Tout ce qu'il faut savoir sur DORA
Découvrez ce que la loi sur la résilience opérationnelle numérique (DORA) signifie pour les services financiers et les fournisseurs de TIC. Découvrez...
Ce que DORA signifie pour les banques, les assureurs et les fournisseurs de TIC. Apprenez qui est concerné par le règlement de l'UE - et quels sont les 5 piliers de la conformité que vous devez connaître.
La dépendance du secteur financier à l'égard de l'infrastructure numérique n'a jamais été aussi grande - et en même temps aussi risquée. Des attaques de ransomware aux pannes en temps réel, les menaces augmentent à la fois en fréquence et en gravité. C'est pourquoi l'Union européenne a introduit le règlement sur la résilience opérationnelle numérique (DORA) - une réglementation qui oblige les entreprises financières à gérer de manière proactive les perturbations TIC et à y résister.
Votre entreprise fait-elle partie de l'écosystème financier de l'UE ou en soutient-elle un ? Alors c'est le moment de vous familiariser avec DORA. Pour aider les organisations à s'orienter, Wire a développé, en collaboration avec Reuschlaw, un nouveau livre blanc qui présente les points essentiels de manière compréhensible.
Qu'est-ce que DORA ?
Le règlement sur la résilience opérationnelle numérique (DORA) est le règlement européen 2022/2554, qui sera pleinement applicable à partir du 17 janvier 2025. Contrairement aux réglementations précédentes, DORA fournit un cadre juridique unique pour la gestion des risques liés aux TIC dans l'ensemble du secteur financier - y compris les banques, les assureurs, les fournisseurs de services de cryptographie et leurs partenaires TIC.
On peut considérer DORA comme le "GDPR de la résilience opérationnelle" : technologiquement neutre, directement applicable dans tous les États membres de l'UE et doté d'une pleine force juridique. L'objectif : les services financiers doivent fonctionner de manière fiable même en cas de cyberattaques ou de pannes de système.
Mais la mise en œuvre de DORA comporte des défis considérables - comme la protection contractuelle de chaînes d'approvisionnement TIC complexes ou la mise en place de structures internes robustes de notification et de réaction. De nombreuses entreprises doivent repenser la manière dont elles gèrent les risques numériques, communiquent en situation de crise et maintiennent la continuité de leurs activités.
Pourquoi DORA est important
DORA marque un changement fondamental dans le domaine des exigences de l'UE en matière de cybersécurité et de conformité. Il est pertinent pour les raisons suivantes :
- Comble des lacunes critiques dans la gestion des risques opérationnels qui n'étaient auparavant adressées que par des réglementations nationales ou des tampons de capital.
- Répond aux menaces actuelles telles que les ransomwares sophistiqués ou les vulnérabilités des logiciels tiers (par ex. SolarWinds)
- Renforce la souveraineté numérique en exigeant le recours à des fournisseurs conformes - souvent basés dans l'UE - et en excluant les solutions offshore aux normes moins élevées.
En bref, DORA est une approche totalement nouvelle de la manière dont nous sécurisons les systèmes financiers dans un monde hautement interconnecté.
À qui s'adresse DORA ?
DORA s'applique à plus de 20 catégories d'entreprises financières, dont :
- les banques et les établissements de crédit
- entreprises d'investissement et prestataires de services de paiement
- entreprises d'assurance et de réassurance
- prestataires de services cryptographiques (dans le cadre de MiCA)
- les fonds de pension et les plateformes de crowdfunding
- Opérateurs d'infrastructures de marché (par ex. CCP, plateformes de négociation).
Mais cela ne s'arrête pas là.
Les fournisseurs tiers de TIC - tels que les plateformes de cloud, les fournisseurs de logiciels et de matériel ou même les départements informatiques internes - sont également soumis à des exigences dans la mesure où ils soutiennent des entreprises financières. Pour ces fournisseurs, le défi de la conformité est donc double, notamment en combinaison avec les exigences NIS2.
Les cinq piliers de la conformité DORA (en un coup d'œil)
Pour atteindre la résilience opérationnelle numérique, DORA définit cinq domaines de conformité clés :
- Gestion des risques TIC
Chaque organisation doit établir un cadre de gouvernance robuste pour les risques liés aux TIC - y compris l'inventaire des actifs, les contrôles d'accès et la planification d'urgence. - Notification des incidents
Les incidents majeurs doivent être identifiés, classés et signalés aux autorités de contrôle dans des délais serrés. - Tests de résilience
Des simulations régulières de cyberattaques réelles sont obligatoires - par exemple par le biais de TLPT, de Red Teaming et de jeux de simulation. - Gestion des risques de tiers
Tous les contrats TIC doivent contenir des exigences concrètes en matière d'accès, d'emplacement des données, de surveillance et de mesures d'urgence - en particulier pour les fournisseurs tiers critiques (CTPP). - Partage des informations sur les menaces
Les organisations sont encouragées à participer à des réseaux d'échange d'informations sur les cybermenaces afin d'identifier les risques à un stade précoce et de réagir de manière coordonnée.
Une longueur d'avance avec Wire
Wire aide les organisations réglementées à répondre aux exigences de communication de DORA grâce à des outils de collaboration interne sécurisés, résilients et conformes qui permettent à vos équipes de rester connectées même en situation de crise.
- Communication de secours cryptée en cas d'urgence
- Soutien lors de simulations de crise
Prêt à rendre votre communication conforme à DORA ?
