La transformation num\u00e9rique du secteur financier n\u2019est pas nouvelle. Ce qui change, c\u2019est l\u2019ampleur de sa d\u00e9pendance aux technologies de l\u2019information et aux services cloud. Paiements, investissements, assurances, banques en ligne : tout passe par des syst\u00e8mes connect\u00e9s, hautement automatis\u00e9s et interd\u00e9pendants. Le moindre incident peut se propager en quelques secondes et g\u00e9n\u00e9rer une onde de choc sur l\u2019ensemble du syst\u00e8me financier europ\u00e9en.<\/p>\n\n\n\n
C\u2019est dans ce contexte qu\u2019entre en jeu le R\u00e8glement (UE) 2022\/2554, mieux connu sous le nom de DORA (Digital Operational Resilience Act)<\/strong>. Publi\u00e9 en d\u00e9cembre 2022, il entrera en application le 17 janvier 2025. Ce texte constitue une avanc\u00e9e majeure dans la r\u00e9glementation de la cybers\u00e9curit\u00e9 dans la finance.<\/p>\n\n\n\n Pourquoi est-ce important d\u2019\u00eatre au courant ? Parce que DORA impacte l\u2019ensemble des op\u00e9rateurs financiers (banques, assurances, fintechs, asset managers, etc.) mais aussi leurs prestataires technologiques, notamment dans le cloud, le stockage ou la cybers\u00e9curit\u00e9. Et parce qu\u2019il impose un standard \u00e9lev\u00e9 de ma\u00eetrise du risque op\u00e9rationnel num\u00e9rique.<\/p>\n<\/blockquote>\n\n\n\n DORA est un r\u00e8glement europ\u00e9en qui harmonise les exigences en mati\u00e8re de r\u00e9silience op\u00e9rationnelle num\u00e9rique dans le secteur financier. Il vise \u00e0 s’assurer que les entit\u00e9s financi\u00e8res puissent r\u00e9sister, r\u00e9pondre et se remettre des incidents informatiques, qu\u2019ils soient d’origine accidentelle ou malveillante.<\/span><\/p>\n\n\n\n Il s\u2019applique \u00e0 un large \u00e9ventail d\u2019acteurs :<\/span><\/p>\n\n\n\n Chaque entit\u00e9 devra disposer d\u2019un cadre robuste pour g\u00e9rer les risques TIC <\/span>:<\/p>\n\n\n\n Les incidents TIC majeurs devront \u00eatre signal\u00e9s rapidement aux autorit\u00e9s nationales comp\u00e9tentes.<\/span><\/p>\n\n\n\n Tests p\u00e9riodiques des syst\u00e8mes d\u2019information, adapt\u00e9s au niveau de maturit\u00e9 de l\u2019organisation. Les acteurs critiques devront r\u00e9aliser des tests de type TLPT (Threat-Led Penetration Testing).<\/span><\/p>\n\n\n\n Obligation de clauses contractuelles types :<\/span><\/p>\n\n\n\n Les prestataires TIC critiques (cloud, SaaS, etc.) devront se conformer \u00e0 une supervision europ\u00e9enne directe.<\/p>\n\n\n\n\n
Qu’est-ce que DORA ?<\/h3>\n\n\n\n
\n
Les piliers de DORA : obligations cl\u00e9s<\/h3>\n\n\n\n
a) Gestion du risque TIC (Technologies de l\u2019Information et de la Communication)<\/h4>\n\n\n\n
\n
b) Signalement des incidents<\/h4>\n\n\n\n
c) Tests de r\u00e9silience<\/h4>\n\n\n\n
d) Contrats avec les fournisseurs TIC<\/h4>\n\n\n\n
\n
e) Supervision des fournisseurs critiques<\/h4>\n\n\n\n
Pourquoi c’est strat\u00e9gique pour les professionnels du cloud, de la s\u00e9curit\u00e9 et du stockage<\/h3>\n<\/div>\n\n\n\n
\n
Ce qu\u2019il faut pr\u00e9parer d\u00e8s maintenant<\/h3>\n\n\n\n