Contact
Soutien
Connexion
Protection des données en tant que service
4 min lire

Qu'est-ce que la loi sur la résilience opérationnelle numérique (DORA) ?

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) est une réglementation européenne complète visant à renforcer la sécurité informatique et la gestion des risques dans le secteur financier, en imposant des exigences strictes en matière de signalement des incidents, de tests de résilience et de contrôle par des tiers.

Rédigé par
Bogdan Viher
Publié le
7 août 2024
Partager sur les réseaux sociaux

La loi sur la résilience opérationnelle numérique(DORA) est une réglementation destinée à transformer la gestion des risques numériques dans le secteur financier de l'Union européenne (UE). Il s'agit essentiellement d'un ensemble d'exigences imposées aux institutions financières de l'UE pour protéger leurs processus opérationnels clés contre les risques technologiques et remodeler leur approche du risque numérique, de la gestion des incidents et des relations avec les tiers.

Plus précisément, DORA vise à renforcer la sécurité informatique des banques, des compagnies d'assurance, des entreprises d'investissement et d'autres organisations du secteur financier.

Pour les sociétés financières de l'UE, les directeurs informatiques et les cadres supérieurs doivent comprendre que la loi DORA n'est pas seulement une exigence réglementaire, mais un impératif stratégique, et s'y préparer. Cette urgence est soulignée par les graves conséquences de la non-conformité :

  1. Sanctions financières : Amendes pouvant aller jusqu'à 10 millions d'euros et doublées en cas de violations graves ou répétées.
  1. Atteinte à la confiance des consommateurs : La non-conformité peut accroître la vulnérabilité aux cyberincidents, ce qui peut entraîner des violations de données ou des interruptions de service. Ces événements peuvent nuire à la réputation d'une organisation, affecter la confiance des consommateurs et entraîner une perte de clientèle et une diminution de la part de marché.  
  1. Responsabilité pénale personnelle : En cas de négligence grave ou de faute intentionnelle, les cadres supérieurs et les membres du conseil d'administration peuvent voir leur responsabilité pénale engagée. Il peut s'agir d'amendes individuelles, de déchéance professionnelle, voire d'emprisonnement dans les cas extrêmes. Ce risque personnel souligne la nécessité d'un engagement au plus haut niveau pour assurer le respect de la loi DORA.

Compte tenu de ces enjeux importants, les directeurs informatiques et les cadres supérieurs doivent comprendre que la loi DORA n'est pas seulement une exigence réglementaire, mais aussi un impératif stratégique, et s'y préparer.  

Contexte et histoire

Les incidents liés aux TIC dans les institutions financières peuvent entraîner des perturbations importantes, des pertes financières et des atteintes à la réputation.  

DORA est un élément clé de la stratégie plus large de la Commission européenne en matière de finance numérique.  

Il vise à :

  • Consolider et améliorer les exigences en matière de risques liés aux TIC dans le secteur financier
  • Établir un cadre pour les fournisseurs de TIC, y compris les plateformes en nuage
  • Créer un mécanisme de signalement des incidents afin de sensibiliser aux cybermenaces.
  • Renforcer les tests de résilience opérationnelle numérique

En assurant la cohérence de ces exigences dans l'ensemble de l'UE, DORA contribuera à renforcer la stabilité et l'intégrité globales des systèmes financiers.

L'importance de DORA

DORA représente un changement important dans la création d'une approche uniforme de la gestion des risques liés aux TIC dans l'ensemble du secteur financier de l'UE. Il répond aux préoccupations croissantes concernant les cybermenaces et les vulnérabilités technologiques susceptibles de perturber l'industrie financière.

Les principaux aspects sont les suivants :

  1. Un champ d'application étendu : Le DORA s'applique à un large éventail d'entités financières, notamment les banques, les compagnies d'assurance, les entreprises d'investissement et les prestataires de services financiers.
  1. Harmonisation : Elle établit des exigences cohérentes en matière de gestion des risques liés aux TIC dans l'ensemble de l'UE, en remplacement de l'actuelle mosaïque de réglementations nationales.
  1. Surveillance des tiers : Le DORA introduit un cadre pour la supervision des fournisseurs de services TIC critiques, y compris les services en nuage.
  1. Rapports d'incidents : Elle prévoit des mécanismes normalisés de signalement des incidents majeurs liés aux TIC.
  1. Tests de résilience : Le DORA exige des tests réguliers de la résilience opérationnelle numérique.

