Loi DORA : pourquoi et comment s'y préparer ?

La loi DORA sur la résilience opérationnelle numérique (Digital Operational Resilience Act) est conçue pour y contribuer. Elle fournit un cadre unifié pour identifier et réduire les risques liés aux TIC dans le secteur financier, remédiant ainsi aux incohérences, chevauchements et conflits potentiels inhérents aux diverses réglementations actuellement en place dans les États membres de l'UE.

Le champ d'application de DORA s'étend au-delà des banques traditionnelles et des entreprises d'investissement pour inclure les bourses de crypto-monnaie, les plateformes de crowdfunding, les agences de notation de crédit et d'autres organisations qui fournissent des fonctions critiques dans le secteur financier. La loi devrait être appliquée d'ici le 17 janvier 2025, les organisations n'ont donc qu'un an pour se préparer.

Les 5 domaines inclus dans DORA

DORA s'articule autour des 5 domaines suivants :

• gestion et gouvernance des risques liés aux TIC ;
• tests de résilience ;
• réponse aux incidents et rapports ;
• gestion des risques liés aux tiers ;
• partage de l'information.

Gestion et gouvernance des risques liés aux TIC

Les exigences de DORA devraient inclure des évaluations régulières des risques par une entité indépendante et la mise en place de politiques, de procédures et de contrôles pour traiter efficacement les risques identifiés. Une exigence qui peut être nouvelle pour certaines organisations est la nécessité de désigner un membre de la direction générale pour superviser la gestion de l'exposition aux risques et la documentation.

Réponse aux incidents et rapports

Les organisations soumises à la loi DORA seront également tenues de mettre en place un solide plan d'intervention en cas d'incident. Le cas échéant, elles devront soumettre trois rapports : une notification initiale, un rapport intermédiaire et un rapport final comprenant une analyse des causes profondes de l'incident. Les autorités de surveillance doivent publier chaque année des statistiques anonymes agrégées basées sur les rapports d'incidents qu'elles ont reçus.

Gestion des risques liés aux tiers

Les organisations financières doivent également savoir que DORA couvre tous les contrats de services informatiques conclus avec des tiers, en particulier lorsque l'interruption du service peut avoir un impact significatif sur les performances de l'entité financière. Les exemples incluent les services cloud, les fournisseurs de services gérés (MSP) et les data centers colocation. Les autorités devront examiner ces contrats afin de vérifier l'adéquation de leur structure et de leurs politiques, ainsi que l'existence d'une stratégie de sortie viable pour les services TIC critiques. Les régulateurs auront également le pouvoir de suspendre ou de résilier les contrats qui ne respectent pas les normes DORA et d'imposer des amendes administratives en cas de non-conformité.

En prévision de ces changements, il est conseillé aux entreprises de revoir en profondeur leurs accords contractuels en matière de TIC et de procéder aux ajustements nécessaires pour s'assurer qu'ils sont conformes aux exigences de la loi DORA.

Partage de l'information

Étant donné que les adversaires exploitent souvent les mêmes vulnérabilités et réutilisent des tactiques similaires pour attaquer plusieurs cibles, DORA vise à favoriser une culture de collaboration dans le secteur financier. Bien que ce domaine ne soit pas obligatoire, le partage de renseignements sur les menaces permettra aux organisations financières de lutter plus efficacement contre les cybermenaces.

En somme, d'autres détails techniques de la loi DORA seront à suivre en 2024 et 2025, sous la forme de documents réglementaires et de normes techniques supplémentaires. Les organisations financières peuvent d'ores et déjà commencer leur travail de préparation. C'est ainsi le bon moment pour évaluer si l'organisation sera affectée par DORA, quels processus opérationnels seront concernés et les ajustements à amorcer.