Français-iconFrançaisarrow-down
SoftExpert Blog
Thèmes
Connaissance
Actualités Suite
Institutionnel
SoftExpert
search-icon
SoftExpert Blog
search-icon
Qu'est-ce que la loi DORA (Digital Operational Resilience Act) et comment s'y préparer
SharePartager

Qu'est-ce que la loi DORA (Digital Operational Resilience Act) et comment s'y préparer

Publié dans 14 de Novembre de 2024

La loi DORA (Digital Operational Resilience Act) est une réglementation de l’Union européenne visant à renforcer la sécurité des technologies de l’information et de la communication (TIC) dans les institutions financières telles que les banques, les compagnies d’assurance et les courtiers en investissement. L’idée est de permettre au secteur financier européen de résister à une interruption critique des opérations.

Avec un secteur financier de plus en plus dépendant des technologies numériques, le risque de cyberattaques ou d’incidents inquiète de plus en plus les entreprises et les autorités. Si ces situations ne sont pas correctement gérées, elles peuvent entraîner des interruptions des services financiers à l’échelle d’un continent.

Jusqu’à l’arrivée de la nouvelle législation, les institutions financières géraient les risques opérationnels en allouant du capital pour couvrir les pertes économiques potentielles. Avec l’arrivée de la DORA — appelée en français loi de résilience opérationnelle numérique — ces entreprises devront suivre des directives strictes de protection contre les incidents TIC.

Dans cet article, nous vous expliquerons tout ce que vous devez savoir sur la loi DORA, quels sont ses objectifs et comment vous pouvez vous y préparer.

Objectifs de la loi DORA

L’objectif principal de la Digital Operational Resilience Act est de renforcer la sécurité des technologies de l’information et de la communication des entités financières de l’Union européenne. La nouvelle législation vise à harmoniser la réglementation de la résilience opérationnelle numérique de 21 types d’entités financières.

Voici les six principaux objectifs de la loi DORA :

  1. Gestion des risques TIC. Fournit un cadre définissant les principes et les exigences pour la gestion des risques des technologies de l’information et de la communication.
  2. Tests de résilience opérationnelle numérique. Définit un programme de tests de résistance contre les cyberattaques et les incidents, allant des évaluations les plus basiques aux plus avancées.
  3. Partage d’informations. Permet l’échange d’informations et de renseignements sur les cybermenaces entre différentes institutions.
  4. Gestion des risques des tiers en TIC. Atténuation des menaces causées par des tiers, avec la création de dispositions contractuelles à inclure dans les contrats avec les fournisseurs et partenaires.
  5. Gestion des incidents. Gestion des incidents liés aux TIC, avec une notification prévue pour ceux de plus grande ampleur. Gestion des cybermenaces avec une ligne directe de communication avec les autorités compétentes.
  6. Supervision des fournisseurs tiers critiques. Assure que les fournisseurs TIC considérés comme critiques soient rigoureusement surveillés par les autorités européennes de supervision (AES).

En général, la loi DORA vise à augmenter la résilience du système financier européen contre les cyberattaques et les incidents des technologies de l’information et de la communication. Par conséquent, l’Union européenne cherche à protéger même les entreprises d’autres secteurs contre les interruptions des systèmes financiers.

eBook gratuit : Comment promouvoir la transformation numérique dans le secteur des services financiers

Quelles organisations sont affectées par la loi DORA

La loi de résilience opérationnelle numérique s’applique à toutes les institutions financières opérant dans l’Union européenne. Cela inclut des entités traditionnelles telles que les banques, les courtiers en investissement et les institutions de crédit, par exemple.

La nouvelle législation affecte également les entreprises moins traditionnelles du secteur, telles que les prestataires de services de crypto-actifs et les plateformes de financement participatif.

Mais ce qui différencie la loi DORA de ses prédécesseurs, c’est qu’elle s’applique également aux entités généralement exclues des législations financières. En effet, elle affecte les fournisseurs de services externalisés qui fournissent des systèmes TIC aux entreprises du marché financier.

