Tout ce que vous devez savoir sur le DORA
Avec l’économie de l’Union européenne devenant de plus en plus dépendante des plateformes numériques, il est devenu crucial pour la région de garantir l’intégrité, la sécurité et la résilience de ces systèmes. Entrez dans l’Acte sur la Résilience Opérationnelle Numérique (DORA), un cadre législatif complet conçu pour renforcer la résilience numérique du secteur financier au sein de l’Union européenne (UE).
Dans cet article, nous répondrons à la question “qu’est-ce que DORA ?” et examinerons les éléments clés du règlement, les avantages pour les citoyens de l’UE, les exigences de conformité pour les entreprises, les limitations actuelles et les recommandations pour rester pertinent dans un environnement chargé de risques cybernétiques.
Qu’est-ce que DORA ?
DORA, ou plus formellement, l’Acte sur la Résilience Opérationnelle Numérique, exige que les entités financières, des banques aux fournisseurs de services en actifs crypto, garantissent que leurs opérations numériques peuvent résister à tous types de perturbations, assurant la continuité des services financiers pour les consommateurs et les entreprises. Cette législation fait partie d’une stratégie plus large de l’UE pour améliorer la résilience opérationnelle du secteur financier, fournissant un cadre pour atténuer le risque de cyberattaques et d’autres incidents liés aux TIC (Technologies de l’Information et de la Communication). En établissant des exigences strictes pour la gestion des risques numériques, DORA protège non seulement le secteur financier contre les cyberattaques, mais améliore également la stabilité financière de l’UE et la confiance des consommateurs dans les services financiers numériques.
Origines de DORA
DORA est apparu en réponse à la dépendance croissante du secteur financier aux plateformes technologiques pour générer, partager et stocker des informations financières sensibles cruciales pour les marchés financiers de l’UE et le bien-être économique. Les perturbations causées par des cyberattaques de plus en plus sophistiquées et fréquentes pourraient paralyser l’économie de l’UE. Le secteur financier de l’UE est en effet devenu une cible principale pour les cyberattaques, ce qui a incité la Commission Européenne à prendre des mesures. DORA a été introduit fin 2022 pour fournir une approche unifiée de la “résilience opérationnelle numérique” dans tous les États membres, garantissant que l’infrastructure critique du secteur financier est adéquatement protégée.
Depuis sa création, DORA a subi diverses révisions, reflétant la nature dynamique du paysage technologique et le besoin d’une approche réglementaire flexible. Les contributions des acteurs de l’industrie financière, des experts en cybersécurité et des organismes réglementaires ont été essentielles pour maintenir l’efficacité et la pertinence de DORA.
Quels sont les meilleurs Partage sécurisé de fichiers Cas d’utilisation à travers les industries
Composants clés de DORA
Au cœur de DORA se trouve le principe de la résilience opérationnelle, se concentrant sur la capacité des entités financières à absorber et à se rétablir des perturbations, quelle que soit leur origine. Cela est réalisé grâce à un ensemble d’exigences strictes qui couvrent des domaines tels que le signalement des incidents, la gestion des risques opérationnels numériques et la gestion des risques liés aux tiers.
Au cœur de DORA se trouve l’obligation pour les entités financières, y compris les banques, les compagnies d’assurance et autres prestataires de services financiers, de développer et de maintenir un mécanisme efficace de signalement des incidents. Ce mécanisme est conçu pour garantir que, lorsqu’un incident cyber significatif se produit, il soit rapidement et précisément rapporté aux autorités compétentes, tant au niveau national qu’à travers l’UE. En obligeant les entités financières à signaler rapidement les incidents cyber significatifs, les régulateurs disposent des informations nécessaires pour évaluer l’impact de tels incidents sur la stabilité et l’intégrité du système financier. Les régulateurs peuvent alors prendre les mesures appropriées pour atténuer les risques, offrir des orientations et, si nécessaire, coordonner une réponse transfrontalière pour gérer les incidents susceptibles d’affecter le secteur financier dans plusieurs juridictions. Le signalement complet des incidents inclut des processus pour identifier, gérer et récupérer après des incidents cyber, ainsi que des protocoles pour communiquer en temps opportun avec les autorités.
