DORA : enjeux et points d’attention pour les directions financières

Le règlement européen DORA (Digital Operational Resilience Act) vise à établir des normes uniformes pour garantir la sécurité des infrastructures numériques critiques dans le secteur financier. Décryptage de ce texte et de ses implications par Lamine Ba, responsable du pôle audit et conseil SI du groupe Exponens pour DafMag.fr.

Défis du secteur financier et réponses de la réglementation DORA

En raison d’une transformation digitale sans précédent induite par l’ouverture des systèmes d’information, le secteur financier est en pleine évolution. Cette transformation, si elle offre de nouvelles opportunités, expose également à de nouveaux risques, notamment en matière de cybersécurité et de résilience opérationnelle. C’est dans ce contexte que le règlement européen sur la résilience opérationnelle numérique (DORA) a été adopté en novembre 2022.

Il vise à renforcer la capacité des acteurs du secteur financier à prévenir, détecter et réagir aux incidents impactant les SI et à garantir la continuité de leurs services critiques du fait des cybermenaces, de la dépendance aux technologies surtout critiques (comme le cloud, l’IA, les objets connectés, etc.) et du fait de la très forte interconnexion des SI grâce aux API.

La réglementation, qui est une étape importante pour le secteur financier européen, a pour objectif d’organiser le renforcement de la cybersécurité à travers l’imposition d’exigences strictes incitant les entités financières à adopter :

– d’une part, une culture de sécurité proactive ;

– d’autre part, une harmonisation des règles mettant fin à la fragmentation du paysage réglementaire européen, favorisant ainsi la création d’un marché unique plus stable et plus compétitif.

En outre, ce règlement renforce la supervision européenne à travers la mise en place d’un comité européen de surveillance dédié, pour une application plus cohérente de la réglementation et pour permettre le partage des meilleures pratiques.

Enfin, DORA aide les entités financières à mieux gérer les risques TIC (technologies de l’information et de la communication) en les incitant à adopter une approche plus holistique de cette gestion des risques en considérant tous les aspects liés à la résilience opérationnelle. Ainsi, le texte entraîne une confiance accrue des clients dans les services financiers.

Forces et faiblesses du texte

Ce règlement vient intensifier la capacité des entités financières à absorber les chocs et à continuer de fonctionner en cas de perturbations majeures des systèmes informatiques.

En ce sens, il dispose de forces indéniables desquelles le secteur financier pourrait tirer parti. Parmi ces points forts, nous pouvons noter l’approche globale de DORA qui couvre l’ensemble des risques liés aux TIC, y compris les cyberattaques, les défaillances techniques et les interruptions de service. L’harmonisation des règles et le fait surtout que DORA soit un règlement (d’application directe dans les États membres) et non une directive constituent indubitablement un levier puissant pour la promotion d’un marché unique plus stable et plus compétitif pour tout le secteur financier. Enfin, une force et non des moindres de ce texte est la promotion d’une culture de la cybersécurité au sein de l’Union européenne en encourageant les institutions financières à l’acculturation de leurs collaborateurs aux nouveaux risques numériques.

À l’opposé, ce texte nécessite un coût de…

Source : Tribune de Lamine Ba dans DafMAG.fr – 19 mars 2024