RGDP & Cybersécurité
30 juillet 2024

Comment se préparer à la loi sur la résilience opérationnelle numérique (DORA) ?

par Gorik Van den Bergh

À partir du 17 janvier 2025, la loi européenne sur la résilience opérationnelle numérique (DORA) entrera en vigueur pour le secteur financier. Mais quelles sont les implications précises de DORA et les conséquences pour votre organisation ? Et quel est le lien entre la loi DORA et la législation NIS2 ?

Qu'est-ce que DORA ?

DORA, ou Digital Operational Resilience Act, est un règlement européen qui vise à renforcer la résilience numérique des organisations financières. L'objectif est d'assurer la continuité des processus critiques au sein de ces organisations par une meilleure gestion des risques informatiques et une plus grande résilience face aux cybermenaces.

DORA se compose de trois éléments : un règlement (niveau 1), des normes techniques (niveau 2) et des lignes directrices (niveau 3). L'élaboration des normes techniques et des lignes directrices est divisée en deux phases. La première phase a été soumise à la Commission européenne pour adoption en janvier 2024. La deuxième phase était ouverte à la consultation publique jusqu'au 4 mars 2024 et comprenait des normes pour le signalement d'incidents graves liés aux TIC et les tests de pénétration guidés par la menace (TLPT). Cette phase doit être soumise à la Commission européenne pour le 17 juillet 2024.

À qui s'adresse DORA ?

La loi DORA s'applique à un large éventail d'institutions financières, notamment les suivantes:

  • Banques

  • Sociétés d'investissement

  • Fonds de pension

  • Établissements de monnaie électronique

  • Sociétés d'assurance et de réassurance

  • Etablissements de paiement

  • Fournisseurs de services de crowdfunding

DORA s'applique également aux fournisseurs de services liés aux TIC de ces institutions financières. Le champ d'application complet de DORA peut être consulté ici.

Les piliers fondamentaux de DORA

DORA se concentre sur cinq domaines essentiels pour améliorer la cybersécurité :

  1. Gestion des risques liés aux TIC
    Les organisations doivent mettre en œuvre un cadre complet de gestion des risques liés aux TIC, avec des stratégies et des procédures documentées.

  2. Gestion, classification et signalement des incidents liés aux TIC
    Un plan efficace de réponse aux incidents est nécessaire pour réagir rapidement aux incidents de cybersécurité.

  3. Test de résilience opérationnelle numérique
    Des tests réguliers sont obligatoires pour évaluer l'efficacité des mesures de sécurité.

  4. Gestion des risques liés aux TIC pour les tiers
    Les entités financières doivent élaborer une stratégie de gestion des risques liés aux TIC lorsqu'elles utilisent des services de tiers.

  5. Partage d'informations et de renseignements
    DORA encourage la coopération et le partage d'informations entre les institutions financières, les fournisseurs de services informatiques et les régulateurs.

La sécurité des réseaux et des systèmes d’information

Relation entre DORA et NIS2

Outre la loi DORA, la directive NIS2 (sécurité des réseaux et des systèmes d’information 2) est également en vigueur et vise à améliorer la résilience des infrastructures de l'UE. Certaines institutions financières, comme les banques, relèvent des deux législations. Dans ce cas, la loi DORA prévaut en tant que "lex specialis" lorsqu'elle impose des exigences plus strictes que la législation NIS2.

Sanctions

Des sanctions financières peuvent intervenir en cas de violation de la loi DORA. Les détails de ces sanctions sont déterminés par les autorités nationales. Dans le cadre de NIS2, les amendes peuvent s'élever à 2 % du chiffre d'affaires mondial. En vertu de NIS2 et de DORA, les membres de la direction peuvent faire l'objet de poursuites pénales pour négligence. De plus amples informations sur NIS2 sont disponibles ici.

Quelles mesures pour s’y préparer?

Bien que certaines informations ne seront disponibles que plus tard en 2024, il est important que les institutions financières prennent d'ores et déjà autant de mesures que possible pour se préparer.

Étape 1 : Comprendre les processus et les systèmes

Déterminez quels services commerciaux dépendent de quels processus et systèmes, et quelles sont les données impliquées.

Étape 2 : Cartographier les risques liés aux TIC

Mettez en place un cadre de gestion des risques liés aux TIC ou évaluez votre cadre existant pour vous conformer à la loi DORA.

Étape 3 : Procéder à une "évaluation des lacunes" (Gap Assessment).

Vérifiez si votre cadre actuel répond aux nouvelles exigences DORA et identifiez les éventuelles lacunes.

Étape 4 : Gérer les risques liés aux tiers

Dressez la liste de tous vos fournisseurs et parties tierces et assurez-vous que vous disposez d'une stratégie de gestion des risques liés aux TIC pour les tiers.

Étape 5 : Mettre en place un processus abouti de gestion des incidents

Veillez à ce que le processus de gestion des incidents soit bien rodé et permette de réagir rapidement et d'informer les autorités de surveillance.

Étape 6 : Disposer d’un programme de test solide

Mettez en œuvre un programme de test de la résilience opérationnelle numérique qui couvre tous les systèmes informatiques critiques et les soumet à des tests réguliers.

Suivre ces étapes permettra à votre organisation de se préparer au respect de la réglementation DORA et d’améliorer sa résilience numérique. Prêt à commencer ? Contactez-nous dès aujourd'hui pour obtenir plus d'informations et un soutien dans la mise en œuvre de DORA au sein de votre organisation.

  • Vandelanotte peut vous aider à déterminer dans quelle mesure la législation DORA s'applique à votre organisation ;

  • Nous pouvons vous aider en vous proposant des logiciels pour numériser et automatiser la gestion des risques informatiques.

  • Nous pouvons effectuer une analyse des lacunes pour évaluer le niveau actuel de cybersécurité et de résilience ;

  • Nous pouvons vous aider à mettre en œuvre les politiques, les procédures et les contrôles de sécurité nécessaires pour respecter la législation DORA.

Formulaire de contact

Vous souhaitez en savoir plus ou vous avez besoin d'un conseil spécialisé ? N'hésitez pas à contacter nos spécialistes.

Ce formulaire ne peut être envoyé qu’avec l’utilisation de cookies techniques. Vous pouvez accepter ces cookies ici.
Ces cookies sont utilisés pour distinguer les gens des robots. Certaines données, tells que votre adresse IP ou votre préférence linguistique, peuvent être envoyées à Google. Pour plus d’informations sur notre politique en matière de cookies, cliquez ici.

Partager cet article

Gorik Van den Bergh

Certified Information Systems Auditor Gorik.VandenBergh@vdl.be

Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.


Informations et perspectives

Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.