Ce livrable traite du Règlement européen pour la résilience opérationnelle du secteur financier en Europe (« DORA »), ce dernier s’inscrivant dans un contexte de renforcement des exigences de sécurité et de résilience des infrastructures numériques, à la suite de l’augmentation des cybermenaces et de la dépendance croissante du secteur financier aux technologies de l’information.
Dans un premier temps, le document situe le texte du règlement et son paysage législatif puis aborde ses principales lignes de force du règlement, en mettant particulièrement l’accent sur les obligations imposées aux acteurs du secteur financier :
- Obligations de gouvernance et de gestion des risques : DORA impose aux entités du secteur financier de mettre en place un cadre de gestion des risques liés à la résilience opérationnelle.
- Sanctions : En cas de non-conformité, DORA prévoit des sanctions administratives, incluant des amendes.
- Champ d’application : DORA s’applique non seulement aux institutions financières directement supervisées (banques, assurances, gestionnaires d’actifs) mais aussi à leurs fournisseurs de services tiers, y compris les prestataires IT critiques. Cela étend la responsabilité de la résilience opérationnelle au-delà des seules entités financières, englobant l’ensemble de leur écosystème de fournisseurs.
Le document poursuit par une analyse détaillée des rôles et responsabilités des différents acteurs au sein de l’organisation, dans une perspective de mise en conformité avec DORA. Une mindmap synthétique est proposée, illustrant les fonctions clés impliquées dans la gestion de la résilience opérationnelle. Parmi ces fonctions : RSSI, service juridiques, Direction générale, Risk manager…
Enfin, le document consacre une large part à l’analyse des exigences relatives aux prestataires de services IT, avec un focus particulier sur la gestion des risques liés à la dépendance envers ces prestataires. Les points suivants sont notamment détaillés :
- Partage des responsabilités : DORA prévoit un cadre précis de partage des responsabilités entre les institutions financières et leurs prestataires de services IT.
- Étapes de la contractualisation : L’accent est mis sur les obligations contractuelles imposées aux prestataires tiers, notamment en matière de sécurité, de tests de résilience et de notification des incidents.
- Tests d’intrusion fondés sur la menace : Le règlement impose la réalisation de tests d’intrusion réguliers, notamment fondés sur des scénarios de menace évolutifs.
- Prestataires tiers critiques : Une attention particulière est portée aux prestataires tiers dits « critiques », dont les défaillances pourraient entraîner des risques systémiques pour le secteur financier.
Ce document vise à fournir une vue d’ensemble des obligations réglementaires et des bonnes pratiques à mettre en œuvre pour garantir la conformité, la sécurité et la résilience des acteurs du secteur financier face aux risques opérationnels numériques.
Ce guide DORA publié par le Clusif est à présent en accès libre, à télécharger ici