Le « Digital Operational Resilience Act” est un nouveau cadre réglementaire interventionniste de l’UE qui s’appliquera à toutes les institutions financières et à leurs sous-traitants principaux en infrastructure informatique. Après des failles de sécurité de quelques acteurs bancaires majeurs qui ont perturbé tout l’écosystème, l’UE souhaite renforcer la résilience des marchés financiers en uniformisant l’exigence de sécurité. C’est le premier à avoir cette vision globale, contraignante… et très impactante.

Publiée fin 2022 par la Commission Européenne, cette règlementation a des répercussions importantes sur les infrastructures IT des grands groupes car il impose des processus de résilience, de bons sens mais lourdes à implémenter, notamment la prévention et la détection rapide des incidents du système d’information et des incidents de sécurité.

Il s’appliquera à partir de début 2025 à tous les Etats membres de l’UE, ce qui va venir très rapidement. Le compte à rebours a commencé : les acteurs financiers et les prestataires ont déjà entamé leur chantier de mise à niveau, notamment l’évaluation des impacts opérationnels mais aussi stratégiques de cette nouvelle réglementation, et les ressources manquent.

Cadre général du DORA

Le DORA définit des normes opérationnelles précises pour limiter l’impact des dysfonctionnements de l’IT et lors de menaces cyber des acteurs de la sphère financière. Il concerne les banques, établissements de crédit, entreprises d’investissement, assureurs, réassureurs et intermédiaires mais aussi les acteurs plus récents : établissements de paiement, de monnaie électronique, prestataires de services d’information sur les comptes, prestataires de services sur les cryptoactifs…

Il impose une analyse de leurs causes profondes notamment en vue de protéger des menaces émergentes pour les marchés financiers. Les obligations de déclaration augmenteront en conséquence.

Cette nouvelle norme vise à renforcer la capacité des institutions financières à faire face aux défis croissants liés au « tout digital », et à garantir la stabilité du système financier dans un environnement en constante évolution. Elles sont confrontées à une multitude de menaces et de cyberattaques sophistiquées, et à des pannes techniques. Leur résilience est non seulement vitale pour elle, mais aussi pour assurer le bon fonctionnement de l’ensemble des marchés financiers.

DORA cherche à établir une norme stricte pour prévenir les menaces systémiques et gérer les risques liés à ces défis, et pas seulement pour les grandes organisations, déjà largement structurées sur ces aspects : c’est au niveau des prestataires stratégiques et des petites structures que le changement sera le plus profond. Il est vrai que c’est là où se concentrent désormais les plus grandes vulnérabilités, vu des attaquants. Certains établissements, dont la taille est très réduite bénéficieront d’un régime de proportionnalité et d’un aménagement des règles

Les principaux Objectifs du DORA

• Le renforcement de la résilience Opérationnelle: c’est le O de DORA. Le reglement vise à renforcer la capacité des institutions financières à anticiper, prévenir, détecter et atténuer les incidents liés aux systèmes informatiques. La quasi totalité de ces organisations étaient déjà dotées de plans de continuité d’activité en cas d’attaque ou de dysfonctionnement, DORA précise leur contour.
• Gouvernance et surveillance accrues: si la quasi-totalité des banques et assurance ont déjà un SOC pour détecter les événements de sécurité, ces entreprises seront également tenues de mettre en place une gouvernance solide pour piloter la supervision de leurs activités numériques et assurer une surveillance continue. Des tests de résilience opérationnelle numérique deviennent obligatoires et DORA définit un cadre de gestion, classification et reporting régulier et obligatoire des incidents TIC

