Règlement DORA : Les acteurs financiers face à leurs nouvelles obligations de résilience cyber

En ce début 2024, les systèmes d’information jouent un rôle critique au sein des institutions financières françaises. Véritables épines dorsales des banques, assurances et autres prestataires de services d’investissement, ils véhiculent quotidiennement des volumes colossaux de données hautement stratégiques.

Toutefois, à mesure que la dépendance technologique du secteur financier s’est accrue, les cyber menaces qui pèsent sur ses infrastructures critiques n’ont cessé de croître en sophistication comme en capacité de nuisance. Au point de faire peser un risque systémique sur la stabilité financière.

C’est dans ce contexte qu’a émergé la réglementation DORA au niveau européen, introduisant de nouvelles obligations pour le secteur financier en matière de gestion des risques technologiques. Tour d’horizon d’une réglementation qui entrera en application au 16 janvier 2025.

Ce que nous verrons dans cet article :

Qu'est-ce que la réglementation DORA ?

Le 14 décembre 2022, les législateurs de l’Union européenne ont adopté un dispositif réglementaire ambitieux visant à accroître la résilience opérationnelle des infrastructures numériques du secteur financier.

Composé d’un règlement (2022/2554) et d’une directive (2022/2556), ce paquet législatif innovant comporte des exigences uniformisées pour améliorer la gestion des cyber-risques auxquels sont confrontés les établissements financiers. En pratique, ces nouvelles règles contraignantes imposent aux acteurs financiers de renforcer leurs défenses technologiques et organisationnelles face aux cybermenaces croissantes.

Cette initiative stratégique s’inscrit dans le cadre de la politique de la Commission en matière de services financiers numériques. À mesure que l’industrie financière adopte les innovations technologiques pour son fonctionnement, la nécessité de garantir sa stabilité et la protection des consommateurs s’accroît.

D’où la volonté européenne de favoriser la transformation numérique tout en mitigeant les risques d’incidents.

Surnommé « règlement DORA » (pour Digital Operational Resilience Act), en référence au concept de résilience numérique opérationnelle, ce texte fondateur introduit donc de nouvelles règles contraignantes concernant la sécurité des réseaux et SI.

À noter également que ce règlement vient actualiser les législations sectorielles existantes (CRD IV, DSP2, IORP2, MiFID 2…) pour les aligner avec la réglementation DORA.

Qui est concerné par la réglementation ?

Le règlement DORA s’applique à une large palette d’acteurs financiers au sein de l’Union.

Etablissements financiers

Sans être exhaustif, sont notamment concernés par ces nouvelles obligations :

Les établissements de crédit ;
Les entreprises d’investissement ;
Les établissements de paiement ;
Les établissements de monnaie électronique ;
Les sociétés de gestion d’actifs ;
Les compagnies d’assurance et de réassurance ;
Les intermédiaires en assurance ;
Les gestionnaires de fonds de pension ;
Les conseillers en investissements financiers ;
Les agents liés.

Fournisseurs de services technologiques

De plus, le règlement DORA s’impose également aux fournisseurs de services technologiques opérant dans le secteur financier au niveau communautaire. Cela inclut les éditeurs de logiciels, les hébergeurs d’infrastructures critiques, les prestataires cloud et autres acteurs numériques contribuant au fonctionnement du système financier de l’UE.

Ainsi, la très grande majorité des institutions financières et des sociétés tierces partenaires sont soumises aux nouvelles exigences européennes en matière de résilience cyber des services essentiels. Une extension considérable du périmètre réglementaire qui témoigne de la volonté des autorités communautaires de ne laisser aucun maillon faible dans la chaîne de valeur numérique du secteur financier.

Que contient la réglementation DORA ?

Le règlement DORA s’articule autour de 5 principaux piliers :

La gestion du risque lié aux TIC

En amont, le texte oblige les institutions financières et prestataires concernés à cartographier précisément les risques numériques qui pèsent sur leurs systèmes d’information et à évaluer leur criticité.

Sur cette base, ils doivent définir et mettre en œuvre une stratégie globale d’atténuation des menaces ainsi que des plans de continuité d’activité.

