La loi sur la résilience opérationnelle numérique, ou loi DORA, est un règlement de l’Union européenne (UE) qui crée un cadre contraignant complet pour lagestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier de l’UE.
La loi DORA instaure des normes techniques que les entités financières et leurs fournisseurs de services technologiques tiers essentiels doivent mettre en œuvre au sein de leurs systèmes TIC avant le 17 janvier 2025.
Découvrez comment appliquer la gouvernance et la confidentialité des données à grande échelle grâce à des normes et à des fonctionnalités de traçabilité des données dans toute l’organisation.
Transformez vos talents grâce à notre guide
Le règlement DORA a deux objectifs principaux : traiter de manière exhaustive la gestion des risques TIC dans le secteur des services financiers et harmoniser les réglementations déjà existantes en la matière dans les États membres de l’UE.
Avant la loi DORA, les réglementations de gestion des risques pour les institutions financières de l’UE visaient principalement à garantir que les entreprises disposaient de suffisamment de capital pour couvrir les risques opérationnels. Bien que certains régulateurs de l’UE aient publié des lignes directrices sur les TIC et la gestion des risques de sécurité (lien externe à ibm.com), celles-ci ne s’appliquaient pas à toutes les entités financières de la même manière. En outre, elles reposaient souvent sur des principes généraux plutôt que sur des normes techniques clairement définies. En l’absence de règles de gestion des risques TIC au niveau de l’UE, les Etats membres ont émis leurs propres exigences, créant ainsi un patchwork de réglementations dans lequel les entités financières ont bien du mal à se retrouver.
Avec la loi DORA, l’UE vise à établir un cadre des exigences universel pour la gestion et l’atténuation des risques TIC dans le secteur financier. En harmonisant les règles de gestion des risques dans toute l’UE, la loi DORA cherche à éliminer les écarts, les redondances et les conflits qui pourraient survenir entre des réglementations disparates dans différents Etats de l’UE. Si les entités financières disposent d’un ensemble commun de règles, il sera plus simple pour elles de s’y conformer. La garantie que chaque institution est soumise à la même norme devrait également améliorer la résilience de l’ensemble du système financier de l’UE.
La loi DORA s’applique à toutes les institutions financières de l’UE. Elle concerne tant les entités financières traditionnelles (banques, sociétés d’investissement et institutions de crédit) que les entités non traditionnelles (fournisseurs de services pour les cryptoactifs et plateformes de crowdfunding).
La loi DORA s’applique également à certaines entités généralement exclues des réglementations financières. Par exemple, les fournisseurs de services TIC tiers qui proposent aux sociétés financières des systèmes et des services TIC (comme les fournisseurs de services cloud et les centres de données) doivent respecter les exigences de la loi DORA. La loi concerne également les entreprises qui fournissent des services de renseignement essentiels, comme les services de notation et les fournisseurs d’analyse de données.
La loi DORA a été proposée pour la première fois par la Commission européenne (la branche exécutive de l’UE responsable de l’élaboration des législations) en septembre 2020. Elle s’inscrit dans un ensemble plus vaste de mesures relatives à la finance numérique, qui comprend également des initiatives visant à réglementer les cryptoactifs et à renforcer la stratégie globale de l’UE en matière de finance numérique. Le Conseil de l’Union européenne et le Parlement européen (les instances législatives chargées d’approuver les lois de l’UE) ont officiellement adopté la loi DORA en novembre 2022. Les entités financières et les fournisseurs de services TIC tiers ont jusqu’au 17 janvier 2025 pour se conformer à la loi DORA avant qu’elle ne soit appliquée.
La loi DORA a donc été officiellement adoptée par l’UE, mais les Autorités européennes de surveillance (AES) continuent de peaufiner des détails importants. Les AES correspondent aux organismes de régulation qui supervisent le système financier de l’UE. Elles se composent de l’Autorité bancaire européenne (ABE), de l’Autorité européenne des marchés financiers, ainsi que de l’Autorité européenne des assurances et des pensions professionnelles.
Les AES sont chargées de rédiger les normes techniques de réglementation et les normes techniques d’exécution que les entités concernées doivent appliquer. Ces normes devraient être finalisées en 2024. La Commission européenne développe un cadre de surveillance pour les fournisseurs de TIC essentiels, qui devrait également être finalisé en 2024.
Une fois les normes finalisées et l’échéance de janvier 2025 atteinte, leur application incombera aux régulateurs désignés au sein de chaque Etat membre de l’UE, appelés « autorités compétentes ». Les autorités compétentes peuvent exiger que les entités financières prennent des mesures de sécurité spécifiques et résolvent les vulnérabilités. Elles sont également en mesure d’imposer des sanctions administratives, et dans certains cas pénales, aux entités qui ne respectent pas les normes. Chaque Etat membre décidera de ses propres sanctions.