Sont également concernés les fournisseurs de services de cloud computing et les centres de données, qui doivent se conformer aux exigences de la DORA. Enfin, la loi couvre également les entreprises fournissant des services d’information critiques de tiers, telles que les agences de notation de crédit et les fournisseurs d’analyse de données.

En résumé, voici les organisations affectées par la loi de résilience opérationnelle numérique :

  1. Entités financières traditionnelles. Banques, courtiers en investissement et institutions de crédit.
  2. Entités financières non traditionnelles. Prestataires de services de crypto-actifs et plateformes de financement participatif.
  3. Fournisseurs de services externalisés. Entreprises fournissant des services de technologies de l’information et de la communication aux entités du marché financier. Fournisseurs de services cloud et centres de données.
  4. Services d’information de tiers. Agences de notation de crédit et fournisseurs d’analyse de données.

Lire la suite : Qu’est-ce que le modèle des 3 lignes et comment fonctionne-t-il en gestion des risques ?

Exigences de la loi DORA

La Digital Operational Resilience Act repose sur cinq piliers principaux pour garantir la résilience opérationnelle numérique du marché des services financiers européens. Ci-dessous, nous détaillerons chacun d’eux.

1. Gestion des risques des technologies de l’information et de la communication (TIC)

Le premier objectif de la loi DORA est de transformer la gestion des risques TIC en un processus proactif. Aujourd’hui, elle fonctionne de manière réactive, uniquement en réponse aux incidents déjà survenus.

Pour cela, la nouvelle législation prévoit le développement et la mise en œuvre d’évaluations régulières des risques, de pratiques d’évaluation, de stratégies d’atténuation, de plans de réponse aux incidents et de processus de sensibilisation aux risques dans les organisations.

2. Notification des incidents

La Digital Operational Resilience Act standardise le processus de notification des incidents au sein des institutions financières opérant dans l’Union européenne. Elle exige que ces organisations mettent en place des systèmes de surveillance, de détection, de description, de notification et d’analyse des incidents significatifs.

Le cadre de rapport doit inclure des procédures pour informer les parties prenantes internes et externes. Cela fait partie de l’effort de la réglementation pour garantir une plus grande transparence dans le domaine de la sécurité du marché financier.

3. Tests de résilience opérationnelle

Les organisations doivent effectuer des tests périodiques pour évaluer leurs vulnérabilités numériques et leur capacité de réponse aux cybermenaces. À partir des résultats, elles doivent élaborer un plan pour améliorer leurs pratiques de sécurité numérique.

Ce pilier vise à garantir que les institutions financières européennes puissent survivre aux attaques malveillantes. Ces menaces peuvent être basiques, intermédiaires ou avancées — tout dépendra de la taille et de la complexité de l’entité.

4. Gestion des risques des tiers

La loi de résilience opérationnelle numérique exige que les institutions financières rédigent des contrats détaillés avec leurs fournisseurs de technologies de l’information et de la communication. Elles doivent effectuer une bonne audit juridique et avoir un processus robuste pour la résiliation de ces partenariats.

L’objectif de cette exigence est de renforcer la relation entre les institutions financières et leurs fournisseurs tiers les plus critiques. Ainsi, l’idée est d’éviter que ces relations ne compromettent la résilience opérationnelle des organisations du secteur financier en Europe.

5. Partage d’informations

Les organisations doivent partager les informations de manière sécurisée pour augmenter la collaboration et la résilience des institutions financières dans leur ensemble. L’objectif est d’accroître la sensibilisation des membres de l’industrie au thème de la résilience opérationnelle.

Un autre point de ce pilier est d’augmenter le partage des pratiques ou des leçons apprises dans tout le secteur.

Lire la suite : SoftExpert Services Financiers – Renforcez la conformité réglementaire, gérez efficacement les risques et optimisez la productivité dans le secteur des services financiers.

