Le règlement européen DORA
un nouveau cadre pour la résilience opérationnelle du secteur financier
- 27 mars 2025
- Envoyé par : LaetitiaB
- Catégorie: Technologie
AI act, CRA, NIS 2…L’Union Européenne poursuit sa dynamique réglementaire dans le domaine numérique avec une série de nouvelles directives et règlements visant à renforcer la sécurité et la résilience du secteur financier et technologique.
Parmi ces initiatives, le Digital Operational Resilience Act (DORA) se distingue comme une pièce maîtresse de cette stratégie réglementaire.
Dans cet article, nous allons explorer en détail ce règlement, en mettant en lumière ses objectifs, ses exigences et son impact sur les institutions financières.
1.Qu’est-ce que le règlement DORA ?
Le Règlement DORA (Digital Operational Resilience Act) est une initiative de l’Union Européenne visant à renforcer la résilience opérationnelle des institutions financières en matière de technologies de l’information et de la communication (TIC).
Ce règlement s’applique aux: banques, assurances, infrastructures de marché financier et fournisseurs de services TIC critiques.
L’objectif principal de DORA est de garantir que ces entités puissent continuer à fonctionner de manière fiable et sécurisée, même en cas de perturbations ou de cyberattaques.
Ce règlement, qui est entrée en vigueur le 17 janvier dernier, impose des règles dans plusieurs domaines clés :
• Gestion des risques TIC : Les institutions doivent mettre en place des stratégies et des politiques pour identifier, évaluer et gérer les risques liés aux TIC. Cela inclut la mise en œuvre de contrôles de sécurité, la surveillance continue des systèmes et la mise à jour régulière des infrastructures.
• Signalement des incidents majeurs liés aux TIC : Les entités doivent signaler rapidement et de manière transparente les incidents majeurs liés aux TIC aux autorités compétentes. Cela permet une réponse coordonnée et efficace aux incidents, minimisant ainsi leur impact.
• Gestion des risques liés aux prestataires tiers de services TIC : Les institutions doivent évaluer et gérer les risques associés aux prestataires tiers de services TIC. Cela inclut la mise en place de contrats clairs, la surveillance des performances des prestataires et la mise en œuvre de plans de continuité en cas de défaillance d’un prestataire.
• Tests de résilience opérationnelle numérique : Les entités doivent effectuer des tests réguliers pour évaluer leur capacité à résister aux perturbations et aux cyberattaques. Ces tests doivent couvrir divers scénarios, y compris les cyberattaques, les pannes de système et les interruptions de service, afin de garantir une réponse efficace et une reprise rapide des opérations.
2. L’importance des tests dans le règlement DORA
L’un des aspects les plus cruciaux du Règlement DORA est l’accent mis sur les tests de résilience opérationnelle.
Les institutions financières doivent désormais mettre en place des programmes de tests rigoureux pour évaluer leur capacité à résister aux incidents TIC.
Ces tests doivent couvrir divers scénarios, y compris les cyberattaques, les pannes de système et les interruptions de service.
3.Les types de tests requis
1. Tests de cyberattaques : Les institutions doivent simuler des cyberattaques pour évaluer leur capacité à détecter, répondre et récupérer après une attaque. Cela inclut des tests de pénétration, des simulations de phishing et des exercices de réponse aux incidents.
2.Tests de continuité des activités : Ces tests visent à s’assurer que les institutions peuvent continuer à fonctionner en cas de perturbations majeures. Cela inclut des tests de reprise après sinistre (DR) et des exercices de basculement vers des sites de secours.
3. Tests de performance : Les institutions doivent également tester la performance de leurs systèmes sous des conditions de charge élevée pour s’assurer qu’ils peuvent gérer des volumes de transactions importants sans interruption. de service.
4.Nos solutions pour sécuriser vos systèmes et vous conformer à Dora
En tant qu’entreprise de prestations informatiques, nous jouons un rôle crucial dans l’aide à nos clients pour se conformer au Règlement DORA.
Nous nous engageons à fournir des solutions adaptées pour garantir la résilience opérationnelle de vos systèmes et notamment via :
a) Le développement de solutions de test
Nous développons des solutions de test robustes qui permettent à nos clients de simuler divers scénarios de perturbation et de cyberattaque. Ces solutions sont conçues pour identifier les vulnérabilités et renforcer les défenses de vos infrastructures.
Nouveauté : Nous avons mis en place des outils permettant de réaliser des tests automatisés, facilitant ainsi les tests de non-régression de manière rapide et efficace. Ces outils incluent des tests de pénétration, des simulations de phishing, et des exercices de réponse aux incidents, garantissant une couverture complète des risques potentiels.
b) La mise en place de stratégies de test sur mesure
Nous collaborons étroitement avec nos clients pour élaborer des stratégies de test adaptées à leurs besoins spécifiques et aux nouvelles évolutions technologiques.
Cette approche proactive permet d’anticiper les risques et de s’assurer que les nouvelles fonctionnalités ou mises à jour sont intégrées en toute sécurité.
Nous proposons des plans de test sur mesure, incluant des audits réguliers et des simulations de scénarios d’attaque, pour garantir une conformité continue avec le Règlement DORA.
c) Un support continu et une veille réglementaire
Nous effectuons une veille réglementaire pour anticiper les changements et adapter nos solutions en conséquence, garantissant ainsi une conformité durable et une résilience opérationnelle optimale.