Conçue pour soutenir la résilience numérique des institutions financières dans l’UE et au Royaume-Uni, la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act) devrait entrer en vigueur en janvier 2025. Dans ce billet de blog, nous examinons en profondeur ce que les organisations doivent mettre en place pour se conformer à cette nouvelle législation.

La résilience numérique est l’un des défis les plus importants du secteur financier aujourd’hui.

La résilience désigne la capacité d’une organisation à détecter, à réagir et à se remettre de toute menace numérique ou de toute perturbation de ses activités, y compris les cyberattaques, les violations de données, les pannes de système, les erreurs humaines et d’autres risques.

La résilience est essentielle à la continuité des opérations et à la protection des données financières. C’est pourquoi l’Union européenne a récemment introduit la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA), qui définit les exigences en matière de résilience numérique au sein des organisations de services financiers.

DORA dans l’UE et au Royaume-Uni

D’ici 2025, la loi DORA entrera en vigueur dans l’UE et au Royaume-Uni. Cette loi exigera de toutes les entreprises financières qu’elles disposent de capacités de résilience opérationnelle numérique appropriées.

La loi DORA a été introduite pour permettre à toutes les institutions financières de détecter les incidents opérationnels numériques, d’y répondre et de s’en remettre avec un minimum de perturbations et de dommages. Elle définit des exigences spécifiques pour les organisations financières, notamment des processus solides de gestion des risques, des systèmes de surveillance et de communication efficaces pour identifier rapidement les menaces – elle prévoit également des plans détaillés pour reprendre les opérations après un incident.

La loi DORA aborde divers aspects du risque opérationnel comme les cyber-risques, la sécurité informatique, l’externalisation et les risques liés aux tiers.

Quels sont les principaux piliers de DORA ?

DORA a plusieurs objectifs clés :

• Renforcer la stabilité et la fiabilité du système financier à l’ère numérique en abordant divers aspects du risque opérationnel comme les cyber-risques, la sécurité informatique, l’externalisation et les risques liés aux tiers notamment.
• Promouvoir la cohérence et l’harmonisation des réglementations dans le secteur des services financiers de l’UE en établissant des normes et des pratiques uniformes pour la résilience opérationnelle numérique.
• Améliorer la transparence et la responsabilité des institutions financières en exigeant d’elles qu’elles effectuent régulièrement des tests et des évaluations pour démontrer leur résistance aux menaces opérationnelles.
• Assurer le bon fonctionnement du marché intérieur des services financiers en permettant aux institutions financières d’opérer au-delà des frontières avec plus de facilité et d’efficacité.

 

Conformité DORA

Avec la loi DORA, les institutions financières seront tenues à des normes de résilience plus élevées et devront effectuer des tests et des évaluations réguliers pour démontrer leur capacité à faire face à des événements imprévus. Les institutions financières doivent prendre la loi DORA très au sérieux car les conséquences d’un manquement à cette obligation pourraient être graves (amendes élevées et atteinte à la réputation notamment).

Voici cinq raisons pour lesquelles les entités financières devront se conformer à la loi DORA :

1. Éviter de lourdes amendes : Les entités financières qui ne se conforment pas à la loi DORA s’exposent à d’importantes pénalités financières et à des sanctions réglementaires, ce qui nuit à leurs résultats et à leur réputation.
2. Renforcer la résilience opérationnelle : La loi DORA encourage les entités financières à adopter des processus et des contrôles solides pour gérer les cyber-risques et les risques opérationnels, ce qui peut contribuer à réduire la probabilité et l’impact des perturbations numériques.
3. Accroître la confiance des clients : En se conformant à la loi DORA, les entités financières peuvent démontrer leur engagement à protéger la sécurité des données personnelles et financières de leurs clients, ce qui peut renforcer la confiance et la fidélité de ces derniers.
4. Améliorer la cohérence et l’harmonisation de la réglementation : DORA vise à promouvoir un ensemble uniforme de normes et de pratiques pour la résilience opérationnelle numérique dans l’ensemble du secteur des services financiers de l’UE, ce qui peut contribuer à réduire la fragmentation réglementaire et à améliorer la coopération transfrontalière.
5. Préparez l’avenir de votre entreprise : En adoptant DORA, les entités financières peuvent garder une longueur d’avance et protéger leur activité contre les risques cybernétiques et numériques émergents, ce qui peut contribuer à garantir leur viabilité et leur compétitivité à long terme.

