Qu'est-ce que DORA ?
DORA, le Digital Operational Resilience Act, est une réglementation globale qui vise à harmoniser les règles de gestion des cyber-risques dans l'ensemble du secteur financier européen. Avec DORA , l'Union européenne a mis en place une réglementation sur les thèmes de la cybersécurité, des risques liés aux TIC et de la résilience opérationnelle numérique dans le secteur financier.
Le règlement propose une approche standardisée pour la gestion des risques liés aux TIC (technologies de l'information et de la communication). Ces risques comprennent par exemple les fuites de données ou les pannes de systèmes, qui peuvent résulter d'erreurs internes ou d'événements externes tels que les cyberattaques.
Éléments essentiels de DORA
Administration et gestion
L'une des exigences centrales de DORA est la création d'un cadre de gouvernance solide pour la gestion de la résilience opérationnelle numérique. Cela comprend :
- L'élaboration de stratégies et de procédures pour gérer les risques liés aux TIC.
- L'identification et la classification permanentes des risques et des vulnérabilités numériques.
Des tests de résilience opérationnelle
Des tests réguliers pour évaluer les mesures de résilience constituent un autre élément important de DORA. Ces tests comprennent également des exercices basés sur des scénarios afin de s'assurer que les institutions sont prêtes à faire face à différents types de cybermenaces.
Gestion des risques pour les tiers
Le respect des dispositions DORA par les fournisseurs tiers, tels que les fournisseurs de cloud, est crucial. Les institutions financières doivent s'assurer que leurs contrats avec les fournisseurs tiers sont structurés en conséquence et que ces fournisseurs respectent les normes de sécurité requises.
Reporting des incidents
Un processus clair de classification et de notification des incidents liés aux TIC est indispensable. DORA exige un rapport obligatoire sur les incidents importants afin de permettre une réaction rapide et coordonnée.
Partage d'informations
Afin de renforcer la résilience collective, DORA demande la participation à des accords d'échange d'informations. Cela permet d'identifier et de gérer les menaces plus rapidement.
Gestion des risques
La responsabilité du respect des dispositions DORA incombe à la direction. Ainsi, une fonction de contrôle des risques liés aux TIC doit être créée et une gestion des risques liés aux TIC doit être mise en œuvre.
Introduction et mise en œuvre de DORA
La préparation et la négociation de DORA au niveau de l'UE ont commencé dès 2020 et le règlement DORA est entré en vigueur le 17 janvier 2023. En 2023 et 2024, les textes juridiques ont été rédigés, consultés publiquement et adoptés par la Commission européenne. À partir du 17 janvier 2025, DORA sera officiellement appliqué et une révision par la Commission européenne est prévue pour 2028.
Comment GFT peut vous aider
GFT propose des services complets pour aider à la mise en œuvre de DORA. Il s'agit notamment de :
Gestion des risques TIC
Dans le cadre de la gestion des risques TIC, nous proposons une formation à la sécurité TIC, la mise en œuvre de procédures de détection des incidents TIC et l'élaboration d'une stratégie globale de sécurité TIC. Nous définissons des directives pour la poursuite des activités TIC et intégrons les risques TIC dans le manuel des risques ainsi que dans l'inventaire des risques. Les risques généraux sont intégrés dans la stratégie et les processus de risque. En outre, nous élaborons les décisions nécessaires du conseil d'administration et préparons la communication interne et externe sur les risques.
Gestion des risques liés aux TIC pour les tiers
Nos prestations comprennent l'analyse des contrats de services existants quant à leur pertinence pour les TIC, l'intégration et l'évaluation de nouvelles clauses ainsi que l'élaboration de modèles pour de nouveaux contrats. Nous intégrons de nouveaux critères d'évaluation pour l'analyse des risques des contrats, créons et tenons à jour le registre des informations sur les TIC et développons des processus pour éviter les redondances en ce qui concerne la gestion de l'externalisation et des prestataires de services. En outre, nous intégrons les retours d'information des autorités de surveillance européennes (ESA) dans l'évaluation des risques et la documentation.
Tester la résilience opérationnelle numérique
Nous examinons les vulnérabilités des externalisations et des fournisseurs de services, effectuons des tests de vulnérabilité et de pénétration annuels et développons un processus de gestion des incidents. Nous évaluons également l'urgence, la nature du risque et la criticité des facteurs pertinents et effectuons des tests TLPT avancés pour les entreprises financières d'importance systémique. En outre, nous aidons à l'échange d'informations et accompagnons nos clients lors d'exercices d'urgence intersectoriels.
Système de notification des incidents TIC
Nous classons et définissons les incidents liés aux TIC selon des critères établis, fixons des seuils de tolérance appropriés et mettons en œuvre un processus de notification des incidents liés aux TIC.
La mise en œuvre de DORA pose des défis considérables aux institutions financières. GFT est un partenaire compétent pour vous aider à relever ces défis.
Contactez-nous pour en savoir plus sur nos services et sur la manière dont nous pouvons vous aider à réussir la mise en œuvre de DORA.
