La directive européenne DORA (Digital Operational Resilience Act) s’appliquera aux 27 États membres de l’UE à partir de janvier 2025. Elle vise à renforcer les capacités de résilience des acteurs de la finance dont les activités sont de plus en plus numérisées, et donc soumises à des cyber-risques croissants.
Le numérique prend aujourd’hui une place croissante dans les activités du secteur financier : digitalisation des processus, automatisation des tâches, recours au cloud, intelligence artificielle… Les acteurs de la finance sont, par ricochet, de plus en plus exposés aux cybermenaces (phishing, rançongiciels, intrusions, vols de données, etc.).
Selon la 12e édition de l’enquête annuelle menée par EY et l’IIF (Institute of International Finance) intitulée « Seeking Stability within Volatility: How Interdependent Risks put CROs at the Heart of the Banking Business » (Rechercher la stabilité dans la volatilité : comment les risques interdépendants placent les Chief Risk Officers au cœur de l’activité bancaire), la cybersécurité est considérée comme la principale préoccupation sur les douze prochains mois, suivie par les risques de crédit et les risques environnementaux.
Un défi d’harmonisation des mesures prises par chaque État membre
La résilience des entreprises du secteur s’impose dès lors comme l’un des principaux leviers permettant d’assurer, en toutes circonstances, la pérennité des activités. C’est dans ce contexte que la directive européenne DORA a vu le jour. Elle a pour objectif de renforcer la résilience opérationnelle numérique du secteur financier. Le règlement européen qui en découle a été publié au Journal officiel de l’UE mi-décembre 2022, pour une entrée en vigueur le 16 janvier 2023. Il s’appliquera à partir du 17 janvier 2025 aux 27 États membres de l’UE.
La création de cette directive et de ce règlement vise principalement à pallier le manque d’harmonisation au niveau européen des stratégies de résilience numérique concernant les acteurs financiers. « L’absence de règles détaillées et exhaustives sur la résilience opérationnelle numérique au niveau de l’UE a favorisé la prolifération d’initiatives réglementaires (par exemple, sur les tests en matière de résilience opérationnelle numérique) et de pratiques de surveillance (par exemple, en ce qui concerne la dépendance à l’égard de tiers prestataires de services informatiques) au niveau national », peut-on lire dans la proposition de règlement publiée en septembre 2020 sur le site de la Commission européenne.
« L’action au niveau des États membres n’a cependant qu’un effet limité étant donné la nature transfrontière des risques informatiques. En outre, le manque de coordination entre les initiatives nationales a donné lieu à des chevauchements, des incohérences, des exigences redondantes, des coûts administratifs et de mise en conformité élevés – en particulier pour les entités financières transfrontières – ou a laissé des risques informatiques non détectés et, partant, non traités. Cette situation fragmente le marché unique, compromet la stabilité et l’intégrité du secteur financier de l’UE et porte atteinte à la protection des consommateurs et des investisseurs », ajoute la Commission européenne.
Cinq piliers pour une résilience renforcée
Concrètement, la directive DORA met l’accent sur cinq piliers propres à renforcer la résilience des acteurs de la finance :
- La gestion des risques liés aux technologies de l’information et de la communication (TIC) : la directive DORA rappelle la nécessité de mettre en œuvre un dispositif de gestion des risques liés aux TIC. Dans son texte, DORA insiste sur le fait que « les organes de direction des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle numérique». En clair, DORA met en avant la responsabilité ultime de l’organe de direction dans la gestion du risque lié aux TIC d’une entité financière et souligne que cette approche devrait constituer un principe fondamental de sa stratégie.
- La notification, aux autorités compétentes, des incidents majeurs liés aux TIC et des cybermenaces importantes: l’harmonisation de la notification des incidents liés aux TIC est une partie centrale de la directive DORA qui détaille les modalités de transmission des informations clés aux AES (Autorités européennes de surveillance) comme l’EBA, l’EIOPA et l’ESMA. Les notifications comprennent toutes les données nécessaires pour permettre aux autorités compétentes de déterminer l’importance de l’incident majeur lié aux TIC et d’évaluer les éventuelles incidences transfrontières. Les entités financières peuvent également notifier, à titre volontaire, les cybermenaces importantes aux AES concernées quand elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.
- Les tests de résilience opérationnelle numérique: afin d’évaluer l’état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières sont tenues d’établir et de maintenir un « programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante de leur cadre de gestion du risque lié aux TIC ». Concrètement, les acteurs financiers doivent faire réaliser, au moins une fois par an, des tests de résilience par des entreprises indépendantes, afin de tester les parties les plus critiques de leur système d’information.
- Le partage d’informations et de renseignements en rapport avec les cybermenaces et les cyber-vulnérabilités: le règlement européen DORA prévoit des mécanismes d’échange d’informations sur les cybermenaces entre acteurs financiers. « Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces. Cela renforce à son tour la capacité des entités financières à empêcher les cybermenaces de devenir des incidents réels liés aux TIC et leur permet de contenir plus efficacement l’impact des incidents liés aux TIC et de se rétablir plus rapidement », lit-on dans le texte européen.
- Les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC: la gestion des risques liés aux prestataires tiers de services TIC occupe une place de choix dans le texte de la directive DORA. Les entités financières concernées sont notamment tenues de tenir à jour un registre d’informations portant sur tous les contrats conclus avec les tiers prestataires de services TIC. Les acteurs financiers sont également tenus de procéder à des diligences avant l’entrée en relation et d’insérer des clauses standard minimales dans les contrats, en termes notamment de description des services, de sécurité des données, d’accès, de récupération et de restitution des données en cas d’insolvabilité, ainsi que de droit d’accès, d’inspection et d’audit par l’entité financière ou par un tiers désigné.
Forte de l’ensemble de ces mesures, la directive DORA vise à libérer et à renforcer le potentiel que la finance numérique peut offrir sur le plan de l’innovation et de la compétitivité, tout en limitant les risques qui en découlent. Elle est conforme aux priorités de la Commission européenne consistant à adapter l’Europe à l’ère du numérique et à bâtir une économie parée pour l’avenir et au service des citoyens.
la newsletter
la newsletter