Actualités

Le règlement DORA décrypté : ce que vous devez savoir

Published

17 janvier 2025

Read time

5 minutes

Qu'est-ce que le DORA ?

Le DORA ou Digital Operational Resilience Act est un règlement adopté par l'Union européenne qui vise à consolider la résilience numérique des acteurs financiers, notamment en matière de gestion des risques technologiques, de cybersécurité et de continuité des services critiques.

Son objectif principal est de garantir que le secteur financier soit capable de maintenir une opérationnalité continue face aux crises informatiques, comme les cyberattaques ou les pannes système majeures.

Qui est concerné ?

Banques et institutions financières

Assurances et réassurances

Gestionnaires d'actifs et fonds de pension

Infrastructures de marché, plateformes de trading, et autres acteurs du marché financier

Fournisseurs de services tiers

Jugés critiques, notamment les prestataires de services technologiques tels que les éditeurs, hébergeurs, infogéreurs, services cloud etc.)

Quelles sont les principales mesures et obligations ?

Le règlement DORA définit quatre exigences opérationnelles clés pour assurer la résilience numérique. Les organisations doivent conduire une évaluation continue des risques, déployer un Plan de Continuité d'Activité complet, réaliser des tests réguliers de résilience de leurs systèmes et maintenir une gestion proactive des vulnérabilités.

Pour assurer la résilience numérique, le DORA impose trois exigences clés. La direction doit s'impliquer activement dans la gestion des risques, en garantissant la cybersécurité et la continuité des services. Des formations régulières sur la cybersécurité et la gestion des incidents doivent être mises en place à tous les niveaux de l’entreprise. Enfin, des audits internes doivent être réalisés pour vérifier la conformité aux exigences de DORA et l’application des politiques de sécurité.

La gestion des risques liés aux fournisseurs tiers est un élément clé de la résilience numérique selon DORA. Les acteurs financiers doivent identifier et évaluer les risques liés aux fournisseurs de services critiques, en particulier ceux fournissant des technologies essentielles. Des contrats stricts doivent être établis, intégrant des exigences de cybersécurité et de continuité de service, avec une obligation de conformité pour les prestataires. Enfin, une surveillance continue doit être assurée afin d’évaluer les performances et de limiter les risques de perturbations.

Un incident est considéré comme majeur s’il entraîne une perturbation significative des services financiers ou une perte financière importante, pouvant également affecter clients et partenaires. Les institutions doivent notifier les autorités compétentes dans un délai de 24 à 72 heures après la détection de l'incident, selon sa gravité. Enfin, un rapport détaillé doit être fourni, précisant l’impact, les mesures correctives mises en place et les actions préventives pour éviter de nouveaux incidents.

La sécurisation des actifs numériques et de la sécurité des systèmes repose sur plusieurs mesures essentielles. Un inventaire complet et actualisé des actifs, incluant logiciels, systèmes et infrastructures critiques, doit être maintenu. La segmentation des réseaux est nécessaire pour isoler les systèmes sensibles et limiter la propagation des attaques. Un contrôle strict des accès doit être appliqué, en intégrant le principe du moindre privilège et l’authentification multi-facteurs. Enfin, une maintenance continue est requise afin de corriger les vulnérabilités et garantir un environnement sécurisé.

Le règlement impose un cadre détaillé de gestion des risques numériques et de résilience des services financiers, afin de garantir la stabilité et la sécurité du secteur financier européen face aux menaces cybernétiques et autres perturbations.

Les sanctions en cas de non respect de DORA

Des sanctions personnelles à l'encontre du dirigeant

Les dirigeants s'exposent à une responsabilité personnelle en cas de non-respect du règlement DORA. Ils peuvent notamment faire l'objet de sanctions individuelles si leur entreprise ne satisfait pas aux exigences en matière de sécurité et de résilience numérique.

En savoir plus sur la responsabilité des dirigeants

Des sanctions financières dissuasives

Les sanctions financières sont fixées par chaque État membre de l'Union européenne. Le règlement impose toutefois que ces pénalités répondent à trois critères : elles doivent être efficaces pour assurer le respect des normes, proportionnées à la gravité des manquements, et suffisamment dissuasives pour prévenir toute infraction.