DORA met également un fort accent sur la gestion et l’atténuation des risques associés aux prestataires de services de Technologies de l’Information et de la Communication (TIC) tiers. DORA exige que les institutions financières maintiennent un registre complet de tous leurs arrangements de services TIC tiers et effectuent des évaluations approfondies des risques potentiels associés à chacun de leurs prestataires de services TIC. Ce processus d’évaluation implique d’évaluer la performance, la fiabilité, les mesures de protection des données du prestataire et tout autre facteur susceptible d’impacter la résilience opérationnelle de l’institution financière.
Ces composants de DORA et d’autres obligent finalement les institutions financières à adopter une approche plus proactive et complète pour gérer les risques externes. Ce faisant, les institutions de services financiers renforcent la stabilité générale et la résilience du système financier, le protégeant contre les perturbations opérationnelles qui pourraient affecter les marchés financiers, menacer la sécurité des actifs des clients ou compromettre l’intégrité du système financier.
Comment DORA bénéficie aux consommateurs et citoyens
En obligeant les entités financières à mettre en œuvre des pratiques robustes de gestion des risques numériques, DORA minimise le risque de perturbations de service, de violations de données et de pertes financières résultant de cyberattaques. Cela protège non seulement les actifs financiers des consommateurs, mais renforce également leur confiance dans l’utilisation des services financiers numériques.
De plus, l’accent mis par DORA sur la transparence et la responsabilité assure que les consommateurs sont mieux informés sur la résilience opérationnelle de leurs prestataires de services financiers. Les exigences obligatoires de déclaration d’incidents de la législation obligent les entités à divulguer les incidents cyber significatifs, offrant aux consommateurs une compréhension plus claire des risques associés à leurs activités financières numériques et des mesures en place pour atténuer ces risques.
Exigences de conformité sous DORA
Le non-respect de DORA introduit des risques financiers, légaux et de réputation considérables. Les pénalités financières peuvent être significatives, reflétant la gravité de la violation et son potentiel de déstabilisation du système financier. Ces pénalités ne sont pas décidées arbitrairement, mais sont soigneusement calibrées pour correspondre à l’échelle et à l’impact de la non-conformité, garantissant que la punition sert non seulement de dissuasion, mais aborde également tout avantage indû obtenu ou perte évitée grâce à la non-conformité.
Au-delà des répercussions financières immédiates, les conséquences juridiques pèsent également lourd pour les entités reconnues coupables de violation de DORA. Celles-ci peuvent varier d’actions d’exécution, telles que des ordres de cesser certaines pratiques, à des sanctions qui pourraient inclure des restrictions sur les activités commerciales ou même la révocation de licences. Le processus juridique peut également entraîner des enquêtes longues et la possibilité de litiges, drainant davantage de ressources et détournant l’attention des activités commerciales principales de l’entité.
Cependant, les dommages à la réputation d’une organisation peuvent être encore plus préjudiciables et plus durables que les conséquences financières ou juridiques. La non-conformité suggérant un échec à protéger les systèmes qui traitent, stockent et partagent les informations financières sensibles des clients peut éroder la confiance et la confiance des consommateurs, qui sont fondamentales pour toute entreprise mais particulièrement critiques dans le secteur financier. La perte de confiance peut entraîner un déclin de la base de clients, car les clients existants et potentiels se tournent vers des concurrents perçus comme plus fiables ou dignes de confiance. De plus, les dommages à la réputation peuvent affecter la position sur le marché d’une entreprise de services financiers, diminuant son avantage concurrentiel et pouvant impacter son prix d’action et sa valorisation globale.
