Aller au contenu
Accueil » DORA : secteur financier Européen face au défi cyber

DORA : secteur financier Européen face au défi cyber

IMAÏA | DORA : secteur financier Européen face au défi cyber

Adopté fin 2022 par l’Union européenne, le Digital Operational Resilience Act (DORA) est entré en vigueur vendredi 17 janvier. L’objectif ? Consolider la sécurité numérique du secteur financier et de ses entreprises face aux menaces, mais aussi rendre ses entreprises et ses acteurs plus résilients en cas d’attaque. Une nouvelle réglementation dont la mise en œuvre, complexe, a dû se faire de manière accélérée pour les entreprises du secteur face au défi cyber.

DORA : d’où vient l’idée ?

L’idée du Digital Operational Resilience Act (DORA) trouve son origine dans la nécessité croissante de renforcer la résilience opérationnelle des entités financières face aux cybermenaces et aux perturbations numériques.

En réponse à l’augmentation des cyberattaques et des risques technologiques, ainsi qu’à l’interconnexion croissante des systèmes financiers, l’Union européenne a proposé DORA en 2020 dans le cadre de sa stratégie pour une finance numérique plus sûre visant à augmenter le niveau d’exigence de chaque acteur et de limiter le risque de contagion.

DORA : à qui s’adresse-t-elle ?

La réglementation DORA oblige presque toutes les entreprises du secteur financier à s’y conformer :

  • En première ligne :
    • Les banques
    • Les assurances
    • Les courtiers.
  • Mais aussi :
    • Les infrastructures des marchés financiers
    • Les sociétés de gestion de portefeuille
    • Les établissements du paiement.

DORA : que contient-t-elle ?

Le règlement DORA renforce d’abord les exigences des acteurs financiers en matière de gestion des risques informatiques en imposant une organisation structurée, des contrôles appropriés et une gouvernance efficace. Il précise également les démarches à suivre en cas d’incident : les établissements concernés doivent évaluer la gravité de l’incident – critique ou non – et, si celui-ci est jugé suffisamment grave, le notifier à leur autorité de tutelle, comme l’ACPR pour les banques et assurances ou l’AMF pour les marchés financiers, dans un délai de quatre heures.

DORA introduit également des tests de résilience : les entités assujetties devront, par exemple, recourir à des experts en cybersécurité, tels que des hackers éthiques, pour évaluer la robustesse de leurs systèmes. L’application progressive de ces différentes obligations a débuté le 17 janvier.

En cas de non-conformité, « les organisations risquent des amendes pouvant atteindre 2 % de leur chiffre d’affaires annuel mondial ou 10 millions d’euros, selon le montant le plus élevé », avertit Madelein van der Hout.

DORA : secteur financier Européen face au défi cyber

Le secteur perçoit, sans grande surprise, DORA comme une couche réglementaire supplémentaire impliquant un investissement conséquent en temps et en argent. « DORA coûte cher », reconnaît François Faure, qui évoque « plusieurs années de travail » nécessaires dans les banques depuis la publication des premiers textes.

Ces dépenses, a averti Nicolas Jeanmart, lobbyiste d’Insurance Europe, lors d’une conférence organisée par France Assureurs le 19 décembre dernier, seront finalement répercutées sur les consommateurs.

Par ailleurs, certaines implications de la réglementation DORA continueront de mobiliser l’attention des juristes et des responsables des achats du secteur financier, contraints de réviser leurs contrats avec les prestataires informatiques pour y inclure de nouvelles clauses types.

Et pour les géants de la Tech ? 

Les entités financières sont désormais obligées d’imposer, via des contrats, des obligations précises à leurs prestataires de services en technologies de l’information et de la communication. Ces obligations couvrent notamment la protection et l’accès aux données, la gestion des incidents informatiques, la continuité des activités ou encore les modalités de résiliation.

Cependant, obtenir un droit d’audit effectif auprès de géants de la Tech comme Microsoft ou Amazon reste un défi, même pour des clients disposant d’une capacité de négociation significative. Ces fournisseurs informatiques dits « critiques » — une petite vingtaine dans le contexte européen — seront également soumis à la supervision d’une autorité spécifique, dirigée par le Français Marc Andries. 

Enfin, la mise en œuvre de la réglementation DORA promet de mobiliser durablement les juristes et responsables des achats des institutions financières, qui devront réviser leurs contrats avec ces prestataires pour y inclure les nouvelles clauses standard exigées.

Sources : CHALLENGES

                   EUROPE1

 

Étiquettes:

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *