Le nouveau règlement européen DORA, pour Digital Operational Resilience Act, entrera en application le 17 janvier 2025. A travers lui, un enjeu majeur : soutenir la résilience opérationnelle des acteurs financiers dans le cyber en harmonisant, à l’échelle de l’Union européenne, les exigences en la matière. Pour le département Consulting d’EBRC, les acteurs concernés devront faire face à des capacités nouvelles pour assurer la continuité de leurs services.

DORA, la nouvelle norme de résilience opérationnelle numérique en Europe

Le nouveau règlement sur la résilience opérationnelle numérique (DORA) du secteur financier a été adopté par le législateur européen à la fin de l’année 2022. Il entrera en application en janvier 2025, obligeant les acteurs financiers européens à prendre un ensemble de mesures visant à garantir la continuité de leurs services et plus largement leur résilience dans le digital. « En la matière, les régulateurs nationaux, comme le CSSF ou le CAA au Luxembourg, et les organes de supervision internationaux, comme l’EBA ou l’EIOPA, avaient déjà établi une série d’exigences et de bonnes pratiques à suivre, explique Aline Moyret, Head of Consulting Services  chez EBRC. DORA amplifie ces règles de bonne conduite dans le numérique. Un règlement européen, à l’instar de DORA ou du RGPD, s’applique uniformément à travers l’Union, sans passer par une transposition en législation nationale. De facto, ce nouveau texte va donc contribuer à harmoniser les règles relatives à la gouvernance et à la gestion des risques inhérents à l’utilisation de ressources numériques pour supporter des activités financières. » 

    Découvrez nos services de mise en conformité RGPD

Mieux appréhender les risques pour bien y répondre grâce au règlement DORA

Surveillance des prestataires de services dans le domaine des TIC

Alors que la dépendance des métiers à la technologie ne fait que croître, le législateur européen a souhaité mieux sensibiliser et imposer un cadre de travail aux acteurs du secteur financier au sens large. « Ici, précise Christophe Ruppert, Cyber-Resilience Advisor au sein d’EBRC, le règlement DORA vise à s’assurer que chacun soit en mesure de faire face à tout éventuel incident et être prêt à le surmonter en limitant l’impact business».  Les risques, en effet, sont de diverses natures. Si l’on pense souvent à la sécurité informatique, visant à préserver les actifs numériques de l’organisation vis-à-vis de personnes mal intentionnées, d’autres considérations doivent pouvoir être appréhendées notamment celles liées aux tiers fournisseurs TIC critiques (CTPP). « Les opérations dépendent de plus en plus souvent de ressources informatiques gérées par des partenaires externes, des sous-traitants. Il y a lieu de se demander quelles pourraient être les conséquences, dans une perspective d’assemblage de la chaîne de valeur, par un prestataire qui ferait défaut, commente Christophe Ruppert. A travers DORA, qui introduit formellement le concept de résilience, le régulateur veut obliger l’ensemble des acteurs à mieux appréhender ces risques et à mettre en œuvre les moyens adéquats pour y répondre mais également de les tester en conditions réelles. »

Le règlement DORA accélère la migration des activités vers le Cloud 

Ainsi, tombe aussi et largement dans le chef de DORA, la résilience des processus et charges de travail (workloads) déplacés dans le Cloud, en particulier dans le cloud public, ses services IaaS, PaaS et SaaS. DORA va donc beaucoup plus loin que la prévision d’un retour en arrière dans les stratégies d’adoption ou d’amplification vers le cloud. La directive enjoint une culture agnostique ou de portabilité du ou des clouds ou de tout autre service outsourcé. Un vrai défi… 

Pour en savoir plus