Qui est responsable de l’application de la conformité DORA
L’application de la conformité à DORA relève de la compétence des autorités nationales compétentes (ANC) de chaque État membre de l’UE. Ces organismes réglementaires supervisent, évaluent et garantissent que les entités financières opèrent dans les directives strictes établies par DORA. Les Autorités Européennes de Surveillance (AES), comprenant l’Autorité Bancaire Européenne (ABE), l’Autorité Européenne des Assurances et des Pensions Professionnelles (AEAPP) et l’Autorité Européenne des Marchés Financiers (AEMF), jouent un rôle pivot dans la formation du cadre réglementaire et guident les ANC dans l’application.
Les pouvoirs d’exécution de l’ANR peuvent inclure la réalisation d’audits, l’exigence de rapports et l’imposition de sanctions aux organisations non conformes. Ces mesures garantissent que les entités financières comprennent non seulement “ce qu’est DORA” mais aussi mettent rigoureusement en œuvre ses normes pour protéger le secteur financier de l’UE contre les perturbations numériques.
DORA et l’adaptation aux changements technologiques et en cybersécurité
Les avancées incessantes en matière de technologie et de cybercriminalité remettent en question l’efficacité et la pertinence de DORA. Pour rester pertinente et efficace, DORA nécessite des modifications et des mises à jour périodiques, reflétant les changements dans la technologie, les tactiques de cybercriminalité, et le paysage réglementaire mondial.
Une approche collaborative impliquant des professionnels de divers secteurs peut considérablement améliorer l’impact de DORA. Par exemple, l’engagement d’experts en cybersécurité possédant une expertise dans l’identification, l’analyse et l’atténuation des cybermenaces est inestimable. Ces experts apportent une profondeur de compréhension de la nature des risques cybernétiques et des tactiques, techniques et procédures employées par les adversaires cybernétiques. L’intégration des fournisseurs de technologie dans ce mélange collaboratif est tout aussi critique. Ces entités conçoivent, développent et mettent à jour le matériel et le logiciel qui forment l’épine dorsale de notre infrastructure numérique. En travaillant étroitement avec les professionnels de la cybersécurité, les fournisseurs de technologie peuvent s’assurer que leurs produits sont non seulement résilients aux menaces actuelles, mais sont également adaptables pour contrer les vulnérabilités futures. Ce partenariat permet le développement de mesures de sécurité plus robustes, de protocoles de chiffrement et d’outils de détection de menaces, améliorant ainsi la posture de sécurité globale des organisations.
Les organismes réglementaires internationaux jouent également un rôle crucial dans cet effort collaboratif. Les menaces informatiques ne sont pas limitées par les frontières nationales, rendant la coopération internationale essentielle pour une stratégie de cybersécurité complète. Ces organismes peuvent établir des normes et des réglementations qui assurent une approche unifiée de la cybersécurité à travers différentes juridictions. En coopérant sur les pratiques et les politiques de cybersécurité, ces entités internationales peuvent faciliter le partage d’informations, une réponse rapide aux menaces et l’établissement de protocoles communs pour le signalement et la réponse aux incidents.
Cette collaboration stratégique conduit à l’identification de nouvelles vulnérabilités et au développement de mesures de cybersécurité adaptatives qui sont essentielles pour protéger les plateformes technologiques sur lesquelles les institutions de services financiers comptent fortement. Et en renforçant les défenses cybernétiques dans l’UE, ces efforts contribuent de manière significative à la sécurité et à la résilience de l’infrastructure financière mondiale.
Meilleures pratiques pour atteindre la conformité DORA
Pour assurer une conformité réussie avec DORA, les organisations devraient adopter une approche holistique de la résilience opérationnelle numérique. Cela implique d’intégrer les exigences de DORA dans la culture organisationnelle et les processus opérationnels. Établir une équipe dédiée pour superviser la conformité à DORA peut garantir que les pratiques sont appliquées de manière cohérente et mises à jour. Investir dans des programmes de formation et de sensibilisation à la cybersécurité pour les employés peut également réduire le risque de violations dues à des erreurs humaines, renforçant ainsi la résilience globale de l’organisation.
