Qu'est-ce que la souveraineté du cloud ? Un guide à l'intention des entreprises européennes
La souveraineté en matière d'informatique dématérialisée garantit que les données, les charges de travail et les opérations restent sous le contrôle...
Découvrez ce que la loi sur la résilience opérationnelle numérique (DORA) signifie pour les services financiers et les fournisseurs de TIC. Découvrez qui doit s'y conformer et quels sont les cinq piliers de la loi.
La dépendance du secteur financier à l'égard de l'infrastructure numérique n'a jamais été aussi grande ni aussi risquée. Des ransomwares aux pannes de service en temps réel, les menaces sont de plus en plus fréquentes et de plus en plus graves. C'est pourquoi l'Union européenne a introduit la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA), une réglementation qui exige des entités financières qu'elles gèrent de manière proactive les perturbations des TIC et qu'elles y résistent.
Si votre organisation fait partie de l'écosystème financier de l'UE ou en soutient un, il est temps de vous familiariser avec la loi DORA. Pour aider les entreprises à s'y retrouver, Wire s'est associé à Reuschlaw pour élaborer un nouveau livre blanc qui fait le tour de la question.
Qu'est-ce que la loi DORA ?
La loi sur la résilience opérationnelle numérique (DORA) est le règlement 2022/2554 de l'UE, qui est entré en vigueur le 17 janvier 2025. Contrairement aux cadres précédents, DORA fournit une base juridique unifiée pour la gestion des risques liés aux TIC (technologies de l'information et de la communication) dans l'ensemble du secteur financier, y compris les banques, les assureurs, les fournisseurs de services de crypto-monnaie et leurs partenaires TIC.
Il s'agit en quelque sorte du GDPR de la résilience opérationnelle. Il est neutre sur le plan technologique, immédiatement applicable dans tous les États membres de l'UE et bénéficie de la pleine force de la loi. Son objectif ? Faire en sorte que les services financiers puissent continuer à fonctionner, même en cas de cyberattaque ou de défaillance du système.
Mais la mise en conformité avec la loi DORA s'accompagne de son lot de défis: de l'alignement contractuel des chaînes d'approvisionnement complexes en TIC à la mise en place de cadres internes robustes de signalement des incidents et de réponse. Pour de nombreuses organisations, cela signifie qu'elles doivent repenser la manière dont elles gèrent les risques numériques, communiquent en cas de crise et maintiennent la continuité de leurs activités sous pression.
L'importance du DORA
Le DORA marque un changement important dans le paysage de la cybersécurité et de la conformité de l'UE. Voici pourquoi il est important :
- Il comble les lacunes critiques dans la gestion du risque opérationnel qui étaient auparavant gérées par des règles nationales fragmentées ou des tampons de capital.
- Elle s'attaque aux menaces actuelles, des ransomwares sophistiqués aux vulnérabilités des logiciels tiers comme SolarWinds.
- Il renforce la souveraineté numérique en obligeant les organisations à faire appel à des fournisseurs conformes, souvent basés dans l'UE, et à éviter les fournisseurs de TIC offshore qui ne respectent pas les normes.
En bref : DORA est une refonte complète de la manière dont nous sécurisons les finances dans un monde hyperconnecté.
Qui doit s'intéresser à DORA ?
Le DORA s'applique à plus de 20 catégories d'entités financières, notamment
- les banques et les établissements de crédit
- Les entreprises d'investissement et les prestataires de services de paiement
- les compagnies d'assurance et de réassurance
- Les fournisseurs de services de crypto-actifs (dans le cadre du MiCA)
- les plateformes de retraite et de crowdfunding
- les fournisseurs d'infrastructures de marché (CCP, plates-formes de négociation).
Mais ce n'est pas tout.
Les fournisseurs tiers de TIC, y compris les plateformes en nuage, les vendeurs de logiciels, les fournisseurs de matériel et même les équipes informatiques intragroupes, doivent également se conformer s'ils sont au service d'institutions financières. Pour ces fournisseurs, DORA crée un double défi de conformité, en particulier lorsqu'il est combiné avec les obligations de NIS2.
Lisez notre livre blanc sur le NIS2.
Les cinq piliers de la conformité DORA (en bref)
Pour parvenir à la résilience opérationnelle numérique, le DORA définit cinq domaines de conformité essentiels :
- Gestion des risques liés aux TIC
Chaque entité doit maintenir un cadre solide de gouvernance des risques liés aux TIC : de l'inventaire des actifs aux contrôles d'accès et au plan de continuité. - Rapport d'incident
Les incidents majeurs doivent être identifiés, classés et signalés aux régulateurs, souvent dans des délais très courts. - Test de résilience
Les entreprises doivent régulièrement simuler des cybermenaces réelles par le biais de TLPT (tests de pénétration basés sur les menaces), de red teaming et d'exercices sur table. - Gestion des risques liés aux tiers
Tous les contrats relatifs aux TIC doivent comporter des clauses spécifiques concernant l'accès, la localisation, la surveillance et les mesures d'urgence, en particulier avec les fournisseurs tiers essentiels (CTPP). - Partage de renseignements sur les menaces
Les entités sont encouragées à rejoindre des réseaux de partage des menaces afin d'identifier et de répondre de manière collaborative aux cyber-risques émergents.
Prenez de l'avance avec Wire
Chez Wire, nous aidons les organisations réglementées à répondre aux exigences de communication de la loi DORA - avec des outils de collaboration interne sécurisés, résilients et conformes qui permettent à vos équipes de rester connectées, même en cas de crise.
- Communication de secours cryptée pour la réponse aux incidents
- Support pour les simulations de crise
Prêt à rendre vos communications conformes à la loi DORA ?
