Recherche

{ Tribune Expert } - Comprendre le règlement DORA : ce que les partenaires de distribution doivent savoir de leur conformité

Si le règlement est largement axé sur la cybersécurité, son champ d'application englobe également le partage d'informations et les tests de résilience opérationnelle numérique. De plus, il s'étendra non seulement aux prestataires, mais aussi à leurs fournisseurs et partenaires.

Publié par le - mis à jour à
Lecture
7 min
  • Imprimer
{ Tribune Expert } - Comprendre le règlement DORA : ce que les partenaires de distribution doivent savoir de leur conformité

Alors que l'autorité bancaire européenne prépare les entreprises à utiliser les outils d'autoévaluation prévus par le règlement DORA (Digital Operational Resilience Act), le secteur des services financiers est confronté à un nombre croissant de menaces, qu'il s'agisse de cyberattaques, de défaillances d'infrastructures ou de perturbations physiques. Dans ce contexte, cette règlementation revêt une importance cruciale pour assurer leur résilience opérationnelle. Elle dépasse les approches traditionnelles de gestion des risques en mettant particulièrement l'accent sur l'importance de systèmes TIC robustes et fiables, indispensables pour garantir la continuité des activités face à ces défis.

Bien que le règlement DORA soit entré en vigueur il y a près de deux ans, la date limite de mise en conformité totale approche à grands pas. Depuis ce 17 janvier 2025, toutes les entités financières de l'UE doivent être conformes. Cette exigence dépasse les frontières, car elle ne se limite pas aux organisations basées dans l'Union européenne : elle concerne également celles qui y opèrent ou effectuent des transactions avec des entités européennes. Parmi les secteurs concernés, on retrouve l'investissement, la banque de détail, la banque commerciale, l'assurance, ainsi que d'autres industries financières. De plus, les prestataires de services numériques et technologiques, tels que les fournisseurs de SaaS ou de cloud, sont tout aussi directement impactés par ces obligations que les partenaires de distribution.

Si le règlement est largement axé sur la cybersécurité, son champ d'application englobe également le partage d'informations et les tests de résilience opérationnelle numérique. De plus, il s'étendra non seulement aux prestataires, mais aussi à leurs fournisseurs et partenaires.

Les risques de non-conformité

Le non-respect du règlement DORA peut avoir de graves conséquences pour les partenaires de distribution. Bien qu'aucune sanction fixe ne soit prévue, les amendes devraient être proportionnelles à la gravité de la violation, à l'instar du RGPD. Par ailleurs, les institutions financières pourraient se voir imposer des restrictions, notamment l'interdiction de travailler avec des fournisseurs de services informatiques et revendeurs non conformes. En outre, les autorités compétentes disposent du pouvoir de suspendre ou résilier les contrats avec ceux qui ne respectent pas les normes établies par DORA.

Ces sanctions financières, bien qu'importantes, ne sont pas toujours les conséquences les plus dommageables. Une gestion inadéquate d'un incident de sécurité peut entraîner une atteinte importante à la réputation pour les petites institutions financières et les partenaires de distribution. La non-conformité peut même mettre en péril leur survie, les violations répétées entraînant le retrait des licences d'exploitation.

Comment assurer la conformité ?

Se conformer au règlement DORA ne se limite pas à réussir des audits ponctuels, mais implique un processus continu. Les institutions financières doivent constamment renforcer leur résilience en matière de gestion des risques, de stabilité opérationnelle et de réponse aux incidents. Les partenaires de distribution renforcent la valeur des entreprises financières en facilitant leur conformité à la loi DORA. Ils mettent en place des processus solides et proactifs dans l'ensemble de l'organisation afin de s'adapter efficacement à un paysage de menaces en constante évolution.

La première étape d'une bonne gestion des risques consiste à identifier les services essentiels au secteur financier, tels que les services bancaires de détail ou les paiements rapides. Pour chacun d'entre eux, il est important de définir et de mesurer leur fonctionnalité et leur performance afin de détecter rapidement tout écart par rapport à la norme en cas de perturbation.

Une fois ces services identifiés, il convient de cartographier et de valider leurs dépendances sous-jacentes, tant technologiques qu'opérationnelles. Cela inclut les services internes et les fournisseurs tiers externes.

Le signalement des incidents est également primordial, et les partenaires de distribution doivent aider les établissements financiers à détecter et signaler rapidement toute menace, afin d'assurer un rétablissement rapide. Des tests de résilience réguliers, qui simulent des scénarios réels, aident les entreprises à affiner leurs stratégies de reprise et à assurer la continuité de leur activité.