Comment se préparer à la loi DORA

La Digital Operational Resilience Act se compose de trois éléments : réglementation (niveau 1), normes techniques (niveau 2) et directives (niveau 3).

Le premier concerne le texte législatif qui détermine le cadre pour la résilience opérationnelle numérique du secteur financier.

Le deuxième niveau traite des règles élaborées par les autorités européennes de supervision (AES), qui fourniront les exigences techniques et les procédures pour mettre en œuvre les réglementations. Enfin, le niveau 3 concerne les recommandations non contraignantes émises par les AES, qui aideront les entités financières à se conformer aux normes techniques.

Dans un premier temps, il est important que votre institution prenne autant de précautions que possible pour se préparer à la nouvelle législation. Voici ce que vous pouvez faire pour préparer votre organisation à la loi de résilience opérationnelle numérique.

1. Comprendre les processus et les systèmes

Cartographiez quels services d’entreprise dépendent de quels processus et systèmes, ainsi que la manière dont ce support se fait. Vérifiez le flux de données et comment différents systèmes interagissent entre eux.

Effectuez un traitement des données, en documentant quels types d’informations sont traités par chaque système. Assurez-vous ensuite que le flux de données est sécurisé et conforme aux législations pertinentes.

2. Identifique riscos de TIC

Si vous ne l’avez pas encore fait, mettez en place le cadre de gestion des risques des technologies de l’information et de la communication. Si vous en avez un, révisez-le pour vous assurer qu’il est conforme à la DORA.

Votre cadre de gestion des risques TIC doit inclure l’identification, l’évaluation, l’atténuation et la surveillance des menaces.

Vous devez également effectuer des évaluations régulières des risques TIC. Cela inclut les vérifications du matériel, des logiciels, des données et des systèmes de communication.

Le logiciel SoftExpert GRC (Gouvernance, risques et conformité) garantit votre conformité aux politiques d’entreprise, aux lois et aux réglementations externes. Avec lui, votre organisation sera prête pour l’arrivée de la loi DORA, tout en se conformant à des normes telles que ISO 9001, ISO 19011 et ISO 22301.

3. Faire une évaluation des lacunes

Vérifiez si votre cadre actuel répond aux exigences de la DORA et identifiez les lacunes à corriger. Effectuez une évaluation rigoureuse de vos capacités actuelles de résilience opérationnelle numérique.

Faites une analyse des lacunes en vous concentrant sur l’identification des déficiences dans les pratiques existantes. Déterminez quels points de non-conformité doivent être améliorés pour se conformer aux normes de la loi de résilience opérationnelle numérique.

4. Gérer les risques des tiers

Identifiez tous vos fournisseurs et autres parties prenantes externes pour développer une stratégie de gestion des risques TIC pour les tiers. Listez tous vos fournisseurs et évaluez leurs rôles dans le système de technologies de l’information et de la communication de votre organisation.

Développez une stratégie globale pour gérer les risques associés aux serveurs TIC externalisés. Cela inclut de faire une audit juridique, les arrangements contractuels nécessaires et une surveillance continue.

5. Mettre en place un processus de gestion des incidents

Assurez-vous que votre entreprise dispose d’un processus mature de gestion des incidents. Il doit permettre des réponses rapides aux cybermenaces et le partage d’informations avec les autorités.

Votre structure de gestion des incidents doit avoir des procédures établies pour identifier, suivre, enregistrer et classer les occurrences liées au système TIC.

Votre processus de gestion des incidents doit inclure des mécanismes de réponse agiles et des protocoles pour créer des rapports qui seront remis aux régulateurs. Cette procédure doit couvrir les plans de communication, les rôles et responsabilités des employés et la manière de documenter les incidents eux-mêmes.

Conclusion

La loi DORA représente une avancée significative dans la réglementation de la résilience opérationnelle numérique pour le secteur financier européen. À mesure que les menaces cybernétiques deviennent plus sophistiquées, la conformité à cette législation sera essentielle pour garantir la sécurité et la continuité des services financiers.

