DORA icon

Conformité
DORA

Un cadre réglementaire complet pour gérer les risques informatiques des entités financières européennes en UE

Renforcer la résilience du système financier dans
un monde dépendant du numérique

“DORA” pour Digital Operational Resilience Act est un règlement qui a pour objectif d'améliorer la résilience opérationnelle informatique des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique (ICT Risk Management Framework).

Qui est concerné ?

Ce Règlement définit un cadre uniforme pour harmoniser l’ensemble des exigences liées à la résilience opérationnelle IT du secteur de la finance.

Le texte s’applique à un très large éventail d’entités du secteur de la finance (banques, fonds de pension, compagnies d’assurance et intermédiaires, institutions de paiement, entreprises d’investissement,…) ainsi qu’aux prestataires de services informatiques qui opèrent au sein de l’Union européenne pour des entités financières.

DORA pose un principe de proportionnalité : les entités doivent mettre en œuvre les mesures définies par le Règlement au regard de leur taille, de la finalité de leur activité et de la criticité de leurs systèmes d’information.

Calendrier d'application

Publié en décembre 2022, DORA entrera en application le 17 janvier 2025.

Compte tenu de la technicité des exigences, une série de normes techniques en cours d’élaboration vient préciser le texte initial, qui offre d'ores et déjà un aperçu des exigences générales.

Un cadre réglementaire complet pour gérer les risques informatiques des entités financières

Le Règlement met l’accent sur le concept de résilience opérationnelle. Il induit la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes, vers une approche plus large et proactive. Il est désormais impératif d'être prêt à traiter tous types d'incidents, même les moins probables, et d'assurer la continuité des activités et services critiques ou importants, pour garantir la stabilité du secteur financier.

DORA repose sur 5 piliers pour encadrer la résilience opérationnelle :
  • 1. Gestion des risques liés aux TIC

    Définir et mettre en œuvre un dispositif de gestion des risques liés aux TIC complet et documenté.

    • Gouvernance : organe de gestion responsable
    • Politique de gestion des risques TIC et activités associées (identification du risque; protection et prévention; détection, réponse et rétablissement; apprentissage et évolution; communication de crise)
  • 2. Gestion, classification et reporting des incidents TIC et cybermenaces

    Le règlement impose un cadre de surveillance, traitement et suivi des incidents liés aux TIC pour en identifier les causes profondes et les éliminer.

    • Classification standardisée des incidents
    • Analyse d'impact
    • Déclaration obligatoire pour les incidents majeurs
    • Rapports anonymes à l'échelle de l'UE
  • 3. Test de résilience opérationnelle numérique

    Établir, gérer et réévaluer à intervalles réguliers un programme complet de test de la résilience opérationnelle numérique pour recenser les faiblesses et mettre rapidement en œuvre des mesures correctives.

    • Test annuel des systèmes et applications critiques
    • Pentest avancé fondé sur la menace, effectué au moins tous les 3 ans par des testeurs indépendants
  • 4. Risques liés aux prestataires TIC

    Adopter une approche proportionnelle de la gestion des risques liés aux tiers prestataires de services informatiques, prenant en compte la portée, la complexité et la pertinence des dépendances informatiques, ainsi que les risques connexes découlant de contrats passés avec des tiers.

    • Stratégie, politique et registre d’information standardisé
    • Évaluation des risques de concentration (fournisseurs similaires ou interconnectés)
    • Lignes directrices pour l’évaluation précontractuelle, le contenu du contrat, les SLA, la résiliation, la sortie sous contrainte
    • Mise en place d’un cadre de surveillance des fournisseurs critiques dans toute l’UE, avec des exigences et des sanctions
  • 5. Partage d’informations et lutte contre les cybermenaces

    Les entités financières sont encouragées à participer à des dispositifs de partage d’informations et de renseignements sur les cybermenaces.

    • Communautés de confiance encadrées par un dispositif d’adhésion
    • Démarche de sensibilisation pour soutenir les capacités de défense, les techniques de détections et les stratégies de réponse du secteur financier

    Toute information partagée doit être sécurisée et respecter la confidentialité ainsi que les directives de protection des données à caractère personnel (RGPD) et toute autre politique de concurrence de l’entreprise.

accompagnement DORA

Claranet vous accompagne

Découvrez comment Claranet peut accélérer l'audit de la sécurité de votre SI et renforcer votre résilience numérique

En savoir plus

Claranet Cyber sécurité

Claranet Cyber Security

Des solutions concrètes pour auditer et sécuriser vos applications et vos infrastructures (audit, pentest, revue de code, SOC, ...).

En savoir plus