Les fournisseurs de TIC considérés comme « essentiels » par la Commission européenne seront directement supervisés par des surveillants principaux issus des AES. Comme les autorités compétentes, les surveillants principaux peuvent exiger des mesures de sécurité et de résolution, ainsi que sanctionner les fournisseurs de TIC non conformes. La loi DORA permet aux surveillants principaux d’infliger des amendes aux fournisseurs de TIC à hauteur de 1 % de leur chiffre d’affaires mondial quotidien moyen au cours de l’exercice précédent. Les fournisseurs peuvent être condamnés à une amende quotidienne sur une période pouvant aller jusqu’à six mois, jusqu’à ce qu’ils se conforment à la réglementation.
La loi DORA établit des exigences techniques pour les entités financières et les fournisseurs de TIC dans quatre domaines :
- Gestion et gouvernance des risques liés aux TIC
- Réponse aux incidents et reporting
- Tests de résilience opérationnelle numérique
- Gestion des risques liés aux tiers
Le partage d’informations est encouragé mais pas obligatoire.
Les exigences seront appliquées proportionnellement, ce qui signifie que les petites entités ne seront pas soumises aux mêmes normes que les grandes institutions financières. Bien que les normes techniques de réglementation et les normes techniques d’exécution pour chaque domaine soient encore en cours d’élaboration, la loi DORA existante offre un aperçu des exigences générales.
Gestion et gouvernance des risques liés aux TIC
La loi DORA confie à l’organe de direction d’une entité la responsabilité de la gestion des TIC. Les membres du conseil d’administration, les dirigeants et les cadres supérieurs doivent définir des stratégies de gestion des risques appropriées, participer activement à leur application et actualiser leurs connaissances sur l’évolution des risques TIC. Les dirigeants peuvent également être tenus personnellement responsables de la non-conformité d’une entité.
Les entités concernées sont censées développer des cadres complets de gestion des risques TIC. Elles doivent cartographier leurs systèmes TIC, identifier et classer les actifs et les fonctions critiques, ainsi que documenter les dépendances entre les ressources, les systèmes, les processus et les fournisseurs. Elles doivent également effectuer des évaluations continues des risques sur leurs systèmes TIC, documenter et classer les cybermenaces, ainsi que documenter les étapes suivies pour atténuer les risques identifiés.
Dans le cadre du processus d’évaluation des risques, les entités doivent effectuer des analyses d’impact métier pour évaluer la façon dont des scénarios spécifiques et des perturbations graves peuvent affecter l’entreprise. Les entités doivent utiliser les résultats de ces analyses pour définir des niveaux de tolérance aux risques et concevoir leur infrastructure TIC en connaissance de cause. Les entités doivent également mettre en œuvre des mesures appropriéesde protection de cybersécurité (politiques de gestion des identités et des accès et politiques de gestion des correctifs) ainsi que des contrôles techniques (systèmes dedétection et de réponse étendus, logiciels de gestion des informations et des événements de sécurité (SIEM), etoutils d’automatisation et de réponse aux incidents (SOAR)).
Les entités doivent également établir des stratégies de continuité des activités et de reprise après incident pour divers scénarios de cyber-risques, notamment les défaillances de services TIC, les catastrophes naturelles et les cyberattaques. Ces stratégies doivent inclure des mesures de sauvegarde et de restauration des données, des processus de restauration du système et des stratégies de communication avec les clients, les partenaires et les autorités concernés.
Les normes techniques de réglementation qui spécifient les éléments obligatoires du cadre de gestion des risques d’une entité seront communiquées plus tard. Les experts estiment qu’elles seront similaires aux lignes directrices existantes de l’EBA sur la gestion des risques liés aux TIC et à la sécurité.
Réponse aux incidents et reporting
Les entités concernées doivent établir des systèmes de surveillance, de gestion, d’enregistrement, de classification et de signalement des incidents liés aux TIC. Selon la gravité de l’incident, les entités peuvent avoir besoin d’effectuer des signalements auprès des régulateurs, mais aussi des clients et des partenaires concernés. Les entités devront remplir trois types de rapports différents pour les incidents critiques : un rapport initial pour informer les autorités, un rapport intermédiaire sur l’avancée de la résolution de l’incident et un rapport final analysant les causes de l’incident.
Les règles qui définissent la manière dont les incidents doivent être classés, quels incidents doivent être signalés et les échéances de déclaration seront bientôt communiquées. Les AES explorent également des moyens de rationaliser le reporting en établissant un hub central et des modèles de rapports communs.
Tests de résilience opérationnelle numérique
Les entités doivent tester régulièrement leurs systèmes TIC pour évaluer l’efficacité de leurs protections et identifier les vulnérabilités. Les résultats de ces tests et les stratégies visant à remédier aux faiblesses constatées seront communiqués aux autorités compétentes pertinentes et validés par ces dernières.
