DORA : Le nouveau standard européen pour la résilience numérique du secteur tech & cloud

La transformation numérique du secteur financier n’est pas nouvelle. Ce qui change, c’est l’ampleur de sa dépendance aux technologies de l’information et aux services cloud. Paiements, investissements, assurances, banques en ligne : tout passe par des systèmes connectés, hautement automatisés et interdépendants. Le moindre incident peut se propager en quelques secondes et générer une onde de choc sur l’ensemble du système financier européen.

C’est dans ce contexte qu’entre en jeu le Règlement (UE) 2022/2554, mieux connu sous le nom de DORA (Digital Operational Resilience Act). Publié en décembre 2022, il entrera en application le 17 janvier 2025. Ce texte constitue une avancée majeure dans la réglementation de la cybersécurité dans la finance.

Pourquoi est-ce important d’être au courant ? Parce que DORA impacte l’ensemble des opérateurs financiers (banques, assurances, fintechs, asset managers, etc.) mais aussi leurs prestataires technologiques, notamment dans le cloud, le stockage ou la cybersécurité. Et parce qu’il impose un standard élevé de maîtrise du risque opérationnel numérique.

Qu’est-ce que DORA ?

DORA est un règlement européen qui harmonise les exigences en matière de résilience opérationnelle numérique dans le secteur financier. Il vise à s’assurer que les entités financières puissent résister, répondre et se remettre des incidents informatiques, qu’ils soient d’origine accidentelle ou malveillante.

Il s’applique à un large éventail d’acteurs :

  • Banques et coopératives de crédit
  • Assurances et réassureurs
  • Sociétés de gestion d’actifs, fintechs, plateformes
  • Prestataires de services TIC (Technologies de l’Information et de la Communication)  (cloud, stockage, cybersécurité) 

Les piliers de DORA : obligations clés

a) Gestion du risque TIC (Technologies de l’Information et de la Communication)

Chaque entité devra disposer d’un cadre robuste pour gérer les risques TIC :

  • Identification des actifs critiques
  • Méthodes de prévention, protection, détection
  • Plans de réponse et de récupération
  • Implication du management (gouvernance)

b) Signalement des incidents

Les incidents TIC majeurs devront être signalés rapidement aux autorités nationales compétentes.

c) Tests de résilience

Tests périodiques des systèmes d’information, adaptés au niveau de maturité de l’organisation. Les acteurs critiques devront réaliser des tests de type TLPT (Threat-Led Penetration Testing).

d) Contrats avec les fournisseurs TIC

Obligation de clauses contractuelles types :

  • Droits d’audit
  • Gestion des données et de la sous-traitance
  • Plans de sortie en cas de défaillance

e) Supervision des fournisseurs critiques

Les prestataires TIC critiques (cloud, SaaS, etc.) devront se conformer à une supervision européenne directe.

Pourquoi c’est stratégique pour les professionnels du cloud, de la sécurité et du stockage

  • Positionnement commercial : Fournir des services conformes DORA sera un avantage compétitif dès 2025.
  • Accès au marché financier : DORA est un sésame pour rester dans la chaîne de valeur des services financiers.
  • Responsabilité accrue : Les obligations de traçabilité, de support, d’audit, de réversibilité montent d’un cran.
  • Dialogue technique : Les relations entre DSI, RSSI et fournisseurs devront être étroitement formalisées.

Ce qu’il faut préparer dès maintenant

  • Cartographier vos dépendances critiques (interne/externe)
  • Revoir vos contrats fournisseurs TIC (audit, clauses de sortie, réversibilité…)
  • Mettre à jour vos plans de continuité et de reprise d’activité
  • Simuler un TLPT si vous êtes une entité systémique ou critique
  • Structurer une gouvernance cyber claire au niveau du board

DORA est une opportunité (si vous êtes prêt)

DORA ne doit pas être vu comme une contrainte mais comme un catalyseur. Il pousse le secteur financier et ses partenaires technologiques à élever leurs standards en matière de sécurité, de traçabilité, de continuité et de transparence. Pour les professionnels du stockage, du cloud ou de la cybersécurité, c’est l’occasion d’élargir leur champ d’intervention et de s’ancrer durablement dans les écosystèmes financiers européens.

Rester informé, anticiper, formaliser ses pratiques : voilà la clef pour transformer cette réglementation en avantage compétitif.

Source : Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA), Journal officiel de l’Union européenne, 27 décembre 2022.

Disponible en ligne : eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32022R2554

Related Posts

Leave a Reply

Your email address will not be published. Required fields are marked *