Diagramme d'une ligne du tempsDescription générée automatiquement

Domaines clés de DORA

1. Gestion des risques liés aux TIC

Le DORA impose un cadre complet de gestion des risques liés aux TIC. Ce cadre comprend

  • Identifier et documenter les fonctions commerciales, les ressources et les dépendances liées aux TIC
  • Évaluation continue des risques et stratégies d'atténuation
  • Mise en œuvre de mesures de protection et de prévention
  • Développer les capacités de détection
  • Mise en place de procédures de réponse et de récupération

2. Rapport d'incident

Mettre en œuvre des processus de suivi et d'enregistrement des incidents liés aux technologies de l'information et de la communication. Ils sont tenus de classer ces incidents selon les critères spécifiés par le DORA. En outre, ils doivent signaler les incidents majeurs aux autorités compétentes dans des délais stricts.

3. Réponse et récupération

Les capacités de réaction et de récupération sont notamment les suivantes : -

Plans d'intervention en cas d'incident :  

  • Élaborer, documenter et mettre en œuvre des plans globaux pour répondre aux incidents liés aux TIC et y remédier.
  • Ces plans doivent détailler les procédures de détection, d'analyse, de confinement et d'atténuation rapides des incidents.

Continuité des activités :

  • Maintenir une politique de continuité des activités et des plans de reprise après sinistre.
  • Des tests réguliers de ces plans sont obligatoires pour en garantir l'efficacité.

Procédures de sauvegarde :

  • Le DORA impose des sauvegardes régulières des systèmes et des données critiques.
  • Les exigences spécifiques comprennent une fréquence de sauvegarde définie, un stockage hors site sécurisé et des tests réguliers des processus de restauration des sauvegardes.

Objectifs de temps de récupération (RTO) :

  • Établir et tester régulièrement la capacité à restaurer les systèmes dans des délais définis.
  • Minimiser les perturbations opérationnelles et assurer un rétablissement rapide en cas d'incident.

Protocoles de communication :

  • Des procédures claires de communication interne et externe doivent être établies en cas d'incident.
  • Garantir une réponse rapide et efficace, y compris la notification aux autorités compétentes et aux parties prenantes.

Analyse post-incident :

  • Après des incidents importants, les organisations doivent procéder à des analyses approfondies des causes profondes.
  • Les enseignements tirés devraient être intégrés dans l'amélioration des cadres de gestion des risques.

4. Essais de résilience opérationnelle numérique

DORA introduit un cadre harmonisé pour tester la résilience opérationnelle numérique :

  • Tests de base tels que l'évaluation des vulnérabilités et l'analyse de la sécurité du réseau pour toutes les entités
  • Tests avancés, y compris les tests de pénétration basés sur les menaces (TLPT) pour les entités importantes

5. Gestion des risques liés aux TIC pour les tiers

Avec le recours accru à des prestataires de services tiers, DORA crée :

  • Principes à inclure dans les accords avec les fournisseurs de services TIC tiers
  • Un nouveau cadre de surveillance pour les fournisseurs tiers de services TIC critiques

Un texteDescription bleu et blanc généré automatiquement
Source : McKinsey

6. Partage de l'information

L'échange d'informations et de renseignements sur les cybermenaces entre les entités financières afin d'améliorer la résilience collective.

Champ d'application

La loi DORA s'applique à un large éventail d'entités financières opérant dans l'UE, notamment

  • Établissements de crédit
  • Institutions de paiement
  • Établissements de monnaie électronique
  • Entreprises d'investissement
  • Places de marché
  • Entreprises d'assurance et de réassurance
  • Agences de notation
  • Contrôleurs légaux des comptes et cabinets d'audit
  • Administrateurs des critères de référence essentiels
  • Prestataires de services d'information sur les comptes
  • Fournisseurs de services de crypto-actifs
  • Dépositaires centraux de titres
  • Fournisseurs de services de communication de données
  • Prestataires de services tiers

Actions pour le respect de la législation

Pour répondre aux exigences du DORA, les DSI, les directeurs de la technologie, les directeurs informatiques et les autres personnes clés de l'informatique doivent se concentrer sur les actions suivantes :

