Le compte à rebours est lancé. Dans à peine cinq mois, la nouvelle loi sur la Résilience Opérationnelle Numérique (DORA) entrera en vigueur le 17 janvier 2025. Son objectif est de renforcer la résilience des institutions financières face aux incidents liés aux technologies de l’information et de la communication (TIC) dans cinq domaines clés : la gestion des risques TIC, la gestion des incidents, les tests de résilience, la gestion des risques liés aux fournisseurs tiers, et le partage d’informations.
DORA : Une nouvelle ère de résilience numérique pour le secteur financier
Établie au niveau de l’UE, cette nouvelle loi impose une norme élevée en matière de résilience opérationnelle et de cybersécurité qui aura des répercussions sur l’ensemble de l’écosystème financier mondial, y compris les prestataires de services tiers, et pourrait influencer les réglementations futures à l’échelle globale.
Pour les organisations du secteur financier, DORA présente des défis, notamment en termes de ressources et d’investissements, mais aussi des avantages à long terme, tels qu’une résilience accrue, une meilleure gestion des risques, un contrôle renforcé des prestataires de services tiers, et une normalisation des réglementations. Avant sa mise en œuvre, les entreprises doivent se préparer en adaptant leurs pratiques pour garantir la conformité tout en profitant des bénéfices potentiels d’une résilience opérationnelle renforcée à l’ère numérique.
L'Impact de DORA
Un des défis majeurs pour les organisations sera l’investissement nécessaire pour se conformer à DORA, notamment en matière de technologie et de recrutement de talents. En France, le secteur financier est particulièrement important, représentant environ 4,5 % du PIB en 2021 selon les données de l'INSEE. Les institutions financières devront donc allouer des ressources substantielles pour répondre aux nouvelles exigences, notamment pour les plus petites structures. Adapter les systèmes actuels pourrait nécessiter des investissements significatifs en technologie et en formation, en particulier dans des domaines comme la résilience aux cyberattaques et la conformité réglementaire. De plus, la gestion des risques associés aux prestataires de services TIC tiers nécessitera une diligence accrue, impactant potentiellement les partenariats existants. Naviguer dans cette nouvelle réglementation sera complexe et chronophage.
Cependant, DORA apporte également des avantages significatifs, notamment une résilience renforcée à l’échelle mondiale. En encourageant une approche proactive pour la gestion des risques TIC, DORA pourrait réduire les perturbations dues aux cyberattaques et autres incidents, accélérer les temps de récupération, et renforcer la confiance des clients et des investisseurs. La standardisation des exigences à travers l’UE simplifie la conformité pour les organisations opérant dans plusieurs pays, facilitant l’identification et le signalement des menaces et favorisant la collaboration au sein du secteur financier.
Bien que la conformité à DORA puisse nécessiter des investissements en temps, ressources, et personnel, elle offre aussi des opportunités pour l'innovation. DORA promeut une approche collaborative de la résilience opérationnelle, exigeant que divers acteurs travaillent ensemble et partagent efficacement les informations. Cette coopération, combinée à une réponse rapide aux menaces émergentes et à une collaboration sur les normes sectorielles, établit une base solide pour l’innovation, permettant de créer des plateformes plus fiables pour le développement de nouveaux produits et services.
Adopter une approche proactive
Pour tirer parti de DORA, les organisations du secteur financier doivent adopter une approche proactive, flexible, et basée sur les risques. La première étape consiste à réaliser une analyse des écarts internes pour identifier les réglementations pertinentes et évaluer la posture actuelle de l'entreprise, révélant ainsi les domaines nécessitant des améliorations. Des évaluations régulières des risques doivent être effectuées, accompagnées de plans de continuité pour les fonctions commerciales critiques.
La plupart des institutions financières collaborent avec des prestataires tiers, mais de nouvelles précautions doivent être prises avant de conclure un partenariat. Une fois un prestataire identifié, l'organisation doit s'assurer de sa conformité avec les réglementations existantes et veiller à ce qu'il dispose des plans nécessaires pour répondre aux exigences des cinq piliers de DORA. Les prestataires fiables permettront de gérer les données avec une échelle et une performance élevées tout en assurant la sécurité des informations.
Les dirigeants doivent également maintenir un dialogue ouvert avec les régulateurs, tant au sein de l'UE qu’à l'international. Cette collaboration sera essentielle pour répondre aux exigences de manière robuste et conforme, protégeant ainsi les données. Une approche collaborative sera déterminante pour maximiser la valeur commerciale de DORA, et il est crucial de choisir des prestataires opérant selon un modèle de responsabilité partagée, offrant des garanties solides en matière de résilience opérationnelle, de confidentialité, et de sécurité.
DORA et l'avenir
Il est temps pour les institutions financières de mettre en œuvre ces mesures proactivement, pour se préparer aux changements à venir. Une fois DORA en vigueur, tous les clients réglementés devront se conformer aux exigences de gestion des risques, effectuer des tests de pénétration réguliers, maintenir des plans de continuité robustes, et signaler les incidents opérationnels majeurs aux autorités compétentes. DORA vise à créer un écosystème financier plus robuste et résilient, en exigeant une gestion plus efficace des risques liés aux tiers.
Bien que les organisations financières soient habituées à un cadre réglementaire strict, DORA introduit un nouveau niveau de conformité. Les dirigeants doivent anticiper les défis et opportunités offerts par cette réglementation, en se préparant à un avenir marqué par une coopération et un partage des connaissances accrus. DORA représente une chance de redoubler d’efforts en matière de cybersécurité et de résilience opérationnelle, tout en se positionnant pour les futures réglementations à venir, non seulement en Europe mais aussi à l’échelle mondiale.
La loi DORA offre une opportunité de renforcer la cybersécurité et les pratiques de résilience opérationnelle. Les mois à venir seront également décisifs pour se préparer à d'éventuelles réglementations futures. En France, l'Autorité de contrôle prudentiel et de résolution (ACPR) et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont intensifié leurs efforts pour renforcer les cadres de cybersécurité dans le secteur financier. La loi DORA pourrait bien établir un précédent pour une série de réglementations liées au cloud qui pourraient être adoptées ou adaptées en France, ainsi que dans d'autres pays. Cette réglementation aidera les entreprises à mieux identifier les risques auxquels elles sont exposées et ouvrira la voie à un système financier mondial plus sûr et plus efficace. Il est temps pour les dirigeants d'agir et de se préparer à cet avenir.