Le 17 janvier dernier, l’Union Européenne a franchi une étape importante avec l’entrée en vigueur de la directive DORA (Digital Operational Resilience Act), un règlement visant à renforcer la résilience opérationnelle des acteurs du secteur financier face aux cybermenaces qui s’intensifient. Conçue pour garantir une meilleure gestion des risques technologiques, DORA impose de nouvelles obligations aux entreprises, notamment dans les domaines de la gouvernance, de la gestion des incidents cyber et de la communication.
Qu'est-ce que la directive DORA ?
DORA est un règlement européen qui fixe des exigences strictes en matière de résilience numérique pour les acteurs des marchés financiers. Son objectif est de garantir que les infrastructures financières, telles que les banques, les assureurs, les sociétés de gestion de portefeuille, et les établissements de paiement, soient suffisamment robustes pour faire face aux incidents technologiques et cybernétiques qui pourraient menacer la stabilité du système financier européen.
Les principales exigences DORA sont les suivantes :
- Protéger les infrastructures critiques des marchés financiers face aux cyberattaques et autres risques technologiques.
- Renforcer la gouvernance interne des risques numériques, en s’assurant que les entreprises disposent de processus appropriés pour identifier, gérer et résoudre les incidents.
- Uniformiser les pratiques de gestion des incidents cyber à travers les secteurs financiers, garantissant ainsi une réponse coordonnée et efficace aux crises.
Qui est concerné par cette directive ?
Elle s’applique prioritairement aux acteurs du secteur financier, notamment :
- Banques et assureurs
- Infrastructures de marché
- Sociétés de gestion de portefeuille
- Établissements de paiement et autres services financiers
Toutefois, l’impact de cette réglementation pourrait également se faire sentir chez les fournisseurs externes et les partenaires technologiques de ces entités, car ils devront également respecter les exigences de DORA en matière de sécurité numérique.
Comment rester conforme à la directive DORA ?
La mise en conformité nécessite une approche méthodique et transversale au sein des entreprises. Voici les 4 piliers à appréhender pour encadrer la résilience opérationnelle numérique :
- Évaluation des risques technologiques
Les entreprises doivent réaliser un audit de leurs infrastructures numériques et évaluer leur niveau de vulnérabilité face aux cybermenaces. Cette étape vise à identifier les risques et définir des priorités pour leur gestion.
- Renforcement de la gouvernance interne
La directive DORA exige des entreprises qu’elles renforcent leur gouvernance interne en matière de gestion des risques numériques. Cela implique de mettre en place des processus clairs pour la gestion des incidents, de définir des rôles et responsabilités et d’assurer une communication efficace en cas de crise.
- Amélioration des processus de gestion des incidents
Les entreprises devront être prêtes à réagir rapidement et efficacement face à un incident cyber. Cela comprend la mise en place de plans de gestion des incidents, la formation des équipes et la définition de procédures claires pour la communication et la résolution des incidents.
- Collaboration avec les partenaires technologiques
L’une des principales nouveautés de DORA est l’obligation pour les entreprises de s’assurer que leurs fournisseurs et partenaires technologiques respectent également les exigences de résilience numérique. Cela nécessite une gestion renforcée des contrats et une surveillance continue des partenaires externes.
L’accompagnement de nos experts : DAF, DSI, et Risk Manager
La mise en conformité avec DORA peut représenter un défi de taille pour de nombreuses entreprises. C’est pourquoi nos experts externes, spécialisés en direction administrative et financière (DAF), systèmes d’information (DSI) et gestion des risques, peuvent les accompagner.
- Un DAF
Pour gérer les impacts financiers de l’application de la directive en évaluant les ressources nécessaires à la mise en conformité, mais aussi en définissant les stratégies financières pour intégrer les nouvelles exigences sans nuire à la rentabilité de l’entreprise.
- Un DSI
Pour mettre en place des infrastructures et des processus nécessaires à la résilience numérique. Ils sont en première ligne pour assurer la sécurité des systèmes informatiques et garantir que les entreprises respectent les exigences de gestion des risques cyber.
- Un Risk Managers
Les Risk Managers pour identifier et évaluer les risques technologiques spécifiques à chaque entreprise. Leur expertise permet de mettre en place des plans de gestion des incidents et de garantir une réponse rapide et efficace en cas de cyberattaque.
Nos experts peuvent travailler de manière transversale avec vos équipes internes pour garantir la conformité avec DORA, protéger vos systèmes critiques et vous préparer aux défis de demain.
Cette directive marque une étape importante dans la réglementation de la cybersécurité et de la résilience opérationnelle des acteurs financiers. Au-delà du défi de son application, elle représente aussi une opportunité pour les entreprises de renforcer leur infrastructure numérique et d’assurer la continuité de leurs activités face aux cybermenaces croissantes. Pour vous accompagner dans cette démarche, nos experts DAF, DSI et Risk Manager sont à vos côtés pour être en accord avec ces nouvelles exigences réglementaires et garantir la sécurité de vos opérations.
Pour en savoir plus, n’hésitez pas à nous contacter pour discuter des solutions adaptées à votre organisation.
