Qu'est-ce que DORA?
DORA pour « Digital Operational Resilience Act » est un règlement européen qui vise à étendre et unifier les normes et exigences européennes et nationales existantes afin de créer un cadre détaillé, harmonisé et complet pour la résilience opérationnelle numérique des entités financières de l'UE. Il est entré en vigueur en janvier 2023 et s'appliquera à partir du 17 janvier 2025.
DORA impose aux entités financières concernées et à leurs prestataires numériques des obligations en adéquation avec d’autres règlementations et législations actuelles encadrant les usages numériques comme la directive NIS2 ou le règlement RGPD.
DORA va au-delà du simple encadrement des pratiques de cybersécurité et traite également de résilience numérique. L’objectif du règlement est non seulement de sécuriser les données financières en empêchant leur divulgation et leur falsification mais également d’assurer la continuité des activités du secteur financier en cas de crise cyber.
Qui est concerné par DORA?
DORA s’adresse à 21 types différents d’entités du secteur financier dont les établissements de crédit, les établissements de paiement, les prestataires de services de cryptoactifs, les entreprises d'assurance et de réassurance, les gestionnaires d'actifs et leurs tiers fournisseurs de services informatiques.
Les fournisseurs de services informatiques sont par exemple les hébergeurs de données, les fournisseurs de service cloud, les éditeurs de logiciels, les infogéreurs,…
Quelles sont les exigences applicables à DORA?
Les 5 grands piliers du règlement
Les exigences applicables à DORA s'articulent en 5 grands piliers qui reprennent les thématiques phares des normes internationales de référence en lien avec la cybersécurité comme l’ISO 27001:
La gestion des risques liés aux Technologies de l’Information et de la Communication
La gestion et le reporting des incidents de sécurité
Les tests de résilience opérationnelle numérique
La maîtrise des prestataires de services informatiques
Le partage d’informations en matière de cybersécurité et de cybermenaces
Les référentiels d'application publiés par l'Autorité européenne des marchés financiers ESMA
Des éléments concrets à mettre en œuvre pour respecter les exigences du règlement DORA sont détaillés dans plusieurs référentiels RTS (Regulatory Technical Standard) et ITS (Implementation Technical Standard):
Deux RTS sur les attendus en matière de gestion des risques
Un RTS sur les attendus en matière de classification des incidents de sécurité
Un RTS pour préciser les attendus en lien avec la maîtrise des prestataires informatiques critiques
Un ITS sur l’établissement du registre des informations
Liens entre le règlement DORA et la directive NIS2
Parallèlement à l’élaboration du règlement européen DORA spécifique au secteur financier, la directive européenne NIS2 va entrer en application en 2024 et sera applicable aux organismes de secteurs variés dont le secteur financier qui respectent les critères de chiffre d’affaire et d’effectif.
Modalités d'application
Application directe des exigences dans tous les Etats européens.
Modalités d'application
Application indirecte des exigences qui passe par l’adoption de lois de transposition nationales. Il peut donc y avoir des différences entre Etats.
Date de mise en application
Règlement entré en vigueur en janvier 2023 et il entrera en application à partir du 17 janvier 2025.
Date de mise en application
Directive publiée au Journal Officiel de l'UE le 27 décembre 2022. La loi de transposition française entrera en vigueur au plus tard en octobre 2024 et précisera les délais d'application qui varieront en fonction des exigences.
Autorité compétente en France
Cela dépendra du type d’organisme concerné. Les autorités principales sont l’AMF et l’ACPR Banque de France.
Autorité compétente en France
L'Agence Nationale de Sécurité des Systèmes d'Information (ANSSI).
Secteurs d'activité concernés
Tous les organismes du secteur financier ainsi que leurs prestataires informatiques, y compris les microentreprises.
Secteurs d'activité concernés
Les organismes de plusieurs secteurs d’activité important (transport, énergie, …) notamment le secteur financier et les prestataires informatiques. Seuls les organismes réalisant un certain chiffre d’affaire minimal ou ayant un nombre d’employés minimal sont concernés sauf s’ils sont considérés comme critiques.
Cadre de gouvernance cyber
DORA impose notamment la mise en œuvre d’un cadre de gestion des risques cyber et la mise en œuvre de mesures de sécurité spécifiques. Le niveau des exigences est particulièrement élevé pour la détection et la gestion des incidents de sécurité ainsi que pour le contrôle régulier et l’audit.
Cadre de gouvernance cyber
La directive impose aux états membres de définir dans leurs lois de transposition des mesures de sécurité à appliquer en fonction des risques cyber. Les mesures ne seront pas les mêmes en fonction de la criticité des entités. Le niveau d’exigence de DORA devrait concerner plutôt les entités essentielles.
Prise en compte de la résilience
Au-delà des enjeux de cybersécurité, DORA prend également en compte en profondeur les enjeux de résilience et de continuité d’activité qui sont prégnants dans le secteur financier.
Prise en compte de la résilience
La directive NIS2 ne traite pas en profondeur des enjeux de continuité d’activité. Les contraintes de résilience ne concerneront que les entités critiques et seront traitées par une autre directive.
Liens entre le règlement DORA et la norme ISO 27001
Le règlement DORA impose de mettre en œuvre un cadre de gouvernance et de gestion des risques cyber. Il impose même de se baser pour cela sur des normes internationales reconnues et conformes aux orientations des autorités de surveillance.
Comme avec le RGPD en son temps, l’ISO 27001 est un très bon outil pour se mettre en conformité règlementaire avec DORA et gérer sa conformité au jour le jour.
La norme ISO 27001 est la référence internationale pour mettre en œuvre un système de management de la sécurité de l’information. Elle constitue une base solide, pertinente et éprouvée pour se mettre en conformité avec le règlement DORA, les spécificités du règlement pouvant être intégrées dans chaque processus.
Il est également possible de se baser sur d’autres textes reconnus complémentaires à l’ISO 27001 pour traiter certaines exigences spécifiques du règlement : la méthode EBIOS de l’ANSSI pour la méthode d’analyse des risques, la norme ISO 22301 pour définir le tests de résilience informatique et analyser les impacts des TIC sur la continuité opérationnelle.
Notre accompagnement
Cyber-Manager, votre partenaire de confiance en cybersécurité s’engage continument à vos côtés pour renforcer votre résilience numérique. Nous sommes spécialisés dans l'accompagnement des organisations vers des systèmes de gestion de la sécurité de l'information robustes garantissant la conformité aux normes internationales.
Nous réalisons également des missions d’audits pour le compte d’organismes de certification (ISO 27001, ISO 27701, HDS, TISAX, …), ce qui nous permet d’être à jour du formalisme et des niveaux de sécurité attendus par ces derniers afin de vous orienter dans la bonne direction lors de nos accompagnements.
Consciente des enjeux croissants en matière de cybersécurité dans le secteur financier, notre équipe d’experts réalise une veille règlementaire et normative continue, participe à des groupes de travail destinés à définir des bonnes pratiques et a réalisé plusieurs missions d’accompagnement de banques et de compagnies d'assurance, ce qui lui permet de vous proposez un niveau de service en phase avec l’état de l’art du secteur.