La résilience opérationnelle dans le secteur financier, cette quête incessante et impérieuse des parties prenantes de cet univers complexe, trouve désormais son cadre dans le Digital Operational Resilience Act (DORA). Ce texte, adopté par l'Union européenne à la fin de l'année 2022, marque une avancée déterminante. Il s'impose comme une référence pour une multitude d'entités, telles que les établissements bancaires, les sociétés de cryptomonnaies, les gestionnaires d'actifs et les compagnies d'assurance.
DORA : Un défi ambitieux pour le secteur financier face aux cybermenaces
L'objectif premier de DORA est clair et ambitieux : renforcer la capacité des entreprises à anticiper et à gérer les crises, tout en optimisant leur résilience face aux cyberattaques. Dans un monde où les menaces numériques se multiplient et se complexifient, cette régulation offre une feuille de route précieuse pour naviguer les eaux tumultueuses de la cybersécurité.
Cependant, il convient de souligner que, malgré l'échéance désormais passée, de nombreux acteurs du secteur financier peinent encore à se conformer aux exigences de DORA.
En France, par exemple, peu d'acteurs sont prêts à répondre pleinement aux exigences de ce cadre réglementaire. Cette situation préoccupante révèle les défis considérables auxquels doivent faire face non seulement les grandes institutions financières, mais également, et surtout, les petites et moyennes entreprises (PME). Ces dernières, en raison des coûts élevés et de la complexité des mesures à mettre en Suvre, éprouvent de grandes difficultés à se conformer aux nouvelles normes.
Renforcer la résilience de notre secteur financier face aux défis du XXIe siècle
Exigences clés de DORA :
- Évaluation des risques : Détails sur les capacités nécessaires pour évaluer les risques en matière de cybersécurité et l'importance de tests de résilience réguliers.
- Plans d'urgence : Exposé des obligations concernant les plans d'urgence et la rapidité des notifications d'incidents.
- Gestion des tiers : Étude des exigences relatives aux prestataires de services informatiques tiers, y compris l'évaluation et l'inscription dans un registre destiné aux autorités de supervision.
Défis de mise en Suvre :
- Complexité bureaucratique : Analyse de la charge administrative et des coûts potentiels liés à la conformité avec DORA.
- Manque de clarté : Identification des difficultés rencontrées par les juristes et les professionnels du secteur pour comprendre les exigences de DORA, en raison d'un manque de formation en cybersécurité.
- Risque de sanctions : Analyse des pouvoirs des régulateurs nationaux à suspendre les agréments des institutions non conformes et des conséquences pour les acteurs du secteur.
Tableau des zones à risques
|
Zone à risque |
Description |
|
Cyberattaques |
Augmentation des cyberattaques ciblant les institutions financières. |
|
Non-conformité |
Risque de sanctions pour les institutions non conformes aux exigences de DORA. |
|
Gestion des tiers |
Dépendance accrue aux prestataires tiers, augmentant le risque de vulnérabilités. |
|
Complexité réglementaire |
Charge administrative et bureaucratique liée à la mise en conformité. |
|
Réputation |
Atteintes potentielles à la réputation en cas de violations de DORA. |
En définitive, DORA représente une opportunité pour le secteur financier de renforcer sa résilience face aux menaces cybernétiques. Cependant, la mise en Suvre de cette réglementation pose des défis significatifs, notamment pour les petites structures. Les institutions doivent s'engager pleinement dans cette transition pour garantir leur conformité et protéger leurs opérations contre les risques informatiques croissants.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
