/
/

Qu’est-ce que la conformité à la loi sur la résilience opérationnelle numérique (DORA) ?

Qu'est-ce que la conformité à la loi sur la résilience opérationnelle numérique (DORA) ?

Le Digital Operational Resilience Act (DORA, ou loi sur la résilience opérationnelle numérique en français) est une règlementation qui fixe des normes de cybersécurité et de gestion des risques pour le secteur financier de l’UE. L’amélioration de la résilience opérationnelle rend votre entreprise moins vulnérable aux attaques et à la perte de données : ce qui est doublement important pour les grandes banques et les établissements de crédit, et c’est là que DORA intervient.

Cet article examine la réglementation DORA, ses principales exigences et les moyens de s’y conformer dans le secteur financier au sein de l’UE.

Qu’est-ce que DORA ?

La réglementation sur la résilience opérationnelle numérique est un cadre complet qui implémente des méthodes de gestion des risques afin que les institutions financières de l’UE puissent se prémunir contre les cyberattaques.

Avant la réglementation DORA, les banques, les compagnies d’assurance et les grands investisseurs se préparaient aux cyberincidents en mettant simplement de côté des capitaux pour faire face aux pertes potentielles. Ce qui n’était absolument pas proactif. Mais étant donné que DORA a été promulguée en 2023, le secteur financier de l’UE doit maintenant prendre des mesures concrètes pour s’assurer que ces pertes ne se produisent pas, point barre.

Cette réglementation préventive est appliquée par l’Union européenne pour renforcer sa capacité à résister aux menaces en ligne qui visent les systèmes financiers.

À qui s’applique DORA ?

La réglementation sur la résilience opérationnelle numérique s’applique à ces institutions de l’UE :

  • Prestataires de services d’information sur les comptes (AISP) : entités qui collectent et gèrent les informations relatives aux comptes de paiement.
  • Administrateurs de critères de référence essentiels : entreprises qui définissent des principes directeurs pour les institutions financières.
  • Contreparties centrales : intermédiaires qui réduisent le risque de contrepartie dans les transactions financières.
  • Dépositaires centraux de titres : entreprises qui détiennent et transfèrent des titres.
  • Agences de notation : institutions qui évaluent et notent la qualité de la notation des émetteurs.
  • Fournisseurs de services de crowdfunding : plateformes qui facilitent la collecte de fonds publics.
  • Prestataires de services de crypto-actifs et émetteurs de jetons liés à des actifs : entités qui proposent des services de crypto-monnaie et émettent des jetons liés à des actifs.
  • Fournisseurs de services de communication de données (DSRP) : entreprises qui communiquent des données financières dans un souci de transparence.
  • Établissements de monnaie électronique (avec les établissements exemptés) : établissements qui respectent les lignes directrices en matière de transparence et communiquent leurs données financières.
  • Fournisseurs de services TIC tiers : fournisseurs de services informatiques aux institutions financières.
  • Institutions de retraite professionnelle (IRP) : gestionnaires des régimes de retraite des salariés.
  • Sociétés d’assurance et de réassurance : sociétés d’assurance et de couverture des risques.
  • Intermédiaires d’assurance : courtiers/agents qui vendent des formules d’assurance.
  • Entreprises d’investissement : entreprises qui offrent des possibilités de gestion d’actifs et d’investissement.
  • Sociétés de gestion : entités qui dirigent des fonds d’investissement.
  • Gestionnaires de fonds d’investissement alternatifs : sociétés gérant des fonds d’investissement alternatifs (par exemple, fonds spéculatifs, fonds de capital-investissement)
  • Prêteurs hypothécaires : institutions offrant des prêts garantis par des biens immobiliers.
  • Établissements de paiement : entités fournissant des services de paiement.
  • Institutions d’épargne retraite : agences offrant des produits d’épargne retraite.
  • Référentiels de titrisation : entités qui collectent, stockent et conservent les enregistrements des opérations de titrisation.
  • Référentiels centraux : entreprises qui centralisent et conservent les données relatives aux produits dérivés, au financement de titres et à d’autres transactions financières afin d’améliorer la surveillance réglementaire.
  • Plateformes de négociation : plateformes qui facilitent l’achat et la vente d’instruments financiers, y compris les marchés réglementés, les systèmes multilatéraux de négociation (MTF) et les systèmes organisés de négociation (OTF).

Même les fournisseurs de logiciels tiers sont soumis aux lignes directrices de la réglementation DORA, dont le non-respect est passible de sanctions « efficaces, proportionnées et dissuasives », sans parler de l’atteinte à votre réputation. Une telle sévérité est due au fait que les MSP sont étroitement liés aux processus critiques dont dépendent les banques et d’autres institutions : les rapports d’incidents et la gestion des correctifs de sécurité en sont quelques exemples.

