Découvrez les 5 piliers fondamentaux de DORA et apprenez comment les entités financières peuvent renforcer leur résilience numérique, assurer leur conformité et sécuriser leurs opérations TIC dans le cadre de la législation de l'UE.
La loi sur la résilience opérationnelle numérique (DORA) remodèle le paysage réglementaire européen en obligeant les entités financières à traiter la résilience numérique aussi sérieusement que les risques de crédit ou de liquidité. Pour les entreprises qui naviguent dans la transformation numérique, il est essentiel de comprendre les cinq piliers fondamentaux de la DORA pour assurer une communication interne sécurisée, la continuité des activités et la conformité réglementaire.
Découvrez comment Wire aide les institutions financières à respecter les normes DORA avec des outils de communication sécurisés et conformes. Pour aider les entreprises à s'y retrouver, Wire s'est associé à Reuschlaw pour élaborer un nouveau livre blanc qui fait le tour de la question.
Qu'est-ce que la loi DORA ?
La loi sur la résilience opérationnelle numérique, communément appelée "DORA", est un règlement adopté par l'Union européenne (UE) pour harmoniser et renforcer la résilience opérationnelle numérique du secteur financier. Officiellement intitulé Règlement (UE) 2022/2554, le DORA est entré en vigueur en janvier 2023 et est devenu pleinement applicable à partir du 17 janvier 2025.
Ce qui rend le DORA unique, c'est son approche technologiquement neutre combinée à une applicabilité légale dans tous les États membres de l'UE. Comme il s'agit d'un règlement (et non d'une directive), le DORA est directement applicable sans qu'il soit nécessaire de le transposer au niveau national, ce qui garantit la cohérence et l'immédiateté de son application.
Mais connaître le règlement n'est qu'une première étape.
Dans notre dernier article, nous examinons de plus près deux défis majeurs qui rendent la conformité à la DORA particulièrement complexe, et la manière dont les organisations peuvent les relever avant qu'ils ne deviennent des risques.
Quels sont les cinq piliers de la loi DORA ?
1) Gestion des risques liés aux TIC
Ce qu'il exige :
Chaque entité financière doit établir un cadre de gouvernance interne pour gérer les risques liés aux TIC.
Cela comprend la cartographie des actifs numériques, la classification des risques et la conception de plans de continuité des activités et de reprise après sinistre.
Actions clés :
- Définir les services critiques de l'entreprise et leurs dépendances vis-à-vis des TIC.
- Maintenir un inventaire à jour de tous les actifs TIC
- Mettre en place un contrôle d'accès, des protocoles de correction et des processus de gestion du changement.
- Sensibiliser tous les services à la cybersécurité.
2) Signalement et gestion des incidents
Ce qu'il faut faire :
Les entités doivent classer, enregistrer et signaler les incidents majeurs liés aux TIC et, éventuellement, notifier les cybermenaces importantes.
Cadre de notification :
- Notifier à la direction générale et aux autorités compétentes tous les incidents majeurs liés aux TIC
- Signaler les incidents à l'aide de modèles harmonisés, avec des seuils et des délais définis par les autorités européennes de surveillance (AES).
- Conserver des pistes d'audit et des journaux de communication
- Informer les clients dans les meilleurs délais si un incident majeur lié aux TIC a un impact sur leurs intérêts financiers.
3) Test de résilience numérique
Ce qu'il exige :
Les organisations doivent régulièrement tester leur capacité à prévenir, détecter, répondre et récupérer des perturbations liées aux TIC.
Le régime de test comprend
- des évaluations annuelles de la vulnérabilité
- destests de pénétration basés sur des menaces réelles (TLPT) tous les trois ans pour les entités jugées importantes
- Red teaming, tests de résistance et simulations
- Vérification et documentation indépendantes des résultats des tests
4) Surveillance des risques par des tiers
Ce qu'elle exige :
Les institutions financières doivent répertorier tous les fournisseurs de TIC, évaluer la concentration des risques et mettre en place des garanties contractuelles pour la surveillance.
Le DORA impose :
- des exigences minimales pour les accords d'externalisation (par exemple, localisation des données, contrôles d'accès)
- un contrôle continu des fonctions externalisées
- des plans d'urgence et des stratégies de sortie
- Des rôles clairs et une responsabilité conservée par l'entité financière, même lorsque les services sont externalisés.
5) Échange de renseignements sur les cybermenaces
Ce qu'il exige :
Bien que cela ne soit pas obligatoire, les entités financières sont fortement encouragées à participer à des accords d'échange d'informations sur les cybermenaces.
Pratiques attendues :
- Adhérer à des centres sectoriels ou nationaux de partage et d'analyse de l'information (ISAC).
- Conclure des accords formels d'échange d'informations sur les cybermenaces
- Informer les autorités de réglementation de leur participation à des écosystèmes de partage.
- Utiliser les résultats pour mettre à jour les cadres internes de risque et de réponse.
Prenez de l'avance avec Wire
Chez Wire, nous aidons les organisations réglementées à répondre aux exigences de communication de DORA - avec des outils de collaboration interne sécurisés, résilients et conformes qui permettent à vos équipes de rester connectées, même en cas de crise.
- Communication de secours cryptée pour la réponse aux incidents
- Support pour les simulations de crise
Prêt à rendre vos communications conformes à la loi DORA ?