Des grandes banques aux fournisseurs de services technologiques, les institutions de toutes tailles devront revoir et renforcer leurs pratiques de gestion des risques et de résilience. Se préparer à la loi DORA n’est pas seulement une question de conformité réglementaire, mais aussi de protection des actifs et de la réputation de l’organisation.

Cela inclut l’identification des vulnérabilités, la gestion des risques des tiers et la garantie d’une réponse rapide et efficace aux incidents. En résumé, la mise en œuvre minutieuse des directives de la DORA apportera une plus grande confiance au secteur financier et à ses clients, élevant le niveau de sécurité et de collaboration entre les institutions.

Vous cherchez plus d’efficacité et de conformité dans vos opérations ? Nos spécialistes peuvent vous aider à identifier les meilleures stratégies pour votre entreprise avec les solutions de SoftExpert. Contactez-nous dès aujourd’hui !

L'auteur
Carlos Estrella

Carlos Estrella

Carlos Estrella est Analyste en Marketing de Contenu chez SoftExpert. Titulaire d’un diplôme en journalisme, il a consacré les dernières années à maîtriser les domaines du SEO et du marketing de contenu. Il a de l’expérience avec des articles de blog, des vidéos YouTube, des podcasts, des vidéocasts, des webinaires et de l’écriture créative.

Tu pourrais aussi aimer:

Qu'est-ce que la loi DORA (Digital Operational Resilience Act) et comment s'y préparer
Connaissance

Qu’est-ce que la loi DORA (Digital Operational Resilience Act) et comment s’y préparer

La loi DORA (Digital Operational Resilience Act) est une réglementation de l’Union européenne visant à renforcer la sécurité des technologies de l’information et de la communication (TIC) dans les institutions financières telles que les banques, les compagnies d’assurance et les courtiers en investissement. L’idée est de permettre au secteur financier européen de résister à une … <a href="https://blog-cms.softexpert.com:8080/fr/digital-operational-resilience-act/" class="more-link">Continue reading<span class="screen-reader-text"> "Qu’est-ce que la loi DORA (Digital Operational Resilience Act) et comment s’y préparer"</span></a>

identification-des-risques
Actualités Suite

7 méthodes et outils d’identification des risques

Lisez cet article et découvrez 7 méthodes et outils pour l'identification des risques et augmenter la compétitivité et la performance de votre organisation.

Audit de certification
Connaissance

Audit de certification : qu’est-ce que c’est, comment le faire et ses avantages

Un audit de certification est l’ensemble du processus d’analyse et d’évaluation d’une entreprise pour savoir si elle répond aux exigences d’une norme spécifique. Cette évaluation doit être approfondie et impartiale, et peut être effectuée à l’interne ou par une entité indépendante. Généralement, un audit de certification de qualité est généralement effectué lorsqu’une entreprise souhaite obtenir … <a href="https://blog-cms.softexpert.com:8080/fr/audit-de-certification/" class="more-link">Continue reading<span class="screen-reader-text"> "Audit de certification : qu’est-ce que c’est, comment le faire et ses avantages"</span></a>

Qu’est-ce que le système HACCP et comment créer votre stratégie de sécurité alimentaire
Connaissance

Qu’est-ce que le système HACCP et comment créer votre stratégie de sécurité alimentaire

Le HACCP est un système de gestion de la sécurité alimentaire par l’analyse et le contrôle des dangers biologiques, chimiques et physiques. L’étude des dangers est réalisée depuis la production de la matière première jusqu’à la consommation du produit final, en passant par les processus d’acquisition, de manipulation, de fabrication et de distribution. Son sigle … <a href="https://blog-cms.softexpert.com:8080/fr/haccp/" class="more-link">Continue reading<span class="screen-reader-text"> "Qu’est-ce que le système HACCP et comment créer votre stratégie de sécurité alimentaire"</span></a>

Logo SoftExpert Suite

La solution corporative la plus complète pour la gestion intégrée de l’excellence et de la conformité en entreprise