Entré en vigueur en janvier 2023, le Digital Operational Resilience Act (DORA) constitue une avancée majeure dans le cadre réglementaire européen applicable aux institutions financières. Cette réglementation vise à renforcer leur résilience face aux risques numériques, en imposant des exigences spécifiques aux établissements financiers ainsi qu’à leurs prestataires de services numériques. Avec une mise en conformité obligatoire depuis janvier 2025, les acteurs concernés doivent adapter leurs infrastructures et leurs pratiques afin de répondre à ces nouvelles obligations. Ces évolutions influencent directement leur organisation interne, leur gouvernance ainsi que leurs relations avec leurs fournisseurs.

 

Objectifs et champ d’application de DORA

L’objectif principal de DORA est d’harmoniser la gestion des risques technologiques dans l’ensemble du secteur financier de l’Union européenne. Son champ d’application est vaste, incluant notamment les banques, compagnies d’assurance, établissements de paiement, plateformes de financement participatif, ainsi que leurs prestataires de services numériques.

Cette réglementation introduit également un encadrement plus strict des prestataires technologiques, tels que les fournisseurs de services cloud ou de technologies financières, qui jouent un rôle essentiel dans la continuité des activités des institutions financières. En tant que texte réglementaire spécialisé , le règlement DORA prévaut sur la directive NIS2 lorsqu’il est question de résilience numérique dans le secteur financier. Cela souligne l’importance accordée à la stabilité financière face aux menaces croissantes en matière de cybersécurité.

 

Principaux axes de mise en conformité avec DORA

Le cadre réglementaire du DORA repose sur cinq piliers destinés à structurer les efforts de mise en conformité des organisations concernées :

1. Gestion des risques TIC

Les entreprises doivent établir une stratégie de gestion des risques numériques. Cela implique d’identifier les vulnérabilités, de mettre en place des protocoles de sauvegarde des données, de développer des plans de continuité des activités et d’organiser des sessions de formation pour les collaborateurs. Ces dispositions visent à assurer une meilleure préparation face aux perturbations que pourrait engendrer une cyberattaque.

2. Gestion des incidents

DORA impose l’adoption de protocoles stricts pour la gestion des incidents liés aux technologies de l’information et de la communication (TIC). Les entreprises doivent notamment mettre en place des mécanismes de détection en amont, définir des procédures de réponse rapide et surtout, signaler les incidents majeurs aux autorités compétentes de leur juridiction. Il est par ailleurs demandé aux entités concernées par DORA de mettre en place une documentation systématique et un protocole de communication de crise qui seront  essentiels pour assurer une réaction coordonnée et limiter l’impact des incidents.

3. Tests de résilience

Les institutions financières doivent régulièrement tester leurs infrastructures afin d’évaluer leur capacité à faire face à des menaces de cybersécurité. Ces évaluations incluent des tests de pénétration (pentests), des simulations d’attaques et des exercices de reprise d’activité post incident. Ces dispositifs permettent d’identifier d’éventuelles faiblesses et d’améliorer la résilience globale des systèmes.

4. Partage d’informations

Afin de renforcer la coopération entre les différents acteurs du secteur financier, DORA recommande le partage d’informations sur les menaces futures et les vulnérabilités identifiées. Cet échange d’informations contribue à sensibiliser l’ensemble du secteur aux risques numériques et à limiter leur propagation.

5. Encadrement des tiers TIC

Les relations avec les fournisseurs de services TIC sont soumises à des obligations strictes, notamment :

• Répertorier les contrats en place pour identifier les services critiques et les mettre à jour avec les obligations de DORA ;
• Intégration de clauses contractuelles relatives à DORA et notamment traitant des audits, de la continuité des services et des conditions de réversibilité en cas de résiliation
• Mise en place d’un suivi des prestataires et de leurs sous-traitants pour valider leur conformité à tout instant.

Ces mesures visent à garantir une conformité tout au long de la chaîne de sous-traitance.

 

Conseils pratiques pour la mise en conformité

Afin de se mettre en conformité avec DORA, les institutions financières et leurs fournisseurs doivent prendre des mesures adaptées, parmi lesquelles :

• Analyse des contrats existants pour évaluer leur conformité avec les exigences de DORA ;
• Mise à jour des contrats via l’ajout de clauses spécifiques sur la sécurité des données, les audits et la continuité des services ;
• Collaboration nécessaire avec les prestataires afin de s’assurer qu’ils disposent des ressources et des procédures nécessaires pour se conformer aux nouvelles règles ;
• Organisation régulière de simulations pour tester les dispositifs de gestion des incidents et les plans de reprise d’activité.

Mise en place d’une documentation complète et à jour des process.

 

Conséquences pour les investisseurs

Le règlement DORA instaure des standards de résilience opérationnelle qui influencent directement la gouvernance des institutions financières. Les investisseurs doivent donc porter une attention particulière aux mesures prises par les entreprises pour se conformer à ces nouvelles exigences.

Ils doivent notamment examiner les aspects suivants :

• Gestion des risques : l’entreprise dispose-t-elle de dispositifs efficaces pour détecter et limiter les menaces cyber ?
• Relations fournisseurs : les contrats incluent-ils des clauses conformes aux obligations de DORA ? Les prestataires font-ils l’objet d’un suivi régulier ?
• Résilience : l’entité concernée réalise-t-elle régulièrement des tests pour valider la robustesse de sa protection contre les cyberattaques ?
• Sécurité des données : les mécanismes en place garantissent-ils la protection, la disponibilité et l’intégrité des données sensibles ?

 

Un livre blanc sur les clauses contractuelles DORA pour les entreprises TIC publié par l’APP, présente le règlement DORA et son impact sur les organisations. Il détaille les exigences de gestion des fournisseurs tiers et les actions concrètes pour assurer la conformité. Conçu comme un guide pratique, il aide à anticiper les défis de gouvernance liés à cette réglementation.

 

Conclusion

L’adoption du règlement européen DORA marque une évolution significative dans le paysage réglementaire européen en matière de résilience numérique. Pour les institutions financières et leurs fournisseurs TIC, il est impératif de mettre en place une approche structurée afin de répondre aux nouvelles obligations. En garantissant une meilleure résilience face aux risques numériques, ces efforts renforcent la stabilité du secteur financier. Pour les investisseurs, le respect des exigences du DORA constitue un indicateur de fiabilité et de pérennité, leur permettant d’établir des partenariats plus sûrs et durables.