DORA c'est quoi ?

DORA est l'acronyme de Digital Opérational Resilience Act (Loi sur la résilience opérationnelle numérique), qui est un règlement européen de janvier 2022 visant à renforcer la résilience numérique du secteur financier. Il entrera en vigueur le 27 janvier 2025 en France.

Comme son acronyme l'indique, le règlement DORA vise à renforcer la résilience des entités financières face aux cyberattaques, dans le but d'assurer une continuité desdits services financiers, notamment ceux considérés comme essentiels, en cas d'incident de cybersécurité.

Le règlement vise également à améliorer la supervision des entités financières par les autorités compétentes et ce au niveau européen.

DORA c'est pour qui ?

Concrètement le règlement DORA s'applique à un large éventail d'entités, bien entendu du monde financier, mais pas uniquement.

De fait, les établissements de crédit (banques et autres) sont dans le périmètre de DORA, mais également les sociétés d'investissement (gestion de portefeuille et autres), les compagnies d'assurance, les fonds d'investissement, mais également les sociétés des TIC (Technologie de l'Information et de la Communication) qui assurent tout ou partie des services financiers proposés, par exemple les prestataires de services de paiement ou encore les opérateurs d'infrastructure de marché.

Plus de détails sont disponibles dans le texte de loi, que vous pouvez trouver sur le site de l'Union Européenne : eur-lex.europa.eu/legal-content

Les attendus de DORA.

Le règlement impose des exigences claires et contraignantes aux organismes entrant dans le périmètre de DORA, pour que ceux-ci gèrent efficacement le risque cyber et protègent leurs systèmes d'information contre les cyberattaques. La gestion de la cybersécurité par le risque est l'élément central de DORA.

Les différents axes composant DORA sont :

• La mise en place d'une stratégie de gestion des risques cyber. Véritable pilier du règlement, il vise à organiser la défense autour des risques identifiés pour l'entité,
• L'identification et l'analyse des cybermenaces. Ce processus doit être constant, et doit alimenter la mise à jour et la gestion des risques, et bien entendu déclencher les contre-mesures nécessaires pour y faire face,
• La mise en œuvre de mesures de sécurité techniques et organisationnelles, toujours en lien avec l'analyse des risques cyber de l'entité,
• Le test et la surveillance du système d'information. Ce processus vise à assurer un maintien en conditions opérationnelles, mais également un maintien en conditions de sécurité,
• La mise en place de plans de réponse aux incidents de cybersécurité, de gestion de crise de cybersécurité et globalement de gestion de la résilience de cybersécurité,
• La notification des incidents de cybersécurité aux autorités compétentes, au maximum 72h après l'apparition de l'événement,
• La vérification et la surveillance de la bonne mise en œuvre de la cybersécurité par les sociétés assumant tout ou partie de la mise en œuvre numérique des services proposés par l'entreprise, comme les prestataires de service de paiement, les hébergeurs de données, ou d'autres encore.

On risque quoi ?

Les entités qui ne respectent pas les exigences de DORA s'exposent à des sanctions financières importantes. Le montant maximum des sanctions est de 10 millions d'euros ou de 2% du chiffre d'affaires annuel mondial (le plus élevé des deux s'applique).

En plus de la sanction financière pouvant survenir en cas de non-respect, il y a bien entendu l'atteinte à la réputation de l'organisme en cas d'incident de cybersécurité majeur impactant gravement l'entité financière. Le monde financier reposant beaucoup sur la confiance portée par les clients envers leur établissement, une perte de confiance peut avoir des conséquences importantes.

S'ajoute à ces effets négatifs la potentielle interruption d'activité qui entrainera mécontentement des usagers du service mais également une perte financière importante et d'éventuels dommages à la clientèle.

Dans certains cas, les entités financières peuvent être tenues pour responsables des dommages causés à leurs clients par une cyberattaque. Cela peut entraîner des poursuites judiciaires et obligations d'indemnisation.

Comment on avance ?

En premier lieu, il est important d'évaluer votre situation au regard des enjeux portés par DORA. Il conviendra notamment de porter un regard attentif aux domaines sur lesquels votre entreprise a le plus à progresser pour être en accord avec le règlement. Ce seront ceux-ci qu'il faudra adresser en priorité !

La mise en place d'une gouvernance et d'une gestion des risques est un élément structurant que le règlement DORA vous demande de mettre en œuvre. Il conviendra donc d'organiser les responsabilités de cybersécurité au sein de votre entreprise, d'établir une stratégie cyber et une politique de gestion du risque cyber.

La mise en place d'une gestion des incidents de cybersécurité, d'une gestion des crises et globalement de la bonne résilience de votre organisme est primordiale. Il ne faudra bien entendu pas oublier les aspects de formation et de sensibilisation de vos collaborateurs, le renforcement de vos mesures de sécurité, le test et l'audit de vos systèmes, la gestion de la notification et du "reporting", la coopération avec les autorités et autres acteurs du secteur, et l'identification et la surveillance de vos sous-traitants TIC.

Pour tous ces axes, Besecure vous accompagne pour gagner en sérénité quant à leur réflexion, élaboration et mise en œuvre au sein de votre entité.