Qu'est-ce que le règlement DORA ? Un guide simple sur le nouveau Règlement de l'UE relative à la Résilience Opérationnelle Numérique (Digital Operational Resilience Act)

Le Règlement dl’UE sur la Résilience Opérationnelle Numérique (DORA) modifie la façon dont les organisations du secteur financier gèrent le cyberrisque, les fournisseurs tiers et la résilience opérationnelle. Le règlement de l’UE est entré en vigueur le 16 janvier 2023 et, après une période de préparation standard de deux ans, le règlement DORA est devenu applicable le 17 janvier 2025. À partir de cette date, toutes les entités financières, y compris les banques, les assureurs, les fintechs et les fournisseurs de TIC qui les soutiennent, doivent être en mesure de démontrer leur conformité aux autorités de surveillance.

Que prévoit exactement le règlement DORA, et quelles en sont les implications pour les organisations qui doivent respecter des obligations au niveau de l’entreprise, mais qui disposent souvent de ressources bien plus limitées ?

Voici un guide clair et simple pour savoir qui est concerné et ce qu’il faut faire pour se mettre en conformité.

Qu’est-ce que le règlement DORA ?

DORA est un règlement de l’UE conçu pour garantir que le secteur financier puisse résister, répondre et se remettre des cyberattaques et des perturbations opérationnelles. Il va au-delà des règles précédentes qui se concentraient principalement sur le reporting et la gouvernance, en introduisant des exigences obligatoires dans cinq domaines clés :

• Gestion des risques liés aux TIC
• Rapports des incidents
• Tests
• Contrôle des prestataires tiers
• Partage d’informations

Si vous traitez des données financières, si vous assistez des clients financiers ou si vous entrez dans la définition large du règlement DORA d’un fournisseur de services TIC, il est probable que le règlement s’applique à vous.

Qui doit se conformer au règlement DORA ?

Le règlement DORA s’applique à un large éventail d’entités financières et à leurs fournisseurs de TIC essentiels, notamment :

• Banques et établissements de crédit
• Sociétés d’assurance et de réassurance
• Entreprises d’investissement
• Établissements de paiement et de monnaie électronique
• Fournisseurs de services de crypto-actifs
• Entreprises déclarantes et plateformes de négociation
• Fournisseurs de services TIC tiers essentiels, tels que les fournisseurs de services cloud, les vendeurs de SaaS et d’autres fournisseurs de technologies

Si vous soutenez les opérations d’une entité financière, le règlement DORA peut exiger de votre organisation qu’elle respecte des normes strictes en matière de gouvernance, de documentation et de résilience opérationnelle.

Pourquoi le règlement DORA est-il nécessaire ?

Les services financiers sont profondément interconnectés. Un seul incident, qu’il s’agisse d’une panne de système ou d’une cyberattaque, peut rapidement se propager au-delà des frontières et des secteurs d’activité.

Les récentes attaques de la chaîne d’approvisionnement ont mis en évidence la vulnérabilité des organisations face aux faiblesses de leur écosystème TIC. Le règlement DORA a été introduit dans le cadre du Paquet Finance Numérique de l’UE afin de renforcer la résilience des institutions financières et de leurs fournisseurs. Le règlement DORA vise à créer une cohérence dans l’ensemble du secteur et à augmenter le niveau général de résilience.

Les cinq piliers du règlement DORA

1. Gestion des risques liés aux TIC

Le règlement DORA exige des organisations qu’elles maintiennent des processus de gestion des risques liés aux TIC documentés, structurés et régulièrement testés. Ces processus sont les suivants

• Gouvernance et responsabilités en matière de TIC
• Évaluation des risques
• Prévention et détection en matière de sécurité
• Sauvegarde et reprise après sinistre
• Processus de gestion des incidents

2. Rapport d’incident

Les entités financières doivent suivre des règles claires pour classer, documenter et signaler les incidents importants liés aux TIC. Ils doivent être identifiés rapidement, classés et signalés dans des délais stricts. Il est donc essentiel de disposer de flux de travail fiables et d’une bonne documentation.

3. Tests de résilience opérationnelle numérique

Les entités financières doivent tester régulièrement l’efficacité de leurs contrôles. Cela va des évaluations de base aux tests de pénétration avancés basés sur les menaces, en fonction de la taille de l’organisation et de son profil de risque.

4. Gestion des risques pour les tiers

Vous devez :

• Identifier tous les fournisseurs de TIC
• Évaluer et classer les risques
• Contrôler les performances et la conformité
• Assurer l’alignement contractuel avec le règlement DORA
• Préparer des stratégies d’urgence et de sortie

Les petites organisations sont souvent confrontées à ce problème en raison de ressources limitées et d’une documentation dispersée, et c’est précisément le défi que Trustlinks a été conçu pour résoudre.

5. Partage d’informations

Le règlement DORA encourage les entités à partager les informations sur les cybermenaces avec leurs pairs et les communautés afin de renforcer la résilience collective.

Quels sont les risques de non-conformité ?

La non-conformité peut entraîner :

• Amendes et sanctions réglementaires
• Surveillance accrue
• Restrictions contractuelles de la part des clients du secteur financier
• Atteinte à la réputation
• Perturbations opérationnelles lors d’incidents

De nombreuses organisations sont déjà confrontées à des contraintes telles que la responsabilité de la direction, des délais de reporting serrés, des capacités internes limitées et des exigences réglementaires complexes. Le règlement DORA ajoute une couche supplémentaire de responsabilités qui nécessite une structure et une planification claires.

Comment Trustlinks vous aide à vous préparer pour le règlement DORA

Pour de nombreuses organisations, en particulier les plus petites, les nouvelles exigences s’ajoutent aux défis existants tels que l’expansion rapide des réglementations, le chevauchement des exigences, l’escalade des cybermenaces, les capacités internes limitées et la documentation fragmentée et difficile à gérer.

Trustlinks est conçu pour ces organisations afin de les aider à se concentrer sur la clarté et la structure sans la complexité ou le coût des outils d’entreprise traditionnels :

✔ Clarté

Les exigences DORA sont traduites en actions, contrôles et tâches simples et guidés, faciles à suivre.

✔ Contrôle

Un outil de travail unique pour les risques, les contrôles, les fournisseurs, les documents, les tâches et les preuves d’audit.

✔ Confiance

Des processus prêts pour l’audit, soutenus par des contrôles automatisés, des modèles et un suivi des progrès.

✔ Des outils intégrés qui favorisent la conformité avec le règlement DORA :

• Flux de travail pour l’évaluation des risques
• Évaluation et suivi des fournisseurs
• Évaluations automatisées de l’état de préparation
• Gestion centralisée des politiques
• Listes de tâches et rappels pour les échéances et les révisions
• Versionnement des documents et politiques modélisées

Trustlinks s’adresse aux organisations qui disposent de peu de temps et de ressources, mais qui sont soumises aux mêmes exigences réglementaires que les grandes entreprises. La mise en conformité ne doit pas nécessairement être une tâche insurmontable. Avec une structure, des conseils et des outils adaptés, toute organisation peut mettre en place une gouvernance solide, réduire ses risques, améliorer sa résilience et renforcer sa confiance lors des audits.

Trustlinks vous apporte la clarté et le contrôle nécessaires pour rendre la mise en conformité avec le règlement DORA gérable et durable. Pour en savoir plus sur la manière de vous préparer au règlement DORA, cliquez ici.

Découvrez la plateforme de conformité de Trustlinks ici !