DORA : enjeux et points d'attention pour les directions financières

Défis du secteur financier et réponses de la réglementation DORA

En raison d'une transformation digitale sans précédent induite par l'ouverture des systèmes d'information, le secteur financier est en pleine évolution. Cette transformation, si elle offre de nouvelles opportunités, expose également à de nouveaux risques, notamment en matière de cybersécurité et de résilience opérationnelle. C'est dans ce contexte que le règlement européen sur la résilience opérationnelle numérique (DORA) a été adopté en novembre 2022.

Il vise à renforcer la capacité des acteurs du secteur financier à prévenir, détecter et réagir aux incidents impactant les SI et à garantir la continuité de leurs services critiques du fait des cybermenaces, de la dépendance aux technologies surtout critiques (comme le cloud, l'IA, les objets connectés, etc.) et du fait de la très forte interconnexion des SI grâce aux API.

La réglementation, qui est une étape importante pour le secteur financier européen, a pour objectif d'organiser le renforcement de la cybersécurité à travers l'imposition d'exigences strictes incitant les entités financières à adopter :

- d'une part, une culture de sécurité proactive ;

- d'autre part, une harmonisation des règles mettant fin à la fragmentation du paysage réglementaire européen, favorisant ainsi la création d'un marché unique plus stable et plus compétitif.

En outre, ce règlement renforce la supervision européenne à travers la mise en place d'un comité européen de surveillance dédié, pour une application plus cohérente de la réglementation et pour permettre le partage des meilleures pratiques.

Enfin, DORA aide les entités financières à mieux gérer les risques TIC (technologies de l'information et de la communication) en les incitant à adopter une approche plus holistique de cette gestion des risques en considérant tous les aspects liés à la résilience opérationnelle. Ainsi, le texte entraîne une confiance accrue des clients dans les services financiers.

Forces et faiblesses du texte

Ce règlement vient intensifier la capacité des entités financières à absorber les chocs et à continuer de fonctionner en cas de perturbations majeures des systèmes informatiques.

En ce sens, il dispose de forces indéniables desquelles le secteur financier pourrait tirer parti. Parmi ces points forts, nous pouvons noter l'approche globale de DORA qui couvre l'ensemble des risques liés aux TIC, y compris les cyberattaques, les défaillances techniques et les interruptions de service. L'harmonisation des règles et le fait surtout que DORA soit un règlement (d'application directe dans les États membres) et non une directive constituent indubitablement un levier puissant pour la promotion d'un marché unique plus stable et plus compétitif pour tout le secteur financier. Enfin, une force et non des moindres de ce texte est la promotion d'une culture de la cybersécurité au sein de l'Union européenne en encourageant les institutions financières à l'acculturation de leurs collaborateurs aux nouveaux risques numériques.

À l'opposé, ce texte nécessite un coût de mise en conformité du fait de sa complexité et de sa technicité. Ce qui constitue pour certains acteurs un frein à sa compréhension et sa mise en oeuvre. Certains acteurs du marché ont soulevé le phénomène d'inflation réglementaire à la base d'une surcharge administrative. DORA vient s'ajouter à un corpus réglementaire déjà complexe pour le secteur financier.

Un autre point non négligeable des faiblesses relevées de DORA est son manque de flexibilité en tant que règlement prescriptif. Ce texte laisse peu de place à l'agilité avec des exigences spécifiques et détaillées sur la manière dont les institutions financières doivent gérer leurs risques informatiques. Cette approche peut réduire d'autant les initiatives de développement de solutions innovantes et décourager la prise de risque à travers un investissement dans de nouvelles technologies.

Quels points d'attention pour les directions financières ?

Les directions financières du secteur doivent porter une attention particulière à la mise en oeuvre efficace des exigences de DORA en s'assurant :

- de la mise en place d'un cadre de gouvernance solide pour la gestion des risques TIC à travers la création d'un organe de gouvernance et la définition d'une stratégie de cybersécurité ;

- d'une gestion des risques TIC avec la mise en place de mesures de contrôle adéquates des risques TIC ;

- de la fiabilisation et sécurisation des technologies et infrastructures utilisées grâce aux mesures de sécurité techniques adéquates ;

- de mener les diligences nécessaires lors du choix de prestataires de services tiers ;

- de la production de rapports et notifications aux autorités de surveillance sur les risques TIC et incidents de sécurité ;

- de la réalisation de tests d'intrusion et de la formalisation d'un plan de réponse aux incidents et de reprise d'activité documenté et testé.

Lamine Ba, responsable du pôle audit et conseil SI du groupe Exponens.