Gérer la supply chain numérique

Cette approche doit aussi s'appliquer à la gestion des dépendances, en particulier celles liées à la digital supply chain. De nombreuses institutions dépendent de fournisseurs tiers pour leurs activités quotidiennes, la gestion des dépendances de la supply chain numérique est donc primordiale à la résilience.

DORA souligne la nécessité de surveillance continue et la gestion proactive de ces relations. L'identification précoce des vulnérabilités et leur traitement avant qu'elles ne s'aggravent sont clés. Le partage d'informations sur les menaces peut aider les institutions financières à renforcer leurs défenses contre les menaces émergentes, créant ainsi un écosystème financier plus sûr pour favoriser le bon fonctionnement des entreprises.

Démontrer la régularisation avec des partenaires technologiques experts

Le premier pas consistera de s'associer avec des fournisseurs de distribution experts pour simplifier le processus de régularisation afin d'aider les institutions financières à choisir les fournisseurs de technologie et les solutions qui leur conviennent, afin qu'ils puissent à tester leurs systèmes et à s'assurer qu'ils résistent aux interruptions.

En effet, la réalisation de tests approfondis basés sur des scénarios réalistes est cruciale pour une mise en conformité efficace. Ces exercices simulent des perturbations réelles, garantissant que les personnes et les systèmes sont parfaitement préparés à réagir. Pour renforcer cette préparation, les institutions financières peuvent collaborer avec des partenaires technologiques experts, capables de simuler fidèlement les conditions du monde réel. Cela offre une évaluation précise de leur état de préparation, tout en garantissant la continuité des services, même face à des dommages importants.

Aussi, en cas de panne grave, le bon partenaire IT peut également contribuer à la reprise et à la reconstruction des services. Qu'il s'agisse de restaurer les services au sein de l'infrastructure existante, de transférer les actions vers des sites de secours ou de reconstruire les systèmes à partir d'un environnement sécurisé, l'assistance d'experts garantit des transitions en douceur. Ils surveillent les performances, s'assurent que les systèmes fonctionnent comme prévu et travaillent à minimiser les temps d'arrêt.

De plus, l'un des principes clés de DORA est la responsabilité partagée des institutions financières et des fournisseurs tiers avec des partenaires technologiques experts. Cette stratégie, qui s'appuie notamment sur des outils de cybersécurité mutualisés, permet aux parties prenantes de travailler ensemble pour identifier les vulnérabilités et anticiper les cybermenaces. Cela favorise la mise en place de mesures d'atténuation capables de répondre aux menaces de manière efficace et rapide.

Les avantages stratégiques de la conformité

La régularisation à la loi DORA renforce la résilience opérationnelle d'une organisation et protège à la fois les échanges internes et les partenariats externes, tout en offrant un avantage concurrentiel. En effet, les institutions avec une infrastructure robuste se remettent plus vite des interruptions, ce qui les distingue, sur un marché de plus en plus concurrentiel.

Dans un secteur où la confiance et la fiabilité sont primordiales, être perçu comme un partenaire sûr et stable devient un atout majeur. En affinant continuellement leurs stratégies, les institutions financières peuvent mieux se préparer aux défis de demain et assurer leur stabilité à long terme.

Perspectives d'avenir

Le règlement DORA est le signe d'une vague plus large de changements réglementaires à l'échelle mondiale, en réponse à la dépendance numérique croissante des économies développées et en développement. La résilience opérationnelle est non seulement un défi technique, mais aussi une priorité politique liée à la stabilité économique.

Alors que les services financiers reposent de plus en plus sur le numérique, il est nécessaire de garantir une protection efficace contre les perturbations, qu'elles soient naturelles ou cybercriminelles. Pour y parvenir, les institutions financières doivent s'associer à des fournisseurs de technologie et de distribution experts, en tirant parti des outils, des données en temps réel et des connaissances nécessaires pour surveiller les systèmes, identifier les vulnérabilités et traiter de manière proactive les menaces émergentes.

En somme, les organisations de services financiers devront adopter une stratégie proactive pour non seulement répondre aux exigences de la loi DORA, mais aussi se positionner pour prospérer dans un monde numérique de plus en plus complexe.

* Philippe Alcoy est spécialiste de la sécurité chez NETSCOUT

Livres Blancs #security

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page