La gestion et le reporting harmonisés des incidents liés aux TIC

Au cœur du règlement DORA se trouve l’harmonisation des processus de notification des incidents cyber affectant les entités financières.

Concrètement, ces dernières ont désormais l’obligation de définir et de mettre en œuvre une procédure interne de gestion des incidents liés à leurs systèmes d’information et à leurs réseaux.

Celle-ci doit permettre de détecter, qualifier et traiter tout incident ou cybermenace significatif. Sur la base de critères d’impact clarifiés prochainement par les autorités de régulation européennes, les établissements financiers devront classer ces événements par ordre de gravité.

Les incidents cyber majeurs devront être systématiquement notifiés aux autorités compétentes nationales, à l’aide d’un formulaire standardisé. Cette remontée d’informations régulière en cas d’incident grave vise à permettre une réaction coordonnée face aux crises systémiques.

Par ailleurs, les entités régulées pourront également partager volontairement des renseignements sur les cybermenaces, y compris lorsque celles-ci n’ont pas occasionné d’incidents techniques.

L’objectif est de permettre une meilleure compréhension des risques émergents à l’échelle du secteur financier.

Des tests de résilience numérique renforcés

Les entités financières dans leur ensemble ont également l’obligation de mettre en place un programme structuré de tests technologiques visant à évaluer la résilience opérationnelle de leurs systèmes d’information.

Ce dispositif complet doit intégrer différents types d’analyses, simulations, audits et outils pour tester aussi bien les composantes technologiques que les processus organisationnels.

L’objectif est d’éprouver la capacité de l’institution à maintenir ses activités critiques en cas de scénarii de crise cyber.

A minima, l’ensemble des applications et infrastructures numériques qui soutiennent des fonctions essentielles doivent faire l’objet d’une certification annuelle. Et ce, idéalement par des équipes d’audit indépendantes, qu’elles soient internes ou externes.

Par ailleurs, toutes les vulnérabilités ou défaillances remontées grâce à ces tests doivent être classifiées et donner lieu à des mesures correctives priorisées. La mise en œuvre des plans d’action sera revue de manière systématique.

En outre, les régulateurs pourront exiger (article 26) que certains établissements financiers d’importance vitale réalisent tous les 3 ans des tests d’intrusion de type TLPT (Threat-Led Penetration Testing). Une méthode sophistiquée centrée sur les cybermenaces les plus sérieuses et actuelles.

La gestion des risques liés aux prestataires de services TIC

On l’a esquissé, les exigences s’appliquent également aux fournisseurs technologiques externes, avec une responsabilité conjointe de l’institution financière.

Celle-ci doit s’assurer contractuellement que ses partenaires respectent les obligations réglementaires. Pour ce faire, les entités financières doivent, entre autres :

Élaborer une stratégie globale d’évaluation et d’atténuation des risques cyber induits par leurs partenaires technologiques
Consigner dans un registre dédié l’ensemble des informations relatives à leurs contrats passés avec des fournisseurs de services technologiques.
Procéder à un audit approfondi des tiers présélectionnés avant tout nouveau contrat, incluant une analyse des risques de dépendance excessive envers certains partenaires.
Assurer un suivi continu de la performance et de la conformité réglementaire des prestataires externes une fois la relation commerciale établie.

Le partage d’informations

Enfin, le texte prévoit des mesures pour favoriser les échanges d’informations entre acteurs publics et privés sur les menaces, les incidents et les mesures de protection.

L’objectif est de permettre une meilleure compréhension des risques à l’échelle du secteur financier européen.

À partir de quand doit-on appliquer le règlement DORA ?

Le règlement européen sur la résilience opérationnelle numérique va s’appliquer de manière contraignante dans tous les États membres de l’UE à compter du 17 janvier 2025.

D’ici là, la Commission continuera de publier des textes d’application visant à préciser certaines modalités techniques du règlement. Sur la base des recommandations déjà formulées par les autorités de régulation financière européennes, ces futurs actes délégués constitueront le second niveau de cette nouvelle législation.

Quant à la directive complémentaire, elle devra être transposée en droit national par chaque pays d’ici la date butoir, afin d’assurer la cohérence du cadre réglementaire.