Une fois par an, les entités doivent effectuer des tests basiques, comme des évaluations des vulnérabilités et des tests basés sur des scénarios. Les entités financières dont le rôle est jugé essentiel au système financier devront également être soumises à des tests d’intrusion guidés par la menace (« threat-led penetration testing » ou TLPT) tous les trois ans. Les fournisseurs de TIC essentiels de l’entité devront également participer à ces tests de pénétration. Les normes techniques qui définissent la manière dont les TLPT doivent être menées seront bientôt communiquées, mais elles seront probablement alignées sur le cadre TIBER-EU (lien externe à ibm.com), qui régit l’utilisation du piratage éthique fondé sur les renseignements sur les menaces (« red-teaming »).
Gestion des risques liés aux tiers
L’une des particularités de la loi DORA réside dans le fait qu’elle s’applique non seulement aux entités financières, mais aussi aux fournisseurs de TIC qui fournissent des services au secteur financier.
Les sociétés financières sont invitées à participer activement à la gestion des risques tiers liés aux TIC. Quand les entités financières externalisent des fonctions critiques et importantes, elles doivent négocier des dispositions contractuelles spécifiques concernant les stratégies de retrait, les audits et les objectifs de performance pour l’accessibilité, l’intégrité et la sécurité, entre autres. Les entités ne sont pas autorisées à conclure un contrat avec des fournisseurs de TIC qui ne répondent pas à ces exigences. Les autorités compétentes sont habilitées à suspendre ou à résilier les contrats non conformes. La Commission européenne étudie la possibilité de rédiger des clauses contractuelles standardisées que les entités et les fournisseurs de TIC pourront utiliser afin de s’assurer que leurs accords respectent la loi DORA.
Les institutions financières devront également cartographier leurs dépendances TIC à l’égard des tiers, et elles devront s’assurer que leurs fonctions critiques et importantes ne se concentrent pas chez un seul fournisseur ou un petit groupe de fournisseurs.
Les fournisseurs de services tiers essentiels dans le domaine des TIC seront soumis à la supervision directe des AES concernées. La Commission européenne élabore encore les critères qui visent à déterminer quels fournisseurs sont essentiels. Ceux qui satisfont aux normes se verront attribuer l’une des AES en tant que surveillant principal. En plus de faire appliquer les exigences de la loi DORA aux fournisseurs essentiels, les surveillants principaux seront habilités à interdire aux fournisseurs de conclure des contrats avec des sociétés financières ou d’autres fournisseurs de TIC qui ne se conforment pas à la loi DORA.
Partage d’informations
Les entités financières doivent établir des processus permettant de tirer des enseignements des incidents internes et externes liés aux TIC. A cette fin, la loi DORA encourage les entités à s’inscrire dans des accords volontaires de partage de renseignements sur les menaces. Toute information partagée dans ce cadre doit toujours être protégée conformément aux directives applicables. Par exemple, les données personnelles sont toujours soumises au Règlement général sur la protection des données.
Déjouez les attaques grâce à une suite de sécurité connectée et moderne. Le portefeuille QRadar est doté d’une IA de niveau professionnel et offre des produits intégrés pour la sécurité des points de terminaison, la gestion des registres, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des workflows connectés.
Améliorez votre posture de cybersécurité grâce à la traque continue, à la surveillance en temps réel et à l’analyse approfondie des menaces. Une équipe de réponse aux incidents d’astreinte peut réduire considérablement les temps de réponse, diminuer l’impact des cyberattaques et faciliter une récupération plus rapide, apportant ainsi un soutien crucial aux services informatiques surchargés.
Exploitez toute la puissance de votre infrastructure informatique. La dernière génération de serveurs, d’appareils de stockage et de logiciels d’IBM peut vous aider à moderniser et à mettre à l’échelle vos activités sur site et dans le cloud grâce à un cloud hybride sécurisé, mais aussi à une automatisation et à des informations fiables basées sur l’IA.
Découvrez comment les automatisations basées sur l’IA à fort impact contribuent à rendre vos systèmes informatiques plus proactifs, vos processus plus efficaces et vos collaborateurs plus productifs.
Accélérez l’innovation tout en satisfaisant vos besoins en matière de sécurité et de conformité. IBM Cloud for Financial Services est conçu pour aider les clients à atténuer les risques et à accélérer l’adoption du cloud, y compris pour leurs workloads les plus sensibles.
Le règlement DORA reconnaît la nature évolutive du risque et de la résilience dans le paysage de plus en plus numérisé des services financiers de l’UE.
Comme tout effort visant à apporter un changement en profondeur au rythme et à l’échelle voulus, la mise en œuvre du règlement DORA nécessitera une attention et un engagement constants, en particulier de la part du conseil d’administration et de la direction.
Les responsables de la chaîne d’approvisionnement tournés vers l’avenir peuvent se distinguer de leurs homologues qui se concentrent uniquement sur le présent.