Dans cette optique, une conformité totale permettra non seulement de minimiser les perturbations sur le lieu de travail, mais aussi d’améliorer les normes de cybersécurité de votre entreprise, renforçant ainsi l’infrastructure numérique de l’état financier global de l’UE.

Exigences clés de la conformité à la loi sur la résilience opérationnelle numérique

Gestion des risques liés aux TIC

La réglementation sur la résilience opérationnelle numérique s’articule autour de l’identification, de l’atténuation et de la surveillance continue des menaces actuelles et émergentes. La première étape consiste à gérer les risques.

Contrôlez les privilèges des utilisateurs, veillez à ce que les données soient exactes et intactes, et utilisez un chiffrement de niveau gouvernemental pour tout sécuriser. Ces mesures (et les systèmes internes mis en place pour protéger les informations) doivent être maintenues et optimisées par des professionnels qui peuvent également être tenus pour responsables.

Rapport d’incident

Les institutions financières doivent élaborer leur propre protocole d’évaluation et de signalement des incidents, et ce travail doit être effectué en temps utile.

Créer des dossiers d’incidents détaillés, adapter des protocoles de réponse robustes, évaluer les résultats, maintenir des canaux appropriés avec les autorités et rendre des comptes de manière cohérente aux clients et aux actionnaires.

Stratégies d’essai et de résilience

DORA oblige les institutions financières à tester chaque année leurs défenses numériques de trois manières : tests de vulnérabilité avancés sur les systèmes de technologie de l’information et de la communication (TIC), évaluation indépendante des points faibles de votre infrastructure et tests d’intrusion basés sur les menaces (TLPT) qui simulent des attaques du monde réel.

Mais cela ne s’arrête pas là. Votre entreprise doit également créer et tenir à jour une documentation sur ces essais, qui doit inclure les méthodologies et les mesures supplémentaires prises pour combler les lacunes de votre écosystème numérique.

🛑 Identifiez, évaluez, atténuez et corrigez de manière proactive les vulnérabilités de votre environnement informatique.

Lisez ce guide sur comment réduire les vulnérabilités.

Gestion des risques liés aux tiers

Les fournisseurs tiers doivent faire l’objet d’un suivi et d’une évaluation réguliers afin de s’assurer qu’ils respectent les exigences strictes de la réglementation DORA.

Évaluer chaque fournisseur tiers en fonction de ses capacités techniques, de son niveau de sécurité et de son protocole de reprise d’activité après incident. De plus, les contrats avec des tiers doivent être carrés et toutes les normes DORA doivent être appliquées.

Partage d’informations et coopération

DORA encourage les membres du secteur financier à partager leurs connaissances sur l’évolution des cybermenaces. Les réseaux qui partagent les incidents liés aux nouveaux malwares et aux dernières méthodes de piratage sont des sources d’information inestimables pour votre équipe informatique et peuvent contribuer à éviter les cauchemars en matière de relations publiques. Il suffit de regarder ces statistiques sur la cybersécurité pour l’année 2025 : Des études récentes suggèrent que les acteurs de la menace peuvent pénétrer de manière fiable dans 93 % des réseaux des entreprises.

Quels sont les avantages de la conformité DORA ?

La technologie évoluant rapidement, DORA offre aux institutions financières une ligne de défense supplémentaire contre les menaces sophistiquées qui ne manqueront pas d’apparaître. Le respect de ces règles protège non seulement vos entreprises, mais ouvre également la voie à une productivité ininterrompue, donnant à votre entreprise l’avantage constant qui lui permet de rester à la pointe du progrès.

Les pratiques de la nouvelle norme européenne se sont également révélées efficaces pour les entreprises, tout en renforçant la confiance des régulateurs, des actionnaires et des clients potentiels. Une étude réalisée en 2024 par le Future Business Journal a montré que la transparence en matière de cybersécurité avait un impact positif significatif sur les performances des banques et a encouragé d’autres banques à faire de même. En d’autres termes, les gens veulent savoir que leur argent est en sécurité, et le respect de la réglementation DORA leur donne davantage confiance.

Conformité DORA : les plus grands défis

Si la réglementation DORA présente quelques avantages majeurs, les institutions financières de petite et moyenne taille de l’UE sont confrontées à des contraintes de taille et de budget. Leurs difficultés peuvent également se répercuter sur les négociations contractuelles avec les fournisseurs tiers. C’est l’une des raisons pour lesquelles certains se tournent vers des fournisseurs de services gérés (MSP), dont beaucoup peuvent fournir une assistance TIC à des prix corrects. D’autres adoptent des outils de gestion tout-en-un rentables pour éliminer les problèmes informatiques avec un budget raisonnable.

