continuité des activités financières impose des obligations accrues en matière de gestion des risques, de continuité d’activité et de surveillance des prestataires tiers. L’objectif ? Aller au-delà de la simple protection des systèmes pour garantir une résilience robuste face aux perturbations.

Les entités financières concernées par DORA sont actuellement classées dans 21 catégories (liste complète). Pour simplifier leur lecture, elles peuvent être regroupées en huit grandes familles :

  1. Établissements de crédit: il s’agit des banques traditionnelles, mais aussi d’autres institutions financières qui octroient des crédits.
  2. Entreprises d’investissement: ces entreprises sont impliquées dans des activités d’investissement, telles que le conseil en investissement, le négoce de valeurs mobilières, etc.
  3. Établissements de paiement et de monnaie électronique: ces entités facilitent les paiements électroniques et la gestion de la monnaie électronique.
  4. Sociétés de gestion: elles gèrent des actifs pour le compte de tiers, comme les fonds de pension ou les fonds d’investissement.
  5. Entreprises d’assurance et de réassurance: ces organisations offrent une protection financière contre divers risques.
  6. Intermédiaires d’assurance et de réassurance: ils jouent un rôle de médiateur entre les assureurs et les assurés.
  7. Prestataires de services de crypto-actifs: les plateformes d’échange de cryptomonnaies et les fournisseurs de portefeuilles numériques sont concernés.
  8. Fournisseurs de services TIC tiers: les entreprises qui fournissent des services informatiques aux entités financières sont visées par DORA.

Une attention particulière doit être portée sur la dernière catégorie, celle des intervenants tiers. Elle représente en effet des organisations intermédiaires avec des structures qui peuvent être modestes, comme les moyens à leur disposition pour mettre en œuvre la cyber résilience. Ces structures ont souvent besoin de se faire accompagner pour établir un Système de Management de la Sécurité de l’Information (SMSI) et initier une gouvernance de la cybersécurité.

Principales exigences de DORA

DORA vise à instaurer une harmonisation des règles européennes applicables aux acteurs du secteur financier en matière de résilience opérationnelle et de cybersécurité. Cette résilience est définie comme la capacité d’une entité financière à maintenir, renforcer et évaluer en continu l’intégrité et la fiabilité de ses opérations. Ce qui inclut l’utilisation directe ou via des prestataires tiers des technologies nécessaires pour sécuriser ses réseaux et systèmes d’information, garantissant ainsi une fourniture ininterrompue et de qualité des services financiers, même en cas de perturbation.

En d’autres termes, il s’agit de la capacité à assurer la continuité des activités opérationnelles de son système d’information (SI). Cette réglementation impose donc aux acteurs concernés des règles spécifiques en matière de cybersécurité, qui se présentent comme une lex specialis du cadre strict établi par la directive NIS 2, pouvant elle-même s’analyser comme inspirée par la norme ISO 27001.

Les exigences de DORA s’articulent autour de cinq piliers principaux :

  • Gestion des risques liés aux TIC: identification et atténuation des risques associés aux technologies de l’information et des communications (TIC).
  • Gestion des incidents TIC: mise en place de processus pour détecter, signaler et résoudre les incidents liés aux TIC.
  • Tests de résilience: vérification régulière des capacités de résilience opérationnelle face aux cybermenaces.
  • Gestion des prestataires de services TIC: encadrement des risques liés aux fournisseurs, avec un focus particulier sur les fonctions critiques ou importantes.
  • Partage d’informations sur les menaces: favoriser la collaboration et l’échange d’informations pour mieux anticiper et contrer les cybermenaces.

Mise en œuvre des exigences de DORA

Les exigences établies par DORA s’appuient largement sur les bonnes pratiques existantes en matière de cybersécurité, et notamment sur les principes des normes ISO 27001 et 27002 en ce qui concerne la gestion de la sécurité de l’information. On peut également rapprocher DORA du cadre TIBER-EU, particulièrement en ce qui concerne le choix des prestataires pour les tests de pénétration.

Un des chantiers prioritaires dans la mise en œuvre de DORA réside donc dans la gestion des risques cyber, gestion qu’il semble de plus en plus judicieux d’implémenter au travers d’un SMSI (système de management de la sécurité de l’information). Ainsi, les risques identifiés dès la conception du SMSI pourront être intégrés aux analyses de risque spécifiques prévues par DORA.

Cependant, une distinction clé réside dans la définition du risque dans le cadre de DORA : il ne s’agit pas uniquement de risques cyber, mais plutôt d’une vision transversale des risques financiers, tels qu’ils concernent l’ensemble des établissements financiers. Ce qui nécessite une consolidation efficace des différents types de risques et une articulation avec des méthodologies parfois distinctes, afin de garantir une approche intégrée et alignée avec les exigences financières spécifiques du texte.

Peu importe les travaux réalisés, il faudra en effet que la gestion du risque cyber alimente la gestion du risque transverse, et non pas qu’elle prenne l’ascendant sur cette dernière.

En conclusion, les acteurs financiers doivent adopter une approche systématique et coordonnée pour se conformer aux exigences de DORA. Cela implique une gouvernance renforcée, des investissements dans les technologies et une collaboration accrue avec les prestataires tiers, tout en maintenant une vision équilibrée entre les différents risques financiers.