 

Les défis de la mise en conformité avec la loi DORA

Si la loi DORA vise à améliorer la stabilité et la fiabilité des systèmes financiers, le respect de ses exigences peut également poser plusieurs problèmes aux entités financières, avec notamment :

1. Un cadre réglementaire complexe : Les entités financières devront naviguer dans un cadre juridique et réglementaire complexe pour se conformer à la loi DORA, ce qui pourra nécessiter l’adaptation de leurs cadres de conformité existants ou la mise en œuvre de nouveaux cadres.
2. Complexité opérationnelle : Pour se conformer à la loi DORA, les entités financières devront gérer divers risques opérationnels dans plusieurs secteurs d’activité, ce qui pourra s’avérer complexe et chronophage.
3. Des mises à niveau coûteuses de l’infrastructure : Les entités financières pourraient devoir investir massivement dans l’infrastructure numérique et les mesures de cybersécurité pour répondre aux exigences du DORA, ce qui pourrait s’avérer coûteux et détourner l’attention d’autres priorités stratégiques.
4. Contraintes en matière de ressources : La mise en conformité avec la loi DORA peut nécessiter des ressources supplémentaires, des professionnels qualifiés et une expertise qui peut être insuffisante, notamment pour les petites institutions financières.
5. Problèmes inter-juridictionnels : Les entités financières opérant à l’étranger pourront être confrontées à des difficultés pour concilier les différentes normes et exigences réglementaires, ce qui rend la conformité à la loi DORA plus complexe.

Malgré ces défis, les entités financières ne peuvent pas se permettre d’ignorer la loi DORA. La non-conformité n’est pas une option et les entités financières doivent trouver des moyens d’équilibrer les défis de la conformité avec les avantages d’un système financier plus sûr et plus résilient sur le plan numérique.

 

Conformité d’Outpost24 et de DORA

Outpost24 propose une gamme complète de produits qui peuvent aider les institutions financières à se conformer aux exigences de la loi DORA.

1. Renseignements sur les cybermenaces : La solution Threat Compass d’Outpost24 offre des renseignements automatisés, exploitables et ciblés sur les menaces pour vous aider à découvrir comment votre entreprise est ciblée par les acteurs de la menace et si elle y est déjà exposée.
2. Sécurité des applications web : La solution de Pen-Testing-as-a-Service (PTaaS) d’Outpost24 comprend une surveillance continue pour vous aider à sécuriser vos applications web et à vous conformer aux exigences de la loi DORA en matière de gestion des cyber-risques.
3. Gestion des vulnérabilités basée sur les risques : La solution de gestion des vulnérabilités basée sur les risques d’Outpost24 diagnostique les problèmes de sécurité du réseau et du cloud avec des informations exploitables basées sur les risques pertinents pour faire avancer les activités de remédiation de la sécurité de votre organisation.
4. Services gérés : Lesservices gérés d’Outpost24 fournissent des conseils d’experts complets et continus afin de réduire votre surface d’attaque. Travaillant comme une extension de votre équipe de sécurité, les Managed Services d’Outpost24 facilitent la mise en conformité avec la loi DORA et d’autres cadres réglementaires.

En tirant parti de la gamme de produits et de services d’Outpost24, les institutions financières peuvent améliorer leur résilience opérationnelle numérique, réduire l’exposition aux risques et renforcer la conformité avec la loi DORA et d’autres cadres réglementaires.