L’application effective du règlement européen DORA sur la résilience opérationnelle numérique depuis le 17 janvier 2025

Publié par le dans | Consulté 11 Fois

Par Marie SAMPAIO, étudiante en Master 2 Droit des communications électroniques.

Le 16 janvier 2023, le règlement DORA (Digital Operational Resilience Act) est entré en vigueur après son adoption par le Parlement européen et le Conseil en novembre 2022. Ce règlement (règlement UE 2022/2554), véritable cadre réglementaire innovant, vise à renforcer la résilience opérationnelle numérique des entités financières européennes face aux risques liés à la transformation numérique du secteur, notamment les Technologies de l’information et de la communication (TIC) ainsi qu’à l’accroissement des cyberattaques dirigées contre ces dernières. L’application du règlement est pleinement effective depuis le 17 janvier 2025.


La transition numérique : enjeux et vulnérabilités pour le secteur financier

Depuis la crise sanitaire de la COVID-19, le secteur financier a connu une accélération sans précédent de sa transformation numérique. Cette transition s’accompagne d’une vulnérabilité accrue, marquée par une recrudescence des cyberattaques, alors que les entreprises ne sont pas préparées à de telles attaques. Ce déséquilibre, marqué par la volonté des entreprises de progresser dans l’ère numérique sans disposer de plans concrets pour contrer les cyberattaques, trouve son origine dans un manque de législation européenne.

Comme le soulignent le Parlement européen et le Conseil dans leur proposition du règlement DORA, « jusqu’à présent, aucune législation européenne sur les services financiers ne s’est concentrée sur la résilience opérationnelle, et aucune n’a traité de manière exhaustive les risques découlant de la numérisation ». L’intervention de l’Union européenne en matière de régulation financière remonte notamment à 2008, avec l’accord international Bâle III, qui visait à renforcer la solidité du secteur bancaire en tirant les leçons de la crise financière de 2008. Cependant, ce cadre réglementaire aborde très peu la résilience opérationnelle numérique et la sécurité des TIC. En effet, le Parlement européen et le Conseil rappellent que « les établissements de crédit n’étaient pas suffisamment capitalisés, les marchés financiers n’étaient pas suffisamment intégrés, et l’harmonisation était jusqu’alors demeurée minimale. Le risque informatique n’était pas considéré comme une priorité à l’époque et, par conséquent, les cadres juridiques applicables aux différents sous-secteurs financiers ont évolué de manière non coordonné ». À ce titre, il était indispensable pour l’Union européenne de mettre en place un règlement européen sur la résilience numérique dans le secteur financier, afin de garantir la stabilité financière, d’instaurer un ensemble unique de règles prudentielles et de conduite, harmonisées et applicables aux entités financières dans toute l’Union européenne.

Principes et définitions du règlement DORA

L’Union européenne a initié le règlement DORA afin de permettre aux entités financières de se préparer à résister, répondre puis se rétablir des diverses cyberattaques qu’elles peuvent subir. Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique qui contraint toutes les entreprises à s’assurer de pouvoir résister à tous les types de perturbations et de menaces liées aux TIC, à y répondre et à s’en remettre.

Ledit règlement, en son article 3, définit le concept de résilience opérationnelle numérique comme « la capacité d’une entité financière à développer, garantir et réévaluer son intégrité opérationnelle d’un point de vue technologique en assurant directement, ou indirectement par le recours aux services de tiers prestataires de services informatiques, l’intégralité des capacités liées à l’informatique nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité ». On part du principe que même les incidents les moins probables finiront par se produire, qu’il est indispensable d’être prêt à les traiter et d’assurer la continuité des activités et services critiques ou importants.

Les entités financières doivent considérer DORA comme une opportunité stratégique pour solidifier leurs systèmes et leur organisation interne face aux menaces numériques. Effectivement, dans l’article 4 du règlement sur la résilience numérique, le Parlement européen et le Conseil ont pris soin d’énumérer les cadres de gouvernance ainsi que le contrôle interne que doivent adopter les entreprises afin de garantir une gestion efficace et prudente de tous les risques informatiques. Ce règlement impose aux entreprises des objectifs clairs : sécuriser leurs réseaux et systèmes d’information, identifier et évaluer les risques et garantir la continuité de leurs opérations grâce à la mise en œuvre de plans d’action concrets. Le règlement DORA indique plusieurs axes d’actions, destinés à renforcer la cyber-résilience et la résilience opérationnelle numérique du secteur financier.