  1. Évaluer les cadres actuels : Évaluer les processus existants de gestion des risques liés aux TIC par rapport aux exigences afin d'identifier les lacunes.
  1. Améliorer la gestion des risques liés aux TIC : Mettre en œuvre des processus d'identification, de protection, de détection, de réaction et de récupération des perturbations liées aux TIC.
  1. Mettre en place des mécanismes de signalement des incidents : Mettre en place des systèmes et des procédures pour détecter et signaler les incidents majeurs liés aux TIC dans les délais requis.
  1. Effectuer des tests de résilience : Mettre en œuvre un programme de tests réguliers de résilience, y compris des évaluations de vulnérabilité et des tests de pénétration.
  1. Examiner les contrats avec des tiers : Évaluer et mettre à jour les accords avec les fournisseurs de services TIC pour s'assurer qu'ils répondent aux exigences.
  1. Se préparer aux audits : Préparez-vous à d'éventuels audits réglementaires en conservant une documentation complète sur vos pratiques de gestion des risques liés aux TIC.
  1. Mettre en œuvre des mesures de continuité des activités et de protection des données : Élaborer et tester régulièrement des plans de continuité des activités et de reprise après sinistre, mettre en place des procédures de sauvegarde sécurisées, renforcer la protection des données, créer des protocoles de communication en cas de crise et former le personnel conformément aux exigences des articles 10 et 11.

Délais et conformité

La loi DORA est entrée en vigueur le 16 janvier 2023. Toutefois, les entités financières ont jusqu'au 17 janvier 2025 pour s'y conformer pleinement. Cette période de deux ans est cruciale pour permettre aux organisations d'évaluer leurs systèmes actuels, de mettre en œuvre les changements nécessaires et de se préparer au nouvel environnement réglementaire.

L'importance d'agir maintenant

Bien que l'année 2025 puisse sembler lointaine, l'étendue et la profondeur des changements requis par la loi DORA nécessitent une action rapide. Si vous commencez à vous préparer dès maintenant, vous serez en meilleure position pour :

  • Répartir le coût de la mise en conformité sur une plus longue période
  • Obtenir un avantage concurrentiel en faisant preuve d'une forte résilience numérique
  • Éviter la précipitation de dernière minute et les pénalités de non-conformité potentielles
  • Contribuer à la stabilité et à la fiabilité globales du système financier de l'UE

Plus d'informations

Photo de Shive Raja

Bogdan Viher

Directeur principal du canal Atlassian

Bogdan travaille depuis plus de 15 ans avec des VAR, des canaux et des partenaires de distribution. Au cours de cette période, il a développé une compréhension approfondie et une perspective industrielle de la protection des données, de la reprise après sinistre, de la migration, de la sauvegarde et de la protection contre les ransomwares dans les environnements sur site et dans les nuages publics. Il travaille en étroite collaboration avec nos partenaires de distribution et de revente Atlassian et leurs clients pour démontrer la valeur et les avantages des solutions de protection des données et de reprise après sinistre spécialement conçues pour les environnements multi-cloud et SaaS.

Vous pourriez aussi aimer...

RPO vs RTO : Ce qu'il faut savoir sur ces mesures essentielles de la reprise d'activité

Protection des données en tant que service
Protection des données en tant que service
16 janvier 2025

5 obstacles courants à la mobilité de la charge de travail (et comment les surmonter)

Protection des données en tant que service
Protection des données en tant que service
15 janvier 2025

Sauvegarde CIAM : La clé d'une protection complète de l'identité des clients

Protection des données en tant que service
Protection des données en tant que service
2 janvier 2025

Découvrez la première plateforme SaaS de protection des données

Essayez HYCU par vous-même et devenez un adepte.

Essayez HYCU gratuitement
Demander une démonstration
Plate-forme HYCU
Visualiser avec R-GraphConstruire sur HYCU
Solutions de protection des données
SauvegardeMigration des données et mobilitéReprise après sinistreHybride et multi-cloudProtection contre les ransomwaresSécurité et conformitéVoir toutes les technologies prises en charge
Cloud privé et centres de données
NutanixNutanix MineDell PowerProtect Data DomainNetApp ONTAP
En tant que service
Google WorkspaceEntra IDVoir tous
Applications et bases de données
SAP HANAOracleVoir tous
Entreprise
DirectionConseil d'administrationCarrièresSalle de presse
Programmes de partenariat mondial
Partenaires technologiques et d'allianceFournisseurs de services gérésTrouver un revendeurRevendeursRecommandationsDevenir partenaireEnregistrement de l'accord
Commencer
Essai gratuitDemander une démo
Ressources
SupportTémoignages de clientsNouveau chez HYCUBibliothèque de contenuBlogWebinaires et événementsRansomware et calculateur de préparation
Suivre
© 2025 HYCU. Tous droits réservés.
JuridiqueConditions d'utilisationPolitique de confidentialitéResponsable de la protection de la vie privée