• Collaboration et partage d’informations: on le sait, la coopération entre les institutions financières et les autorités de régulation est essentielle pour être plus réactifs face aux événements de sécurité “Zero Day”, c’est à dire le jour où ils apparaissent. Le partage des meilleures pratiques, des menaces potentielles et les leçons à tirer des incidents sont fortement encouragées par le DORA.
• Responsabilité et transparence : les entreprises devront clairement définir les responsabilités en matière de résilience opérationnelle, des échelons supérieurs de la direction jusqu’aux équipes opérationnelles. Le comité exécutif est désormais le principal responsable de la définition de cette stratégie, faisant de la résilience numérique un élément clé de la feuille de route de l’entreprise. De plus, une plus grande transparence vis-à-vis des clients et des parties prenantes concernant les risques encourus et les mesures prises sera exigée. Il deviendra hasardeux de « mettre la poussière sous le tapis »
• Gestion des risques liés aux fournisseurs de services numériques : si l’audit de la résilience des prestataires de l’infrastructure informatique était implicite dans les cadres réglementaires précédents, il devient explicite et contraignant, c’est une des principales nouveautés de DORA.

Les défis du DORA

Le DORA a des implications importantes pour les institutions financières et leurs partenaires, dans un cadre qui ne manque déjà pas de contraintes (Normes ISO 27k, NIST, NIS2…)

• Coût de conformité: les exigences du DORA impliquent des investissements significatifs en termes de technologie, de ressources humaines et de processus, qui peuvent peser lourdement, notamment sur les petites et moyennes entreprises du secteur financier.
• Complexité réglementaire: la conformité DORA se superpose à d’autres contraintes normatives et reglementaires, qui sont certes compatibles, mais cela accroît la charge administrative et la complexité pour les entreprises du secteur. Si chaque organisation a une marge de manœuvre pour fixer l’essentiel des éléments de son calendrier (certifications…), celui de DORA s’impose, ce qui n’est pas sans poser des problèmes de roadmap.
• Nécessité d’adaptation continue: les technologies évoluent rapidement, et les entreprises devront constamment adapter leurs pratiques et leurs systèmes pour rester conformes aux normes réglementaires.

Une des plus grandes nouveautés apportées par DORA reste l’assujettissement des prestataires tiers dits “critiques”, fournissant des services numériques. Ces prestataires, identifiés et désignés par les autorités de surveillance européennes, seront soumis à une supervision directe et renforcée. Cette supervision reprend globalement les exigences posées par DORA vis-à-vis des établissements, en particulier en matière de gouvernance, de gestion du risque, des mesures de sécurité et de continuité mises en place, etc.

Quelles échéances pour s’y préparer ?

Le règlement vient uniformiser au niveau européen les règles applicables dès le 17 janvier 2025, date d’application de cette nouvelle réglementation à l’ensemble des États membres de l’UE. Il s’accompagne d’une directive (2022/2556), qui vient insérer des renvois au règlement au sein du corpus législatif européen existant (CRD IV, Solvency 2, MIF 2, etc.). Vu les délais importants de mise en œuvre, il y a donc une certaine urgence à entamer les chantiers qui ne le sont pas encore.

DORA laisse chaque État membre adapter à leur contexte respectif les amendes en cas de manquement, mais pour les y aider, la Commission européenne publiera un ensemble de normes réglementaires techniques et d’exécutions (RTS, et ITS) sous l’égide des autorités européennes de surveillance (EBA, EIOPA, ESMA), en précisant les exigences. La publication de ces RTS et ITS interviendra en deux étapes, une première partie devant intervenir avant le 17 janvier 2024 et une seconde partie avant le 17 juillet 2024.

Vers plus de résilience et de confiance ?

Le Digital Operational Resilience Act impose un cadre pour le renforcement de la résilience opérationnelle dans le secteur financier confronté à des défis numériques de plus en plus complexes. Le DORA sera vu comme une contrainte supplémentaire pour beaucoup, néanmoins il offre un cadre strict et utile pour la préparation aux incidents et doit générer une confiance accrue des investisseurs et des clients. Il devrait à terme en découler une plus grande résilience du système financier dans son ensemble. C’est un pas important vers la construction d’un écosystème financier numérique plus robuste et sécurisé… et un nouveau casse-tête à gérer pour de nombreuses organisations.