La réglementation européenne continue de se renforcer pour répondre aux défis liés à la cybersécurité et à la gestion des risques numériques. Avec l’entrée en application du règlement Digital Operational Resilience Act (DORA), les institutions financières doivent s’adapter à de nouvelles exigences.
Quel est le but de DORA ?
Le règlement DORA a été adopté pour renforcer la « résilience opérationnelle » des acteurs du secteur financier face aux risques liés à l’usage des technologies de l’information et de la communication (TIC). Avec la multiplication des cyberattaques et l’importance vitale des systèmes numériques dans les opérations financières, l’objectif est de garantir que les organismes du secteur financier soient préparées à prévenir, à répondre et se remettre des incidents informatiques.
DORA vise à créer un cadre homogène au sein des Etats membres de l’Union Européenne pour assurer une sécurité élevée des systèmes d’information (SI).
A qui le règlement DORA s’applique t-il ?
Le règlement DORA s’applique à la plupart des acteurs du secteur financier, et notamment :
Les banques et établissements de crédit ;
Les compagnies d’assurance et de réassurance ;
Les gestionnaires de fonds d’investissement et les sociétés de gestion ;
Les infrastructures de marché, comme les systèmes de paiement et les chambres de compensation ;
Les prestataires de services TIC critiques pour ces entités, tels que les fournisseurs de cloud computing.
Ce champ d’application large n’est pas sans rappeler celui du RGPD, entré en application en 2018 et prévoyant lui aussi une obligation générale d’assurer la sécurité des données, puisque ne sont pas seulement concernés les organismes au sein d’un secteur particulier, mais tout organisme proposant des services informatiques importants pour l’entreprise concernée.
C’est ainsi l’ensemble de l’écosystème financier qui est visé, pour garantir une résilience globale face aux risques numériques.
Quelles obligations impose DORA pour le traitement des données, y compris personnelles ?
Bien que l’objectif de DORA ne soit pas l’encadrement des traitements de données personnelles, le règlement impose des exigences concernant le traitement de l’information au sein du SI :
Protection des données sensibles : les organismes doivent mettre en place des mesures techniques et organisationnelles pour garantir la sécurité et la confidentialité des données, en particulier les données personnelles ou stratégiques ;
Suivi des incidents affectant les données : les entités financières doivent déclarer les incidents majeurs, y compris ceux impliquant des violations de données personnelles, aux autorités compétentes ;
Audit et documentation : des audits réguliers sont requis pour s’assurer que les systèmes et processus respectent les règles de gestion des données et que les risques sont correctement évalués ;
Responsabilité partagée avec les prestataires : les relations avec les prestataires de services TIC doivent inclure des dispositions claires sur la gestion et la protection des données, avec une responsabilité conjointe en cas d’incident.
Ces obligations sont déjà présentes par ailleurs au sein du RGPD, puisque les organismes traitant des données à caractère personnel ont l’obligation d’assurer leur sécurité (avec une vigilance accrue lorsque l’organisme traite des données à caractère personnel dites « sensibles »), de prévenir l’autorité de contrôle compétente (en France, la CNIL) dans un délai de 72 heures après la prise de connaissance d’une violation de données, de tenir un registre de ces violations, et enfin de rédiger, au sein des contrats passés avec les sous-traitants intervenant sur le traitement des données, les instructions du responsable du traitement.
Quelles obligations en matière de sécurité ?
DORA renforce un cadre déjà exigeant pour la sécurité des systèmes d’information dans le secteur financier. Parmi les principales obligations :
Gestion des risques TIC : les entités doivent mettre en place des politiques complètes de gestion des risques TIC, incluant l’identification, l’évaluation et l’atténuation des risques. Ces politiques doivent être régulirement mises à jour pour refléter l’évolution des menaces ;
Test de résilience opérationnelle : des tests de pénétration et d’autres évaluations techniques sont requis pour vérifier la robustesse des systèmes. Les infrastructures critiques sont soumises à des tests avancés supervisés par les autorités ;
Plan de continuité et de reprise : chaque organisme doit disposer de plans d’urgence et de continuité des activités en cas d’incident majeur, avec une capacité de reprise rapide et efficace ;
Surveillance des prestataires tiers : les institutions financières doivent évaluer les risques liés à leurs prestataires TIC critiques. DORA introduit un cadre de surveillance des fournisseurs essentiels, avec des obligations de transparence et de reporting ;
Reporting des incidents : toute perturbation majeure, notamment d’origine cyber, doit être signalée aux autorités compétentes dans des délais précis.
Quelles conséquences en cas de non-conformité ?
Le règlement prévoit des sanctions pour les entités qui ne respecteraient pas ses dispositions. Les autorités de surveillance, telles que l’Autorité bancaire européenne (ABE) ou les régulateurs nationaux, peuvent imposer des amendes pouvant atteindre plusieurs millions d’euros, en fonction de la gravité des manquements constatés. Parmi les mesures correctives pouvant être prononcées, on trouve la suspension des activités liées aux TIC, l’imposition de plans de mise en conformité stricte, ou encore la mise sous supervision renforcée de l’organisme.
Le règlement DORA, maintenant applicable, nécessite une gestion de la sécurité des SI optimale, notamment atteignable par la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI). Contactez-nous pour en savoir plus sur les obligations tirées du règlement DORA et de son « paquet européen » ou sur l’implémentation d’un SMSI conformes aux standards attendus.