La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA), est entrée en vigueur le 17 janvier 2025. Au-delà d’une réglementation supplémentaire, il s’agit, pour les institutions financières de l’Union européenne, d’un véritable tournant qui va passer au crible leur résilience opérationnelle, remettre en question leur préparation à la cybersécurité et consolider leur rôle dans un écosystème financier en pleine digitalisation.
Que vous soyez fins prêts depuis des mois ou encore en train d’écrire les dernières lignes de votre stratégie, place à la phase pratique. Plus que répondre aux exigences légales ou cocher des cases, être conforme à la réglementation DORA, c’est assurer l’avenir de votre organisation dans un secteur de plus en plus soumis aux attaques.
Il s’agit donc de construire des défenses plus solides, d’améliorer votre résilience opérationnelle et protéger votre organisation dans un paysage où les cybermenaces sont de plus en plus courantes et sophistiquées.
Plongez dans le vif du sujet et découvrez, dans cet article :
- les étapes critiques sur lesquelles vous devez vous concentrer dès maintenant,
- comment maintenir la conformité à long terme
- comment des outils comme Jira Service Management (JSM) peuvent aider à simplifier les processus.
Pourquoi DORA est plus important que jamais
La réglementation DORA comble une lacune importante dans la réglementation financière actuelle en insistant sur les risques liés aux technologies de l’information et de la communication (TIC) ainsi que sur la résilience opérationnelle. Contrairement aux approches précédentes, qui se contentent d’obliger les organisations à puiser dans leurs réserves financières pour couvrir les pertes potentielles, DORA impose un cadre réglementaire où les organisations devront montrer de façon proactive qu’elles peuvent résister, répondre et se rétablir face aux perturbations opérationnelles liées aux TIC. Ce changement reconnaît ainsi que la résilience opérationnelle est essentielle pour la stabilité du secteur financier dans son ensemble comme pour les consommateurs.
Augmentation des attaques sophistiquées par ransomware, violations de données ou encore vulnérabilités de la chaîne d’approvisionnement : les incidents liés aux TIC sont une réalité et soulignent l’importance du cadre global de DORA. En garantissant l’uniformité de la gestion des risques liés aux TIC, qu’il s’agisse de la déclaration des incidents, des tests de résilience et de la surveillance par des tiers, DORA vise à créer un écosystème financier solide et sûr.
5 étapes clés pour assurer la conformité
Alors que la loi est déjà entrée en vigueur, voici les domaines critiques à prioriser pour s’assurer que votre organisation répond aux exigences de DORA :
1. Mettre en place un solide cadre de gestion des risques liés aux TIC
Votre organisation doit adopter un cadre de gestion des risques liés aux TIC qui s’aligne sur les exigences strictes de DORA :
- Évaluation des risques : mettre en place les évaluations permettant d’identifier toutes les vulnérabilités de vos systèmes TIC.
- Gestion des incidents : définir les protocoles clairs pour identifier, signaler et atténuer les incidents liés aux TIC.
- Mesures de résilience : s’assurer que vos systèmes peuvent résister aux perturbations et se rétablir rapidement.
DORA implique les dirigeants personnellement : ils doivent superviser et approuver personnellement les stratégies de gestion des risques liés aux TIC, en veillant à ce qu’elles soient conformes aux objectifs de l’organisation comme aux normes réglementaires.
2. Rationaliser les rapports d’incidents
DORA impose un rapport standardisé pour les incidents importants liés aux TIC. Les organisations doivent ainsi :
- Informer les autorités compétentes dans des délais très courts.
- Fournir des rapports détaillés sur la nature, l’impact et la résolution des incidents,
- Signaler volontairement les cybermenaces émergentes afin de favoriser l’échange de renseignements à l’échelle du secteur.
Automatiser les processus de notification des incidents, c’est fluidifier la mise en conformité et réduire la charge administrative.
3. Effectuer des tests de résilience opérationnelle numérique
Des tests réguliers doivent être réalisés pour valider l’efficacité de votre cadre de gestion des risques liés aux TIC :
- Tests de pénétration, pour identifier et traiter les vulnérabilités potentielles,
- Tests basés sur des scénarios, pour évaluer votre préparation face à divers vecteurs de menaces.