Aussi, malgré l’entrée en vigueur dans un an, il est recommandé que les entités financières concernées ainsi que leurs partenaires initient dès à présent leur mise en conformité. Une analyse approfondie des nouvelles exigences et de leurs impacts tant opérationnels que stratégiques est indispensable.

Ce calendrier réglementaire contraint impose aux acteurs financiers de préparer et d’engager sans attendre le renforcement de leur résilience numérique, conformément aux obligations établies par le règlement DORA.

Les règles fondamentales de sécurité numérique

Sensibiliser et former

Documenter et procédurer

Sécuriser les postes

Sécuriser le réseau

Sécuriser l'administration

Gérer le nomadisme

Maintenir le SI à jour

Superviser, auditer, réagir

Au-delà du respect du règlement DORA, les institutions financières sont tenues de se conformer à un certain nombre de règles élémentaires en matière de sécurité numérique.

En France, l’Autorité des Marchés Financiers (AMF) impose aux acteurs de mettre en œuvre les recommandations essentielles de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

Ces mesures d’hygiène informatique visent à garantir une protection de base face aux cybermenaces les plus répandues et faciles à contrer techniquement.

On peut notamment citer :

Sensibiliser les utilisateurs aux bonnes pratiques élémentaires de sécurité informatique.
Disposer d’un inventaire exhaustif des comptes privilégiés et le maintenir à jour.
Définir et vérifier des règles de choix et de dimensionnement des mots de passe.
Privilégier une authentification forte.
Se protéger des menaces relatives à l’utilisation de supports amovibles.
Chiffrer les données sensibles transmises par voie Internet.
Protéger sa messagerie professionnelle.

Bien que relevant du bon sens, l’application rigoureuse de ces mesures élémentaires permet déjà de se prémunir contre une grande partie des attaques informatiques courantes et d’éviter des sinistres numériques aux conséquences néanmoins critiques.

Les bases de la sécurité du numérique constituent ainsi le socle à partir duquel construire une solide résilience digitale conformément au règlement DORA.

Comment Kincy peut vous aider

Forte de notre expérience en cybersécurité et des recommandations des institutions de référence (ANSSI, AMF, etc.), Kincy se positionne comme votre partenaire pour structurer votre démarche de résilience numérique de bout en bout :

Sensibiliser vos collaborateurs à tous les niveaux ainsi que vos prestataires externes, levier fondamental de la sécurité informatique.
Conduire des audits, déployer des outils : autant de prestations concrètes pour renforcer votre posture cyber.
Vous accompagner dans la gouvernance et dans l’implication de toutes les parties prenantes internes pour assurer l’adhésion au projet
Analyser vos risques numériques résiduels et préparer la gestion de crise cyber de grande ampleur.
Mettre en place un système d’amélioration continue pour pérenniser la démarche dans le temps et suivre les évolutions réglementaires.

La sécurité parfaite n’existant pas, l’objectif est de vous donner les moyens de réagir efficacement en cas d’incident majeur et de permettre une reprise rapide de l’activité.

En traitant le sujet de manière pragmatique et sur-mesure, Kincy fait de la conformité DORA un accélérateur de maturité globale.

Conclusion

Pour parer à l’accélération des risques cyber et renforcer la stabilité financière de l’Union Européenne, les législateurs ont ainsi décidé de hausser sensiblement le niveau d’exigence en matière de résilience numérique. L’adoption du règlement DORA crée donc un nouveau cadre contraignant applicable à l’écosystème financier dans son ensemble dès 2025.

Dorénavant, les dirigeants des institutions financières comme leurs homologues des entreprises technologiques sous-jacentes devront impérativement ériger la gestion du risque cyber comme une fonction stratégique de premier plan.

La mise en œuvre du règlement fondateur s’annonce donc délicate et source de bouleversements profonds des doctrines et organisations en place. Un accompagnement par des spécialistes rompus aux exigences du secteur apparaît dès lors incontournable pour transformer avec succès ce défi réglementaire en un projet créateur de valeur.

Pour accompagner votre mise en conformité réglementaire ou évaluer votre niveau actuel de maturité cyber, les experts de Kincy sont à votre disposition. Contactez-nous dès aujourd’hui pour un diagnostic personnalisé.

Des questions sur votre conformité réglementaire? Discutez-en avec notre RSSI