En 2020, au cœur de la pandémie de covid-19, plus de 85 % des cyberincidents concernaient le secteur tertiaire, dont 25 % pour les services financiers . Les tensions géopolitiques, principalement liées à la situation en Ukraine, n’ont fait que multiplier les actes de malveillance destinés à déstabiliser l’économie européenne. L’UE, consciente de cette vulnérabilité grandissante, adopte dès décembre 2022 un règlement de renforcement de la résilience numérique pour les services financiers : le règlement DORA (Digital Operational Resilience Act). Applicable au 17 janvier 2025, il précise les contours d’une cybersécurité coordonnée entre tous les organismes financiers du vieux continent.
- Une harmonisation proportionnée de la gestion des risques financiers dans l’UE
- 1ère Priorité : la gestion des risques liés aux technologies de l’information et de la communication
- 2ème priorité : la notification aux autorités compétentes des cybermenaces et incidents majeurs
- 3ème priorité : les tests de résilience informatique opérationnelle
- 4ème priorité : le partage d’informations et de renseignements en rapport avec la cybersécurité
- 5ème priorité : la gestion des risques liés aux prestataires tiers de services numériques
Une harmonisation proportionnée de la gestion des risques financiers dans l’UE
Le règlement DORA fait face aux dangers de la dématérialisation et de l’interconnexion des transactions. Il harmonise la prévention des risques de toutes les entités financières de l’Union européenne, selon un principe de proportionnalité : « (…)en tenant compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations ».
Il concerne :
- les établissements de crédit, de paiement ou de monnaie électronique ;
- les sociétés de gestion, d’investissements ;
- les entreprises et intermédiaires d’assurance et de réassurance.
En plus d’une volonté de transparence, le texte énumère ainsi ses objectifs : « (…)disposer de capacités globales permettant une gestion solide et efficace du risque (…), de mécanismes et de politiques spécifiques pour le traitement de tous les incidents (…), pour la notification des incidents majeurs (…), disposer de politiques pour le test des systèmes (…), ainsi que pour la gestion des risques liés aux prestataires tiers de services ».
Le règlement DORA s’articule ainsi autour de cinq priorités.
1ère Priorité : la gestion des risques liés aux technologies de l’information et de la communication
Les entités financières doivent intégrer un cadre précis de gestion des risques informatiques dans leur système global de sécurité, pour une réponse rapide et une résilience renforcée. Ce cadre inclut les stratégies et les outils protégeant les actifs critiques, préalablement identifiés et consignés. Ce plan doit fonctionner de manière autonome, être fréquemment contrôlé et actualisé afin d’appuyer les dispositions de l’entité et garantir sa sécurité. Une gouvernance interne est nommée pour assurer la protection des activités et la conformité aux normes réglementaires. Elle alloue les ressources nécessaires et supervise les relations avec les prestataires, pour garantir l’intégrité et la confidentialité du système d’information.
2ème priorité : la notification aux autorités compétentes des cybermenaces et incidents majeurs
Le règlement DORA impose aux entités financières de mettre en place des procédures de notification immédiate des risques numériques. Leurs responsables doivent assurer la transparence et la réactivité face aux incidents, en informant les autorités réglementaires sans délai. Cette obligation vise à garantir une prise de décision éclairée et une intervention rapide des autorités, minimisant l’impact des cyberattaques et de tous les incidents pouvant nuire à la continuité des échanges.
3ème priorité : les tests de résilience informatique opérationnelle
DORA exige des entités financières la réalisation de tests réguliers pour évaluer leur capacité à résister et se rétablir après des perturbations. Ces tests permettent d’identifier les vulnérabilités et d’améliorer les stratégies de réponse. La gouvernance interne joue un rôle essentiel dans l’organisation de ces tests, veillant à ce que les plans de rétablissement soient prêts à être déployés. L’objectif est de préserver l’activité des services financiers afin de protéger les intérêts des clients et des États membres de l’UE.
4ème priorité : le partage d’informations et de renseignements en rapport avec la cybersécurité
Le règlement DORA renforce le rôle des autorités européennes de supervision (AES) dans la maîtrise des risques cyber au sein des entités financières. Ces autorités ont le pouvoir d'exiger des informations, de réaliser des inspections et d'imposer des mesures correctives en cas de non-conformité. La collaboration étroite entre les gouvernances et les régulateurs centraux permet une mise en œuvre unifiée des normes de résilience numérique. Les entités sont tenues de fournir régulièrement des rapports normalisés sur leur posture de sécurité digitale et de participer activement aux initiatives de partage d'informations autour des menaces et des meilleures cyberpratiques.
5ème priorité : la gestion des risques liés aux prestataires tiers de services numériques
Les entités financières doivent évaluer et gérer les risques associés à l'externalisation des services informatiques. Le règlement DORA demande une surveillance constante des prestataires tiers, y compris des mesures de contrôle et d'audit. Les contrats doivent refléter les impératifs de sécurité et de résilience, et prévoir des clauses pour assurer la continuité des services en cas de défaillance du fournisseur. Les dirigeants doivent choisir des partenaires de confiance et qualifiés, qui respectent les normes de sécurité strictes du secteur financier.
Dans son règlement DORA, l’Union européenne insiste sur l’importance de la gouvernance interne dans l’application des principes de cybersécurité au sein des services financiers. Dès le début de l’année 2025, les AES pourront exiger des informations sur la mise en œuvre des directives. Au même moment, la Banque Centrale européenne entamera une première vague de tests de résilience sur une centaine de services financiers[1]. Les entités de toutes tailles doivent expressément intégrer les critères du règlement DORA, à l’échelle de leur criticité dans le système financier continental. ib Cegos vous permet d’organiser l’entrée en vigueur de cette nouvelle réglementation en vous invitant à sa formation préparatoire à l’implémentation du règlement DORA.
[1] : https://www.lesechos.fr/finance-marches/banque-assurances/face-a-la-menace-cyber-la-bce-teste-la-resistance-des-banques-2037480