Les acteurs du secteur financier visé par le règlement DORA

Le règlement DORA couvre un large éventail d’entités financières du secteur financier et réglementées au sein de l’Union européenne, qui sont déclinées au nombre de 21 dans son article 2. On y retrouve des institutions telles que les établissements de crédit, les entreprises d’investissement, les prestataires de services de paiement, les assureurs, les prestataires de services de crypto-actifs (depuis le règlement MiCA de mai 2023), et bien d’autres. Une telle couverture favorise une application homogène et cohérente de l’ensemble des composantes du règlement.

Par ailleurs, le Parlement européen a souhaité et a recommandé en novembre 2022, « d’étendre le champ d’application de la proposition aux intermédiaires d’assurance qui ne sont pas des micro, petites, ou moyennes entreprises. Établir un cadre de contrôle afin de garantir une gestion prudente de tous les risques informatiques ». Ces recommandations ont été entendues, car le règlement prend en compte les disparités entre ces entités, notamment en ce qui concerne leur taille, leur profil d’activité et leur exposition au risque numérique. Tout cela veut dire que seules les entités financières reconnues comme étant d’importance significative aux fins des tests de résilience numérique avancés seront tenues de procéder à des tests de pénétration fondés sur la menace. Plus encore, cela signifie que ces grandes entités financières doivent procéder à des évaluations approfondies après des modifications importantes de leurs infrastructures et soumettre régulièrement leurs systèmes à des analyses de risques. Il y a ici une volonté de proportionnalité entre les petites entités financières et les grandes.

Les 5 piliers fondamentaux garantissant la résilience opérationnelle numérique

On recense 5 grands axes afin d’atteindre les objectifs mentionnés en amont. On y retrouve : la gestion des risques, le signalement des incidents, la réalisation des tests de résilience, la gestion des risques liés aux tiers et, pour finir, le partage les informations en matière de cyber-menace.

S’agissant tout d’abord de la gestion des risques, il s’agit ici d’identifier, d’évaluer et de réduire les risques informatiques. Par exemple, il faut que les entités financières utilisent des logiciels pour surveiller et détecter les vulnérabilités possibles en temps réel. Ce dispositif de gestion des risques doit être amélioré en permanence sur la base des enseignements tirés de la mise en œuvre suivie. Ces mesures visent à réduire les impacts des cyberattaques et à permettre une reprise rapide des activités après un incident. Le règlement n’impose pas de normes strictes, mais se réfère aux bonnes pratiques du secteur et aux normes internationales reconnues.

Ensuite, le signalement des incidents impose aux entités financières d’établir un processus de notification pour rapporter efficacement et rapidement les risques aux autorités compétentes. Elles doivent également enregistrer et classer tous les incidents liés au TIC et les cybermenaces importantes selon les critères détaillés dans le règlement DORA et en suivant un modèle de notification uniforme développé par les autorités européennes de surveillance (AES). Par ailleurs, les incidents majeurs liés aux TIC doivent être reportés aux membres de la direction et à l’organe de direction, ainsi qu’être déclarés aux autorités compétentes dans des délais et aux moyens définis par les AES. Enfin, les entités financières doivent soumettre une notification initiale, un rapport intermédiaire, puis un rapport final, et informer leurs clients si l’incident a ou risque d’avoir un impact sur leurs intérêts financiers.

De surcroît, en ce qui concerne la réalisation des tests de résilience, les entités financières doivent réaliser régulièrement des tests afin d’évaluer la capacité à résister et à se rétablir des incidents informatiques.

À propos de la gestion des risques liés aux tiers, les entités doivent surveiller et opérer un contrôle strict des fournisseurs tiers pour garantir qu’ils respectent également les standards de sécurité. Par exemple, il est recommandé qu’elles mettent en place des audits de sécurité régulièrement afin de vérifier la conformité avec le règlement.

Enfin, les entités financières doivent partager un maximum d’informations en matière de cybermenace. Elles doivent coopérer entre elles, ainsi qu’adhérer à des réseaux sectoriels pour le partage de données sur les cybermenaces.  

Ces 5 piliers fondamentaux de la résilience opérationnelle numérique doivent être mis en place par les institutions financières afin de garantir une gestion optimale des risques informatiques et d’assurer la continuité de leurs activités en cas de cyberincidents. En respectant ces principes et en veillant à leur mise en œuvre continue, les institutions renforceront non seulement leur résilience face aux cyberattaques, mais contribueront également à une plus grande sécurité collective du secteur financier.

Sources complémentaires :