Dans un environnement géopolitique incertain, de recrudescence des cyberattaques et d'enjeux forts de digitalisation du secteur financier, le règlement DORA entré en vigueur mi-janvier 2023 marque un tournant dans la gestion des risques cyber et informatiques. Il appelle à la mise en œuvre d'une véritable stratégie de résilience opérationnelle numérique au sein des organisations.
Les enjeux à la fois stratégiques et opérationnels soulevés sont complexes et profonds et nécessitent l’implication de plusieurs fonctions en interne telles que la Direction des risques et de la Conformité, la Direction informatique, les responsables de la Sécurité, la Direction des achats, et plus particulièrement le sponsoring fort du Management dans l’établissement d’une gouvernance appropriée.
Playback of this video is not currently available
Le règlement DORA, ou Règlement sur la résilience opérationnelle numérique pour le secteur financier, vise à renforcer la gestion des risques tic au sein des entreprises concernées. Dès lors, il instaure un cadre harmonisé définissant les exigences en matière de tests de résilience opérationnelle, de gestion des risques liés aux prestataires tiers services tic, ainsi que les normes techniques de réglementation applicable.
Par ailleurs, ce texte européen entend accroître la résilience des infrastructures informatiques des établissements financiers face aux menaces cyber et aux incidents tic majeurs.
Pour illustrer, il contraint ces acteurs à mettre en œuvre des mesures afin d'assurer la continuité de leurs services tic essentiels en cas d'attaque ou de panne.
De facto, le règlement sur la résilience opérationnelle vise à protéger la stabilité du système financier européen contre les risques tic grandissants. C'est la raison pour laquelle il prévoit une surveillance renforcée des plans de gestion des risques informatiques déployés par les entreprises concernées.
Les établissements visés par le règlement DORA sont principalement les banques, les entreprises d'assurance, les sociétés de gestion d'actifs, ainsi que les infrastructures de marché telles que les contreparties centrales ou dépositaires.
Au sein de ces structures, le texte cible avant tout les activités et services tic jugés critiques ou importants.
Davantage qu'une simple recommandation, ce règlement sur la résilience opérationnelle numérique dans le secteur financier expose des obligations contraignantes à respecter.
Nécessairement, l'entrée en application des dispositions se fera de manière progressive jusqu'en 2025.
Tout d'abord, le règlement DORA requiert la mise en place de mesures adéquates de gestion des risques prestataires. En effet, les entreprises devront démontrer une maîtrise des menaces cyber pouvant émaner de leurs tiers prestataires de services.
De surcroît, elles se verront dans l'obligation de réaliser régulièrement des tests de résilience opérationnelle rigoureux, simulant notamment des scénarios de pénétration fondés sur de la menace sophistiquée.
Ces exercices permettront d'évaluer leur capacité de réaction face à des cyberattaques majeures.
Enfin, les établissements seront contraints d'améliorer la supervision des plans de gestion des risques tic déployés, via la nomination de responsables dédiés et l'instauration d'audits fréquents. Au sein de ces risques tic, une attention particulière sera portée aux risques dits de concentration concernant d'importants prestataires tiers services tic.
A contrario, ce règlement n'impose pas de solution technique spécifique. In fine, il revient à chaque entreprise de définir les meilleures pratiques à mettre en œuvre pour se conformer aux nouvelles exigences.
Les 10 enjeux clés présentés ci-dessous sont issus des principaux messages et témoignages de la conférence « Règlement DORA : Décryptage, enjeux et partage d'expériences » organisée le 24 novembre 2022 par PwC France et Maghreb.
Ces enjeux sont autant de pistes pour vous aider à vous préparer aux exigences du règlement DORA. Ils constituent des repères qu’il conviendra bien évidemment d’adapter à chaque environnement afin de faire de DORA non pas une contrainte réglementaire supplémentaire mais une opportunité pour les institutions financières de se différencier sur le marché en renforçant leur résilience opérationnelle sur les risques informatiques, de cybersécurité, de continuité d’activité et sur les risques liés aux tiers.
Romain Camus
Associé, Gestion des risques technologiques, secteur Banque, PwC France et Maghreb
Karine Pariente
Associée, Gestion des risques technologiques, secteur Assurance, PwC France et Maghreb