Faites appel à des spécialistes externes et veillez à intégrer leurs résultats dans vos mises à jour de gestion des risques.
4. Renforcer la gestion des risques liés aux prestataires IT
Partie intégrante des opérations financières, les fournisseurs de services TIC tiers sont également source de risques importants. Le cadre de surveillance de DORA exige :
- un examen approfondi et une évaluation des risques des fournisseurs tiers
- des accords contractuels détaillés décrivant les attentes en matière de services TIC et les conditions de sous-traitance.
- un contrôle permanent de la conformité et des performances de ces fournisseurs
Il est essentiel de collaborer avec les fournisseurs tiers reconnus et d’aligner leurs opérations sur votre stratégie de conformité.
5. Favoriser le partage d’informations
DORA encourage les entités financières à partager leurs informations sur les menaces et les vulnérabilités au sein du secteur. Cette approche collaborative renforce la résilience collective et accélère la détection des menaces émergentes et la réponse à y apporter.
Transformez votre mise en conformité avec la solution GRC de Valiantys
La solution de gouvernance, de gestion des risques et de la conformité (GRC) de Valiantys aide les organisations à gérer les complexités de la conformité DORA tout en améliorant leur résilience opérationnelle. En intégrant la reprise après sinistre, la gestion des actifs informatiques et le suivi de la conformité dans un cadre unique et unifié, la solution permet aux institutions financières de :
- Rationaliser les efforts de mise en conformité : Automatisation des processus de suivi réglementaire et de reporting, en réduisant les efforts manuels et en garantissant la préparation à l’audit.
- Améliorer la résilience : Reprise après sinistre avec HYCU et suivi en temps réel des actifs informatiques avec Lansweeper afin de protéger les opérations contre les perturbations.
- Atténuer les risques : Identification et traitement de manière proactive des vulnérabilités des systèmes TIC, grâce à l’analyse prédictive et aux workflows automatisés.
- Simplifier la gestion : Centralisation de toutes les activités de conformité et de gestion des risques au sein d’une interface intuitive intégrée à Jira Service Management et Confluence.
Cette approche intégrée garantit non seulement l’alignement avec les exigences DORA, mais favorise également des gains d’efficacité significatifs, permettant ainsi aux organisations de se recentrer sur leurs objectifs clés.
Bien plus que la conformité : façonner un avenir résilient
Au-delà de se conformer à la loi DORA, les organisations qui savent anticiper verront dans cette réglementation une opportunité d’améliorer non seulement leur résilience opérationnelle mais surtout leur avantage concurrentiel. Un cadre solide de gestion des risques liés aux TIC permet non seulement de se prémunir contre les perturbations potentielles, mais aussi d’instaurer un climat de confiance avec les clients, les autorités et toutes les parties prenantes.
Tirez parti de la technologie : Appuyez-vous sur la solution GRC de Valiantys — une plateforme tout-en-un s’appuyant sur HYCU, Lansweeper et Appfire — pour optimiser votre gestion de la conformité. Cette solution centralise la gestion des incidents, automatise le suivi de la conformité et permet de conserver une documentation prête à être auditée, permettant ainsi une approche rationalisée qui répond efficacement aux exigences de la loi DORA.
Mettez régulièrement à jour les cadres en alignant les stratégies de gestion des risques liés aux TIC sur l’évolution des normes réglementaires et des menaces émergentes.
Formez les collaborateurs et créez une culture de sensibilisation à la cybersécurité et de résilience opérationnelle grâce à des programmes de formation réguliers.
En synthèse
Avec l’entrée en vigueur de la réglementation DORA, les institutions financières ont une occasion unique non seulement de répondre aux exigences réglementaires, mais aussi de transformer leurs opérations et de construire des fondations plus solides pour demain. Dans ce contexte, c’est le moment de :
– Évaluer votre niveau de préparation : examinez minutieusement vos cadres de gestion des risques et de conformité en matière de TIC.
– Tirer parti de solutions éprouvées : intégrez des outils tels que la solution GRC de Valiantys pour rationaliser la conformité et améliorer votre résilience.
– Promouvoir une culture de la résilience : valorisez le leadership et formez les collaborateurs à intégrer la résilience opérationnelle dans votre organisation.
