Comprendre la norme DORA : un guide pour les entreprises

Qu'est-ce que la norme DORA ?

DORA est une réglementation européenne qui établit des exigences claires pour garantir que les entreprises du secteur financier sont suffisamment préparées pour faire face aux risques numériques, aux cyberattaques et aux interruptions de service. L'objectif est de rendre le secteur financier de l'UE plus résistant aux menaces numériques et de protéger les données et les transactions des utilisateurs.

La norme s’articule autour de plusieurs domaines principaux :

• Gestion des risques : Les entreprises doivent identifier, évaluer et gérer les risques technologiques.
• Tests de résilience : Elles sont tenues de réaliser régulièrement des tests pour s'assurer de leur capacité à résister aux cyberattaques et autres incidents opérationnels.
• Reporting d’incidents : La norme impose un cadre de déclaration des incidents significatifs pour une réponse rapide et efficace.
• Surveillance des fournisseurs tiers : DORA exige une surveillance accrue des fournisseurs de services critiques pour éviter toute faille provenant de l'extérieur de l'entreprise.

À qui s'applique la norme DORA ?

DORA cible principalement les entreprises du secteur financier, y compris, mais sans s'y limiter :

• Les banques
• Les compagnies d'assurance
• Les gestionnaires de fonds
• Les plateformes de paiement
• Les entreprises de services d'investissement
• Les entreprises de crypto-actifs

La norme s'applique également aux fournisseurs tiers de services TIC (Technologies de l’Information et de la Communication), comme les entreprises de cloud, les fournisseurs de solutions de cybersécurité et autres prestataires essentiels. Ainsi, les entreprises technologiques collaborant avec des institutions financières doivent également se conformer aux exigences DORA pour garantir la continuité et la sécurité de leurs services.
Ce texte recouvre 21 catégories d’entités du secteur financier,ce qui représenterait plus de 22 000 entités au sein de l’UE (selon le projet de résolution législative du parlement européen)

Comment se préparer à DORA en tant qu'entreprise ?

La conformité à DORA nécessite une préparation minutieuse et plusieurs étapes clés pour répondre aux exigences. Voici un guide pratique pour les entreprises souhaitant se préparer efficacement :

1. Évaluer les risques numériques et opérationnels
   Les entreprises doivent identifier les risques numériques dans leur infrastructure actuelle. Cela inclut de cartographier les systèmes critiques, d'évaluer les vulnérabilités potentielles et d’analyser les impacts possibles des cyberincidents.
2. Mettre en place des politiques de gestion des risques
   Élaborer et renforcer des politiques de gestion des risques technologiques est essentiel. Il s'agit notamment de définir des procédures de réponse aux incidents, de déployer des mesures de sécurité et de protection des données, et d’instaurer un cadre pour la continuité des opérations.
3. Effectuer des tests de résilience réguliers
   DORA impose aux entreprises de tester régulièrement leur résilience numérique. Cela peut inclure des tests de pénétration, des simulations d'attaques (comme le red teaming) et des évaluations de la continuité d’activité pour valider l'efficacité des systèmes face aux cybermenaces.
4. Renforcer les procédures de reporting d’incidents
   Mettre en place un processus de déclaration rapide et précis des incidents est crucial. DORA exige que les incidents significatifs soient signalés aux autorités de supervision compétentes. Assurez-vous de disposer d’un système permettant de documenter et de notifier rapidement les incidents pour minimiser leur impact.
5. Surveiller et gérer les fournisseurs tiers
   Pour les entreprises travaillant avec des fournisseurs de services externes, DORA impose une vigilance accrue. Il est essentiel d'évaluer la sécurité des partenaires, de vérifier la conformité de leurs pratiques et d’établir des clauses contractuelles sur leur résilience face aux risques numériques.
6. Sensibiliser et former les équipes
   La culture de la cybersécurité est essentielle pour respecter les exigences de DORA. Former les employés aux pratiques de sécurité, aux protocoles de gestion des incidents et aux procédures de signalement peut réduire les risques d’erreurs humaines et renforcer la résilience globale.

Pourquoi la conformité à DORA est-elle cruciale ?

En se conformant à DORA, les entreprises bénéficient non seulement d’une meilleure sécurité face aux cybermenaces, mais elles renforcent également la confiance de leurs clients et partenaires. La norme permet aux entreprises de prévenir les perturbations majeures, de réagir plus efficacement aux incidents et de maintenir une qualité de service même en cas de crise. Elle s’inscrit dans une démarche proactive pour créer un écosystème financier européen plus sûr et plus fiable.

Quelles sanctions en cas de manquements ?

L'évaluation et l'imposition des sanctions en cas de manquement aux obligations légales sont laissées à la discrétion des États membres et des autorités compétentes. Celles-ci ont la possibilité de mettre en place diverses mesures, y compris des sanctions financières, afin de garantir que les entités financières respectent leurs obligations légales (article 50.4 c).

En ce qui concerne les prestataires critiques de services TIC (Technologies de l'Information et de la Communication), l'autorité compétente peut procéder à des contrôles, qu'ils soient sur pièces ou sur place. En cas de non-conformité, des sanctions peuvent être appliquées, telles que des pénalités financières et des astreintes journalières, pouvant atteindre 1 % du chiffre d'affaires mondial du prestataire concerné. Ces sanctions peuvent être maintenues pendant une période maximale de 6 mois (article 35).

Conclusion

La norme DORA marque un tournant dans la protection des entreprises financières face aux menaces numériques. En mettant en œuvre une stratégie de préparation rigoureuse et en se conformant aux exigences de la norme, les entreprises du secteur financier peuvent renforcer leur résilience opérationnelle et contribuer à la sécurité de l’ensemble du système financier européen.

Se préparer à DORA peut sembler complexe, mais en suivant ces étapes et en instaurant une culture de cybersécurité, les entreprises peuvent transformer cette obligation en un atout stratégique.

Cyber Connect met en place un Accompagnement DORA pour ses clients, afin de vous aider à mettre en place étape par étape les briques de votre conformité.