La nouvelle réglementation DORA s’inscrit dans une dynamique européenne visant à renforcer la cybersécurité et la résilience opérationnelle des entreprises ayant une activité liée à la finance. L’Union Européenne voudrait que cette initiative soit perçue comme une opportunité davantage que comme une contrainte.
La résilience est un mot dans l’air du temps. Face aux difficultés que certains peuvent rencontrer, il est de bon ton d’être résilient, en d’autres termes de pouvoir absorber l’impact de la perturbation et se rétablir rapidement.
Quid des entreprises ? Ne serait-il pas important qu’elles puissent faire preuve de résilience en cas de dysfonctionnement temporaire de leur informatique ou même de cyberattaque ?
On en conviendra, cette capacité à la résilience apparaît plus cruciale encore lorsque l’informatique en question est celle d’une banque ou d’un fournisseur de cryptomonnaies. L’incapacité d’accéder à ses avoirs en euros comme en bitcoin ou en ethereum peut être une source d’inquiétude patente.
Face à ces défis, l’Union Européenne a mis en place DORA, (Digital Operational Resilience ou résilience opérationnelle numérique) un règlement qui vise précisément à garantir la continuité et la sécurité des activités financières.
Naissance de DORA
C’est à la fin du mois de septembre 2020 que la Commission Européenne a publié le projet Digital Operational Resilience soit une série de mesures visant à accroître l’efficacité numérique du secteur financier.
L’objectif était d’unifier les normes et exigences européennes en vue de créer un cadre harmonisé et complet relatif à la résilience opérationnelle numérique des entités financières. DORA entend favoriser une détection rapide des incidents informatiques majeurs, une capacité à rebondir rapidement et aussi une analyse des causes de perturbation, assorties d’une obligation de déclaration.
Des cyberattaques aux conséquences majeures
Ce cadre réglementaire a été rendu nécessaire par la montée des risques posés par la transformation numérique des services financiers, mais aussi par l’interconnexion croissante des réseaux. Il s’est trouvé que de nombreuses cyberattaques ont eu des conséquences énormes pour des établissements de renom.
- En 2014, JP Morgan Chase, l’une des plus grandes banques des USA a subi une intrusion aboutissant à la compromission de plus de 80 millions d’identités.
- Deux ans plus tard, le piratage du système de messagerie interbancaire SWIFT a permis le détournement de 81 millions de dollars de la banque centrale du Bangladesh.
- Durant la même année 2016, Tesco Bank, un établissement britannique a été victime d’une cyberattaque qui a impacté 9 000 comptes clients et permis aux pirates de dérober environ 2,5 millions de livres sterling.
- En 2017, 140 millions de dossiers de Equifax, l’une des principales agences de crédit américaines, ont été piratés, donnant accès aux numéros de sécurité sociale, dates de naissance et autres données personnelles.
- En 2019, une violation de sécurité du système de la banque américaine Capital One a entraîné l’accès aux données personnelles d’environ 100 millions de clients et demandeurs de cartes de crédit.
La plupart de ces entreprises ont eu à pâtir des retombées de telles cyberattaques sur leur image, la confiance de leur public a souvent été impactée négativement faute d’une reprise en main rapide.
On en conviendra, ce type d’incident ne pouvait que plaider en faveur de la mise en place de règles visant à garantir la sécurité et la continuité des opérations financières.
Le règlement DORA a été adopté par le Parlement Européen le 10 novembre 2022 puis par le Conseil de l’UE et publié dans la foulée au Journal Officiel.
Depuis le 17 janvier 2025, DORA est en application dans tous les États membres de l’UE.
Qui est concerné par DORA ?
DORA s’applique notamment aux activités suivantes :
- sociétés de crédit ;
- établissements de paiement ;
- sociétés d’investissement ;
- prestataires de services liés aux crypto-actifs ;
- entreprises d’assurance ;
- entreprises tierces fournissant des services informatiques sur des fonctions critiques ou importantes.
Il est à noter que le règlement introduit un principe de proportionnalité : certaines entités financières bénéficient d’un régime simplifié, et peuvent même se voir exemptées de DORA. Il se trouve que divers facteurs notamment la taille mais aussi les fonctions ou le profil commercial d’une société peuvent l’exposer à une échelle plus ou moins élevée de perturbations numériques.
Quelles conséquences pour les entités financières ?
La plupart des entités financières vont devoir procéder à des changements en vue de se conformer à la réglementation DORA. En premier lieu, elles doivent procéder à une évaluation de leur situation présente vis-à-vis des attentes de DORA. Il s’agit pour elles d’identifier les risques potentiels et aussi d’estimer les niveaux de perturbations acceptables notamment du point de vue des usagers. Une fois cette évaluation opérée, elles auront à mettre en œuvre une maturation adéquate.
L’entreprise doit établir des tests d’intrusion, des politiques de sauvegarde et restauration. Une fois qu’un incident s’est produit, elle doit être à même d’assurer le rétablissement de ses systèmes et de limiter l’impact global. Il lui faut ensuite réaliser un examen approfondi, déterminer les causes et mettre en place les remèdes adéquats. Il lui faudra, de plus, notifier l’autorité compétente de ces incidents tout en suivant des modèles de reporting normalisés.
Une opportunité davantage qu’une obligation
DORA va habituellement impliquer une augmentation des investissements et ressources informatiques. Pourtant, l’Union Européenne voudrait faire passer le message que cette nouvelle réglementation n’est pas juste une obligation. DORA participe de l’évolution des entreprises vers la numérisation et entend aider à la transition des marchés financiers européens à l’ère numérique, en vue de promouvoir un marché solide envers lequel les usagers puissent se sentir en confiance.
DORA part du principe que des incidents informatiques, même s’ils paraissent peu probables au premier abord, sont en mesure de se produire et qu’il faut être préparé à assurer la continuité des activités et services critiques. L’entreprise financière qui ajuste son fonctionnement va bénéficier d’une gestion optimisée du risque informatique.
Cette réglementation doit donc être considérée comme une opportunité de se différencier sur son marché. Même les entreprises de taille modeste peuvent gagner à se doter de politiques robustes et de procédures de test. En France, l’AMF a d’ailleurs appelé les acteurs du secteur financier à se préparer activement à une telle mutation.
