DORA : Quand la conformité explore la finance

Les chiffres ne mentent jamais ! Le deuxième secteur le plus ciblé en 2023 en termes de piratage et de violations est celui de la finance, qui a été victime de 2 306 à 2 792 cyberattaques (selon la source). Lors de la même année, 77% des organisations financières ont détecté des cyber incidents, étant bien au-delà de la moyenne des autres secteurs (68%). Chaque violation de données coûtant en moyenne 6,08 millions de dollars (+3,05 % par rapport 2022), il est clair qu’il s’agit d’une priorité absolue pour les responsables de la sécurité informatique et de la conformité. Ces compromissions (attaques + erreurs humaines et erreurs de système) ont affecté 61 millions de personnes en 2023, ce qui représente une augmentation fulgurante de 258% depuis 2018.

Malgré le nombre croissant de réglementations et de processus mis en place pour contrôler et protéger le secteur, les organisations de services financiers ont le nombre moyen le plus élevé de fichiers sensibles exposés ( 450 000), et plus de 64% de ces entreprises ont plus de 1 000 fichiers critiques accessibles à n’importe quel employé.

Pour répondre aux cybermenaces permanentes, l’UE a adopté en 2020 la loi sur la résilience opérationnelle numérique, connue sous l’acronyme DORA.

Qu’est-ce que la loi DORA ?

La loi sur la résilience opérationnelle numérique entrera en vigueur le 17 janvier 2025. Elle est une réponse à la vulnérabilité croissante des institutions financières aux cyberattaques, à mesure qu’elles intègrent de plus en plus de technologies dans leurs opérations. La résilience opérationnelle numérique de ce secteur est cruciale, car les risques liés aux technologies de l’information et de la communication (TIC) mal gérés peuvent entraîner des perturbations dans les services financiers transfrontaliers, affectant diverses industries et la société dans son ensemble.

 L’objectif de DORA est donc de renforcer la sécurité informatique des institutions financières telles que les banques, les assureurs, les entreprises d’investissement, les prestataires de services de paiement et leurs services TIC, afin de garantir la solidité du secteur financier européen en cas de perturbations opérationnelles majeures.

 Faisant partie du Paquet Finance Numérique de l’UE adopté en 2020, DORA complète d’autres réglementations européennes comme le RGPD et la Directive NIS, contribuant à un écosystème financier plus sûr et plus résilient.

Qui doit se conformer à la DORA ?

On estime que 22 000 sociétés financières européennes, fournisseurs de services TIC, ainsi que des structures TIC de soutien en dehors de l’UE doivent se conformer à la DORA.

Comment fonctionne DORA ?

Alors que les exigences réglementaires de DORA continuent d’évoluer, les institutions financières doivent mettre en place un cadre solide pour la résilience opérationnelle, la gestion des risques et la réponse aux incidents. La complexité croissante des obligations réglementaires et la nécessité d’une conformité efficace et interconnectée dans l’ensemble du secteur financier exigent une approche unifiée et automatisée de la gestion de la résilience et des risques.

La loi DORA normalise les réglementations en matière de résilience opérationnelle pour 20 types différents d’entités financières et de fournisseurs de services TIC tiers au sein du secteur financier.

La loi couvre six domaines clés :

1. Tests de résilience opérationnelle numérique
   - Tests de faible et haute intensité
2. Incidents liés aux TIC
   - Des exigences fondamentales sont définies pour les technologies de l’information et de la communication
   - Obligations de déclaration d’incidents en cas de perturbations majeures des TIC
3. Gestion des risques liés aux TIC
   - Principes directeurs et exigences réglementaires pour la gestion des risques liés aux TIC
4. Gestion des risques liés aux TIC pour les tiers
   - Surveillance des prestataires de services tiers
   - Clauses contractuelles essentielles
5. Partage d’informations
   - Échange de renseignements sur les cybermenaces
6. Supervision des fournisseurs tiers essentiels
   - Cadre réglementaire pour les services TIC critiques fournis par des tiers

Sanctions en cas de non-respect de la loi DORA

Le non-respect des exigences de la loi peut avoir de graves conséquences financières pour les parties suivantes :

• Les entreprises : Jusqu’à 2 % du chiffre d’affaires annuel mondial OU jusqu’à 1 % du chiffre d’affaires journalier moyen au niveau mondial
• Personnes physiques : Jusqu’à 1 000 000 €.
• Fournisseurs de services TIC tiers : Jusqu’à 500 000 euros pour les particuliers et 5 000 000 € pour les entreprises

Les défis à relever pour se conformer à la loi DORA

Rome ne s’est pas construite en un jour, et il en va de même pour votre résilience opérationnelle. Le vaste champ d’application de la loi DORA, qui couvre diverses entités financières et fournisseurs tiers, pose d’importants problèmes de conformité, en particulier pour les petites entreprises.

• Complexité de la mise en œuvre : La loi DORA exige des institutions financières qu’elles révisent leurs cadres opérationnels, ce qui implique souvent l’intégration de nouveaux systèmes de gestion des risques et de signalement des incidents
• Gestion des risques liés aux tiers : La surveillance stricte des fournisseurs tiers prévue par la loi DORA accroît la complexité, surtout lorsqu’il s’agit de grands fournisseurs de services internationaux
• Le signalement des cyber incidents : Les exigences strictes du DORA en matière de rapports, en particulier les délais serrés pour les notifications initiales et intermédiaires, peuvent être difficiles à respecter, en particulier lors de cyberattaques à grande échelle
• L’intensité des ressources : La mise en conformité avec la loi DORA exige d’importantes ressources financières et humaines, notamment l’embauche de nouveaux employés, l’investissement dans la technologie et la formation continue. Les petites entreprises peuvent être confrontées à des difficultés particulières
• Conformité et mise en œuvre à l’échelle de l’UE : La mise en œuvre d’une conformité uniforme dans l’ensemble des États membres de l’union européenne, chacun disposant de son propre cadre réglementaire, peut s’avérer difficile pour les entreprises multinationales. La coordination avec les autorités nationales alourdit les charges administratives
• Tests de résilience opérationnelle : Les tests continus des systèmes TIC, y compris les tests de pénétration et les tests de résistance, demandent beaucoup de ressources et peuvent perturber les opérations s’ils ne sont pas gérés avec soin
• Évolution du paysage des cybermenaces : Suivre l’évolution du paysage des cybermenaces tout en adhérant aux exigences strictes du DORA exige une vigilance constante
• Protection des données et de la vie privée : Le signalement et la surveillance des incidents impliquent le traitement de données sensibles, ce qui nécessite de se conformer à la DORA et au RGPD
• Coordination avec les réglementations existantes : L’alignement du DORA sur les réglementations internationales et nationales en vigueur, sans créer de chevauchements ou de conflits, est une tâche complexe

Les prochaines étapes

Comme indiqué précédemment, la loi entrera en vigueur à la mi-janvier 2025. Toutefois, vous pouvez d’ores et déjà planifier vos actions afin d’éviter tout désagrément de dernière minute. Confier à une technologie spécialisée le soin de répondre aux exigences de la DORA peut vous épargner bien des tracas et de la précipitation.

NAVEX One, une plateforme GRC de premier plan, permet aux organisations financières de répondre à ces exigences critiques. Grâce à des processus centralisés, une intelligence des données avancée et des solutions sur mesure, NAVEX aide les institutions financières de toutes tailles à atteindre la conformité et la résilience opérationnelle.

Vous souhaitez en savoir plus sur la manière de se conformer à la loi DORA et sur la façon dont NAVEX peut vous aider ? Téléchargez notre manuel tactique maintenant !

Télécharger le playbook DORA