La règlementation DORA : nouveau challenge de cyber résilience pour les institutions financières
septembre 2024 par Jérôme Thomas, Solution Engineer Manager chez Dynatrace
Le règlement sur la résilience opérationnelle numérique du secteur financier (DORA – Digital Operational Resilience Act) se profile à l’horizon, projetant son ombre réglementaire sur les institutions financières. DORA est une réglementation de l’Union européenne (UE) entrée en vigueur le 16 janvier 2023, avec une mise en application à partir du 17 janvier 2025. Les régulateurs européens ainsi que les autorités des 27 états de l’UE surveilleront à la bonne application du texte. Pour la France, il s’agira notamment de l’ACPR et l’AMF. Des sanctions définies par chaque État membre s’appliqueront en cas de non-conformité. DORA vise à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les sociétés d’investissement.
Protéger contre les cybermenaces et favoriser la stabilité au-delà des frontières
Les grandes banques restent la cible privilégiée des hackers, et les cyberattaques sont devenues plus fréquentes et plus difficiles à défendre. Une étude récente révèle qu’en France, 74 % des RSSI déclarent avoir connu un problème lié à la sécurité des applications dans leur organisation au cours des deux dernières années, et l’utilisation croissante de l’IA ne fait qu’aggraver la situation. La conformité à DORA placera les services financiers dans une position plus forte pour résister à ces cybermenaces plus sophistiquées, protéger les informations sensibles des clients et maintenir la confiance dans le système financier.
En garantissant des pratiques plus solides en matière de cybersécurité, DORA cherche à améliorer la résilience digitale du secteur financier européen en le rendant plus apte à résister à des perturbations opérationnelles graves. La réglementation couvre des domaines tels que :
la gestion des risques liés aux technologies de l’information et de la communication (TIC),
les risques liés aux tiers,
les tests de résilience opérationnelle digitale,
la déclaration aux autorités compétentes d’incidents majeurs liés aux TIC.
Ses principes harmonisés répondent à la dépendance croissante à l’égard de la technologie dans le secteur des services financiers, en protégeant contre les cybermenaces et en favorisant la stabilité au-delà des frontières.
Comprendre le règlement DORA
DORA est bien plus qu’un simple acronyme : c’est une boussole pointant vers la résilience opérationnelle.
Gestion des risques : DORA exige que les institutions financières s’assurent qu’elles disposent d’un cadre solide pour identifier, évaluer et neutraliser les menaces informatiques potentielles. L’une des exigences du règlement DORA consiste à analyser régulièrement le paysage digital pour identifier les vulnérabilités potentielles.
Signalement des incidents : Le règlement DORA exige également que les institutions financières enregistrent et opèrent une classification de tous les incidents selon des critères définis dans le règlement et dont les délais seront précisés dans les normes réglementaires techniques et d’exécution (RTS et ITS). Pour ce faire, les entreprises financières doivent disposer des outils adéquats pour identifier rapidement les menaces et ne pas s’appuyer sur des capacités de détection et de réponse manuelles.
Surveillance et supervision : Des tests réguliers de résilience opérationnelle sont également une exigence clé de DORA, obligeant les organisations de services financiers à simuler des cyberattaques et des perturbations au sein de leurs systèmes afin d’exposer les vulnérabilités de leurs patrimoines.
Le règlement s’applique aussi aux prestataires de TIC. De plus, les fournisseurs désignés critiques par les autorités européennes de surveillance auront des obligations supplémentaires et une surveillance directe par ces mêmes autorités.
Assurer la conformité
Répondre à ces exigences peut s’avérer difficile, en particulier pour ceux qui s’appuient encore sur les pratiques traditionnelles de conformité réglementaire et de gestion des vulnérabilités. Les équipes de sécurité ont souvent du mal à surveiller efficacement les systèmes internes afin d’identifier rapidement les menaces potentielles, ce qui rend difficile le signalement rapide des incidents conformément au règlement DORA.
La difficulté réside dans le fait que les banques ont souvent une visibilité limitée en raison de leurs systèmes fonctionnant dans des environnements cloud complexes. S’ils ne sont pas contrôlés, les angles morts de ces environnements peuvent perturber d’importants services bancaires en raison du risque que des vulnérabilités soient négligées jusqu’à ce qu’un incident de sécurité se produise. Ces défis sont aggravés par la pénurie de compétences en matière de cybersécurité. Avec un personnel limité et les exigences accrues de DORA en matière de surveillance et de signalement des incidents, les prestataires de services financiers auront du mal à se mettre en conformité s’ils ne trouvent pas un moyen plus efficace d’identifier les menaces à la sécurité et d’y répondre.
Pour soutenir leurs efforts, les organisations financières peuvent faire converger leurs données de sécurité et d’observabilité en un seul endroit, où elles peuvent être utilisées pour permettre une analyse automatisée des vulnérabilités au moment de l’exécution. Ce faisant, les fournisseurs de services financiers disposeront d’une source claire d’informations en temps réel sur les menaces potentielles et les incidents de sécurité. Les équipes financières pourront alors identifier rapidement la gravité et l’impact des incidents et communiquer ces informations à temps, pour se conformer au règlement DORA.
Le compte à rebours a déjà commencé
À six mois de l’échéance, les institutions financières doivent rapidement finaliser leurs préparatifs si elles veulent respecter le délai de mise en conformité. Mais DORA ne se limite pas à cocher des cases ; il s’agit de construire une entreprise sûre et résiliente dans un paysage de menaces en constante évolution. Ceux qui comprennent l’intérêt d’adopter les meilleures pratiques qu’elle implique seront en mesure de prévenir les cyberattaques de manière proactive, plutôt que de s’efforcer de les contenir à la dernière minute.