1. explications sur le règlement DORA
Le règlement européen sur la résilience opérationnelle numérique « DORA » pour Digital Operational Resilience Act entrera en vigueur à partir du 17 janvier 2025. C’est une réponse directe aux menaces croissantes pesant sur les entités financières. Ce cadre réglementaire vise à renforcer la sécurité des entreprises face aux cyberattaques et aux perturbations liées aux technologies de l’information et de la communication (TIC).
DORA couvre un large éventail d’organisations financières, incluant non seulement les banques, mais aussi les sociétés d’investissement, les fournisseurs de services de crypto-actifs, ainsi que les entreprises travaillant avec des fournisseurs tiers comme les centres de données ou les opérateurs de cloud.
Ce règlement impose une harmonisation des pratiques de gestion des risques à travers l’Union Européenne. L’objectif principal est de garantir une résilience opérationnelle du secteur financier, face aux cybermenaces tout en favorisant la collaboration au sein des entreprises et entre elles, et en incitant au partage d’informations sur la cybersécurité.
2. les impacts pour l’entreprise et les délais
Le règlement DORA a un impact majeur sur les entreprises financières en définissant 5 piliers essentiels pour prévenir les risques, en prenant mieux en compte les fournisseurs tiers :
- La gestion des risques liés aux technologies de l’information et de la communication (TIC),
- La notification, aux autorités compétentes, des incidents majeurs liés aux TIC et des cybermenaces importantes,
- Les tests de résilience opérationnelle numérique,
- Le partage d’informations et de renseignements en rapport avec les cybermenaces et les cyber-vulnérabilités,
- Les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC.
DORA attribue une grande responsabilité à la direction des entreprises, qui devra élaborer des stratégies solides pour la gestion des risques et garantir leur bonne mise en œuvre. Si ces obligations ne sont pas respectées, les dirigeants peuvent être personnellement tenus responsables, notamment en cas de négligence ou de violations graves.
En outre, les entreprises devront classer et gérer les incidents TIC en fonction de leur criticité et de leur impact sur leurs services et leurs clients. Elles seront tenues de notifier les autorités compétentes en cas d’incidents critiques, selon un processus structuré de notifications initiales, intermédiaires et finales.
Délais à respecter :
Les entreprises financières ont jusqu’au 17 janvier 2025 pour se conformer aux exigences de DORA. Ce délai semble serré pour de nombreuses organisations, surtout celles qui n’ont pas encore commencé à adapter leurs processus.
3. comment se préparer à DORA ?
La préparation à DORA doit commencer dès maintenant afin de garantir une conformité dans les délais impartis. Voici les étapes essentielles pour se préparer efficacement :
- Cartographie des risques et gestion des tiers : Réalisez une analyse complète des risques liés aux TIC, y compris les risques associés aux fournisseurs tiers. Les entreprises doivent également s’assurer que tous leurs partenaires respectent les mêmes exigences de sécurité. Mettez en place des clauses de sécurité et des droits d’audit dans les contrats avec vos fournisseurs pour anticiper les incidents.
- Renforcer la gouvernance : DORA impose une implication active de la direction dans la gestion des risques cyber. Organisez des formations pour les membres du conseil d’administration afin de les sensibiliser aux cybermenaces et aux enjeux spécifiques liés à la résilience numérique.
- Effectuer des tests réguliers : Les entreprises doivent effectuer des tests de pénétration basés sur des scénarios d’incidents pour évaluer leur résilience face aux attaques. Ces tests devront être menés annuellement, et des évaluations plus poussées tous les trois ans.
- Plans de gestion des crises : Mettez en place des plans de gestion de sortie de crise en cas de panne ou d’incidents graves. Ceux-ci doivent être régulièrement testés pour garantir leur efficacité et leur capacité à rétablir les services critiques en cas de perturbations.
- Surveillance continue : Implémentez des systèmes de surveillance, comme un SOC, pour suivre les incidents TIC et répondre rapidement en cas de besoin.
Le règlement DORA est une opportunité pour le secteur financier de solidifier ses défenses face aux cyberattaques et d’améliorer sa résilience opérationnelle. Se préparer efficacement permettra aux entreprises d’atténuer les risques tout en respectant les délais imposés par cette nouvelle législation. Contactez-nous pour mettre en place des mesures de cybersécurité au niveau requis, pour former votre direction ou rédiger et renforcer votre PSSI (plan de sécurité de votre système d’information).