Interagir avec des prestataires de services TIC tiers pour évaluer et gérer les risques est une autre meilleure pratique. Les entités doivent effectuer une diligence raisonnable sur leurs fournisseurs pour s’assurer qu’ils se conforment aux exigences de DORA, en particulier dans des domaines tels que la protection des données et le rapport d’incident. Examiner et tester régulièrement les mesures de résilience opérationnelle numérique, y compris le plan de réponse aux incidents et les tests de résilience, peut aider les organisations à se préparer et à atténuer les impacts des perturbations.
Assurer une adoption et un succès généralisés
Pour que DORA atteigne ses objectifs, une adoption large et une mise en œuvre efficace dans le secteur financier sont essentielles. Les régulateurs jouent un rôle clé dans la promotion de la compréhension et de la conformité à DORA par le biais de directives, de soutien et d’actions d’exécution. Ils peuvent faciliter le partage de connaissances et la collaboration entre les participants de l’industrie, aidant à diffuser les meilleures pratiques et les approches innovantes en matière de résilience opérationnelle numérique.
Construire un écosystème de soutien qui encourage le dialogue entre les entités financières, les organismes réglementaires, les fournisseurs de technologie et les professionnels de la cybersécurité peut améliorer la capacité collective à adresser les risques numériques. Les partenariats public-privé peuvent également contribuer au développement de stratégies globales et efficaces pour gérer la résilience opérationnelle numérique, assurant que la mise en œuvre de DORA soit à la fois réussie et durable.
Kiteworks aide les institutions de services financiers dans l’UE à se conformer à DORA
L’Acte sur la Résilience Opérationnelle Numérique (DORA) représente un pas en avant significatif pour garantir la défensibilité et la fiabilité du secteur financier de l’UE face aux cybermenaces et autres perturbations numériques. Cependant, l’efficacité de DORA dépend de sa capacité à s’adapter aux paysages technologiques et de cybersécurité en constante évolution. Les organisations doivent adopter une approche proactive et intégrée de la conformité, en incorporant les meilleures pratiques pour la résilience opérationnelle numérique dans leurs opérations de base, et la coopération de groupes de parties prenantes comme les régulateurs et les experts en cybersécurité et technologie. Tous ces efforts peuvent permettre à DORA d’atteindre son objectif de favoriser un écosystème financier sécurisé, résilient et digne de confiance dans l’UE.
Avec Kiteworks, les entreprises utilisent Kiteworks pour partager des informations personnelles identifiables et des informations médicales protégées (PII/PHI), des dossiers clients, des informations financières et d’autres contenus sensibles avec des collègues, clients ou partenaires externes. Parce qu’elles utilisent Kiteworks, elles savent que leurs données sensibles et leur propriété intellectuelle inestimable restent confidentielles et sont partagées en conformité avec les réglementations pertinentes comme RGPD, HIPAA, lois sur la confidentialité des États-Unis, et bien d’autres.
Kiteworksoptions de déploiement incluent sur site, hébergé, privé, hybride, et FedRAMP cloud privé virtuel. Avec Kiteworks : contrôlez l’accès au contenu sensible; protégez-le lorsqu’il est partagé à l’extérieur en utilisant chiffrement automatisé de bout en bout, l’authentification multifactorielle, et intégrations d’infrastructure de sécurité; gardez la trace de et générez des reportings sur toute activité de fichier, à savoir qui envoie quoi à qui, quand et comment. Démontrez enfin la conformité avec des réglementations et normes telles que le RGPD, HIPAA, CMMC, Cyber Essentials Plus, NIS2, et bien d’autres.
Pour en savoir plus sur Kiteworks, planifier une démo personnalisée dès aujourd’hui.