Gouvernance
Les 5 piliers du règlement Dora et leur impact pour les entreprises du secteur financier
Par Laurent Delattre, publié le 26 mars 2025
DORA instaure un cadre harmonisé à l’échelle européenne pour garantir la continuité opérationnelle des acteurs financiers face aux cybermenaces, au-delà des approches traditionnelles de cybersécurité. Avec ses cinq piliers stratégiques, DORA redéfinit les priorités cyber en poussant les entités financières à anticiper, absorber et rebondir face aux perturbations numériques.
Par Noémie Kurta et Edouard Maurice , consultants CERT et GRC chez Synetis
Le règlement européen Digital Operational Resilience Act (DORA) est une nouvelle législation de l’Union Européenne entré en vigueur le 17 janvier 2025, visant à accroître la cybersécurité du secteur financier et assurantiel.
DORA s’adresse aux entités du secteur financier et assurantiel, des micro-entreprises aux grands établissements bancaires. DORA est divisé en 5 piliers.
L’objectif est que toutes les Technologies d’Information et de Communication (TIC) utilisées par les entités du secteur puissent répondre aux exigences de DORA. Le règlement tient aussi une attention particulière aux tiers, car les secteurs concernés s’appuient sur des prestataires. Ainsi, ces derniers offrant des services TIC sont aussi concernés par les exigences de sécurité.
Néanmoins, il y a une gradation dans les exigences du règlement. Par exemple, les micro-entreprises doivent mettre en place un cadre simplifié de gestion des risques liés au TIC, alors que les grandes entreprises doivent se conformer à la totalité des exigences.
Une des principales différences avec les autres législations européennes en matière de cybersécurité (RGPD, NIS2,…) est que DORA est dédié à la résilience et la continuité d’activité. L’objectif n’est pas d’empêcher les attaques sur les secteurs concernées, mais garantir que les entités puissent y résister, et ne soient pas immobilisées. La création de cette réglementation vise principalement à pallier le manque d’harmonisation au niveau européen des stratégies de résilience numérique.
Les 5 piliers du règlement DORA
Pilier 1 : la gestion des risques liés aux TIC
Ce pilier exige que les entités financières établissent un cadre solide pour identifier, protéger, détecter, répondre et récupérer des risques liés aux technologies de l’information et de la communication (TIC). Il s’agit de mettre en place une stratégie globale de gestion des risques.
Exemple :
– Mettre en place un comité dédiée au pilotage de la sécurité.
– Implémenter une stratégie de communication de crise.
Pilier 2 : la gestion, classification et notification des incidents liés aux TIC
Ce pilier impose la mise en place de processus pour détecter, classer, et signaler les incidents TIC aux autorités compétentes. Cela vise à assurer une réponse rapide et coordonnée en cas de perturbation majeure.
Exemple :
– Instaurer une classification standardisée des incidents.
– Procéder à la déclaration normalisée des incidents majeurs, conformément à l’obligation légale.
– Souscrire à un abonnement réponse à incident auprès d’un CERT.
Pilier 3 : les tests de résilience opérationnelle numérique
Ce pilier demande aux entités financières de réaliser régulièrement des tests de résilience pour évaluer leur capacité à résister et à se rétablir en cas de perturbation grave. Cela inclut des tests de pénétration et des simulations de crise.
Exemple :
– Programmer des d’audits complets et réguliers, tels que des tests d’intrusion.
– Mettre en place un SOC afin de superviser et administrer la sécurité du système d’information au travers des outils de collecte.
Pilier 4 : la gestion des risques liés aux prestataires tiers de services TIC
Ce pilier concerne la supervision et la gestion des risques liés aux prestataires de services TIC tiers. Les entités financières doivent s’assurer que leurs prestataires respectent des normes de sécurité élevées.
Exemple :
– Réaliser des audits des fournisseurs a minima 1 fois par an.
– Evaluer les contrats fournisseurs afin de vérifier leur conformité aux exigences de DORA.
Pilier 5 : Les dispositifs de partage d’informations
Ce pilier favorise l’échange d’informations sur les menaces et les vulnérabilités entre les entités financières. Il s’agit de renforcer la sécurité collective en partageant des informations pertinentes.
Exemple :
– Mettre en place des politiques de confidentialité afin de déterminer quelles informations peuvent être partagées.
– Notifier les autorités pour recevoir des informations sur les menaces et exigences de DORA.
En conclusion, le règlement DORA marque un tournant majeur pour la cybersécurité du secteur financier européen. Son approche axée sur la résilience opérationnelle, plutôt que sur la simple prévention des attaques, est adaptée à un paysage de menaces en constante évolution. L’harmonisation des pratiques de sécurité au niveau européen renforcera la protection des consommateurs et la stabilité du système financier dans son ensemble. Les entités concernées devront donc s’adapter rapidement pour se conformer aux exigences de DORA, en intégrant les principes de gestion des risques TIC, de signalement des incidents, de tests de résilience, de gestion des tiers et de partage d’informations. Enfin, cette réglementation invite à une culture de collaboration et de partage d’informations entre toutes les parties prenantes.
À LIRE AUSSI :
À LIRE AUSSI :
