Découvrez les 10 enjeux clés pour une mise en conformité réussie

Règlement DORA : comment s’y préparer ?

Règlement DORA
  • Publication

Le règlement DORA apporte, dans un seul acte législatif et pour la première fois de l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières. Il prévoit également la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE.

Dans un environnement géopolitique incertain, de recrudescence des cyberattaques et d'enjeux forts de digitalisation du secteur financier, le règlement DORA entré en vigueur mi-janvier 2023 marque un tournant dans la gestion des risques cyber et informatiques. Il appelle à la mise en œuvre d'une véritable stratégie de résilience opérationnelle numérique au sein des organisations. 

Les enjeux à la fois stratégiques et opérationnels soulevés sont complexes et profonds et nécessitent l’implication de plusieurs fonctions en interne telles que la Direction des risques et de la Conformité, la Direction informatique, les responsables de la Sécurité, la Direction des achats, et plus particulièrement le sponsoring fort du Management dans l’établissement d’une gouvernance appropriée.

Téléchargez le livre blanc

Video

Supporting your DORA Transformation: Build trust to power

In a rapidly evolving digital landscape, businesses face the challenge of ensuring operational resilience. PwC's EMEA DORA Team is here to guide you through the Digital Operational Resilience Act (DORA) and support your transformation journey from now to January 2025 and beyond.

5:13
More tools
  • Transcript
  • Plein Ecran
  • Partager
  • Closed captions

Playback of this video is not currently available

Transcript

Quel est l'objectif principal du règlement DORA ?

Le règlement DORA, ou Règlement sur la résilience opérationnelle numérique pour le secteur financier, vise à renforcer la gestion des risques tic au sein des entreprises concernées. Dès lors, il instaure un cadre harmonisé définissant les exigences en matière de tests de résilience opérationnelle, de gestion des risques liés aux prestataires tiers services tic, ainsi que les normes techniques de réglementation applicable.

Par ailleurs, ce texte européen entend accroître la résilience des infrastructures informatiques des établissements financiers face aux menaces cyber et aux incidents tic majeurs. 

Pour illustrer, il contraint ces acteurs à mettre en œuvre des mesures afin d'assurer la continuité de leurs services tic essentiels en cas d'attaque ou de panne.

De facto, le règlement sur la résilience opérationnelle vise à protéger la stabilité du système financier européen contre les risques tic grandissants. C'est la raison pour laquelle il prévoit une surveillance renforcée des plans de gestion des risques informatiques déployés par les entreprises concernées.

Qui est concerné par ce règlement ?

Les établissements visés par le règlement DORA sont principalement les banques, les entreprises d'assurance, les sociétés de gestion d'actifs, ainsi que les infrastructures de marché telles que les contreparties centrales ou dépositaires. 

Au sein de ces structures, le texte cible avant tout les activités et services tic jugés critiques ou importants.

Davantage qu'une simple recommandation, ce règlement sur la résilience opérationnelle numérique dans le secteur financier expose des obligations contraignantes à respecter. 

Nécessairement, l'entrée en application des dispositions se fera de manière progressive jusqu'en 2025.

Quelles sont les principales exigences prévues ?

Tout d'abord, le règlement DORA requiert la mise en place de mesures adéquates de gestion des risques prestataires. En effet, les entreprises devront démontrer une maîtrise des menaces cyber pouvant émaner de leurs tiers prestataires de services.

De surcroît, elles se verront dans l'obligation de réaliser régulièrement des tests de résilience opérationnelle rigoureux, simulant notamment des scénarios de pénétration fondés sur de la menace sophistiquée. 

Ces exercices permettront d'évaluer leur capacité de réaction face à des cyberattaques majeures.

Enfin, les établissements seront contraints d'améliorer la supervision des plans de gestion des risques tic déployés, via la nomination de responsables dédiés et l'instauration d'audits fréquents. Au sein de ces risques tic, une attention particulière sera portée aux risques dits de concentration concernant d'importants prestataires tiers services tic.

A contrario, ce règlement n'impose pas de solution technique spécifique. In fine, il revient à chaque entreprise de définir les meilleures pratiques à mettre en œuvre pour se conformer aux nouvelles exigences.

10 enjeux clés pour réussir votre mise en conformité

Les 10 enjeux clés présentés ci-dessous sont issus des principaux messages  et témoignages de la conférence « Règlement DORA : Décryptage, enjeux et partage d'expériences » organisée le 24 novembre 2022 par PwC France et Maghreb. 

Ces enjeux sont autant de pistes pour vous aider à vous préparer aux exigences du règlement DORA. Ils constituent des repères qu’il conviendra bien évidemment d’adapter à chaque environnement afin de faire de DORA non pas une contrainte réglementaire supplémentaire mais une opportunité pour les institutions financières de se différencier sur le marché en renforçant leur résilience opérationnelle sur les risques informatiques, de cybersécurité, de continuité d’activité et sur les risques liés aux tiers.

Téléchargez le livre blanc

DORA : Les 10 enjeux clés pour une mise en conformité réussie

Suivez-nous !

Contactez-nous

Romain Camus

Romain Camus

Associé, Gestion des risques technologiques, secteur Banque, PwC France et Maghreb

Karine Pariente

Karine Pariente

Associée, Gestion des risques technologiques, secteur Assurance, PwC France et Maghreb

Jamal Basrire

Jamal Basrire

Associé, Responsable des activités Cyber Intelligence, PwC France et Maghreb

Masquer