Étapes de la mise en conformité DORA

1. Procédez à une analyse des lacunes en matière de conformité

Tout d’abord, effectuez une analyse des écarts entre ce que vous avez déjà et ce que vous souhaitez obtenir grâce aux normes de la réglementation DORA. Considérez-le comme un diagramme de Venn qui vous aidera à voir ce qui manque dans votre cadre informatique. Pour ce faire :

  • Identifiez l’écart entre votre structure et les besoins DORA.
  • Classez-les par ordre d’importance.
  • Élaborez des plans d’action à court terme pour y répondre de manière compétente.

2. Établissez un cadre de gestion des risques liés aux TIC

Ensuite, créez une structure de gestion dans votre entreprise et attribuez des rôles clairs. Ce cadre de cybersécurité DORA devrait vous permettre :

  • d’attribuer des rôles clairs dans la structure de direction.
  • d’évaluer les risques ayant un impact sur les opérations (par exemple, ransomware, pannes de système, etc.)
  • de créer des stratégies pour atténuer les risques connus (par exemple, pare-feuprincipe du moindre privilège, disques chiffrés).
  • d’être en étroite coordination avec les équipes d’intervention en cas d’incident et de reprise d’activité après incident.
  • de suivre et de réexaminer les cas antérieurs ainsi que les politiques actuelles à mesure que de nouvelles menaces apparaissent.

3. Élaborez un plan d’intervention en cas d’incident solide

Des problèmes surviennent et il faut être prêt à y faire face 24h/24 et 7j/7. Voici ce dont vous avez besoin selon la réglementation DORA :

  • Définissez les incidents en fonction de leur sévérité et de leur fréquence.
  • Définissez des étapes claires sur la manière d’aborder, d’atténuer et de contenir les incidents pour les partenaires internes et externes.
  • Déléguez les rôles lors de la préparation des incidents futurs.
  • Élaborez des mesures de continuité des activités pour restaurer les données et remettre les systèmes en ligne rapidement.
  • Effectuez régulièrement des exercices/simulations concrets pour vérifier si des améliorations sont nécessaires. Pour une discussion plus approfondie, consultez le guide Check-list de sécurité informatique pour protéger votre entreprise.

4. Collaborez avec des fournisseurs tiers pour vérifier la conformité

Faites preuve de vérification diligente à l’égard des fournisseurs tiers que vous employez afin de garantir une conformité totale avec la loi DORA. Voici comment :

  • Assurez-vous que votre fournisseur respecte les bonnes pratiques de sécurité et les politiques de protection des données.
  • Incorporez les normes de conformité DORA dans les contrats de votre entreprise. Nous vous recommandons de lire notre guide sur les accords de services gérés pour les MSP pour plus d’informations. 
  • Contrôlez en permanence leurs performances par le biais d’audits.
  • Faites équipe pour combler les lacunes de votre infrastructure.
  • Maintenez une ligne de communication ouverte.

5. Testez et contrôlez régulièrement la résilience

Démontrez les mesures de sécurité de votre système à l’aide de simulations approfondies qui testent sa résilience :

  • Effectuez des tests de sécurité annuels.
  • Évaluez les vulnérabilités de votre système tous les quatre mois.
  • Utiliser TLPT pour simuler des attaques réelles.
  • Suivez en permanence les performances, la disponibilité et la sécurité du système pendant les tests.
  • Analysez les résultats pour identifier les points faibles et les moyens de vous améliorer.
  • Révisez et intensifiez les protocoles de sécurité, les plans de reprise et la réponse aux incidents.

L’impact de la réglementation DORA sur l’avenir de la conformité dans le secteur financier

DORA complète les normes et réglementations préexistantes dans l’UE, telles que le règlement général sur la protection des données (RGPD) et la directive NIS2 sur la sécurité, améliorant ainsi le bien-être numérique global de son secteur financier.

Cette impulsion majeure en faveur de meilleures normes de résilience opérationnelle incitera probablement d’autres pays en dehors de l’UE à adopter des principes similaires, tels que la RGPD, qui crée un précédent en matière de réglementation des données et de sécurité opérationnelle à l’échelle mondiale.

En s’alignant sur des cadres de sécurité nouveaux et solides tels que DORA, les pays peuvent favoriser une communauté mondiale plus saine et mieux équipée pour faire face aux menaces numériques d’aujourd’hui.

Votre parcours de conformité DORA

DORA renforce les normes de gestion des risques pour les banques et les autres entreprises financières de l’Union européenne. Le cadre du DORA exige la mise en place d’un leadership en matière de gestion des risques liés aux TIC, la communication rapide et fiable des incidents, des tests cohérents, l’évaluation des fournisseurs tiers et le partage d’informations.

Les grandes institutions financières sont le moteur de l’économie et, bien que des incidents puissent se produire, il est de votre devoir de minimiser les risques autant que possible. Le respect de la réglementation DORA permet à votre entreprise de disposer d’un système de commandement plus solide, de mesures de cybersécurité de premier ordre et bien plus encore.

Vous pourriez aussi aimer

Prêt à simplifier les aspects les plus complexes de l'informatique et de la sécurité ?
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).