DORA : Un nouveau cadre pour la résilience numérique des acteurs financiers

Le règlement DORA (Digital Operational Resilience Act) est une initiative européenne visant à renforcer la résilience numérique des acteurs financiers. Entré en vigueur en janvier 2023, DORA sera pleinement appliqué à partir de janvier 2025. Ce règlement impose des exigences strictes en matière de gestion des risques, de résilience numérique et de conformité pour les institutions financières de l'Union européenne. L'application de ce règlement constitue également un défi pour les compagnies, avec des problématiques et des écueils à éviter. 
Retour sur les principaux enseignements. 

Un objectif d’harmonisation fondé sur de nombreux piliers et acteurs  

DORA a pour objectif principal d'harmoniser les pratiques de gestion des risques à travers l'Europe et de fournir un cadre d'échange entre les acteurs financiers. Il met l'accent sur la résilience, définie comme la capacité d'une entreprise à contenir et à restaurer ses systèmes en cas d'incident. Le règlement vise également à renforcer la souveraineté numérique de l'Europe. Il assure que les acteurs financiers puissent répondre aux exigences de résilience et de sécurité.

Quels sont les acteurs concernés ?

‍

‍

DORA s'applique à un large éventail d'acteurs financiers, y compris :

• Les établissements de crédit
• Les institutions de paiement
• Les entreprises d'investissement
• Les gestionnaires de fonds
• Les fournisseurs de services de paiement

Les 5 piliers du règlement DORA

1. DORA impose un renforcement des pratiques de gestion des risques liés aux systèmes d'information. Les institutions doivent mettre en place des stratégies robustes pour identifier, évaluer et gérer les risques opérationnels et de cybersécurité.
2. Le règlement exige l'amélioration des procédures de gestion des incidents de sécurité et IT. Les institutions doivent être capables de détecter, de répondre et de récupérer rapidement après un incident. Cela inclut la mise en place de processus de notification des incidents aux autorités de régulation.
3. DORA requiert la conduite de tests de résilience numérique pour s'assurer de la robustesse des systèmes. Ces tests doivent être effectués régulièrement et en conditions réelles pour évaluer l'efficacité des dispositifs de résilience.
4. Le règlement encadre strictement la gestion des fournisseurs, y compris la cartographie et le suivi des fournisseurs critiques. Les institutions doivent s'assurer que leurs fournisseurs respectent les mêmes normes de résilience et de sécurité.
5. DORA impose des délais stricts pour la déclaration des incidents de sécurité. Les institutions doivent définir des critères de classification des incidents et respecter les délais de notification aux autorités compétentes.

L'adoption du règlement DORA marque un tournant pour la résilience numérique des acteurs financiers européens. En vigueur depuis janvier 2023, il impose des exigences strictes en matière de gestion des risques et de sécurité, avec une application complète prévue pour janvier 2025. Il s’agit désormais d’établir les stratégies concrètes pour se conformer à DORA et les écueils à éviter pour assurer une transition efficace vers une résilience numérique renforcée.

‍