Le règlement DORA decrypté : ce que les PME doivent savoir
Après 2008, de nombreuses réformes ont renforcé la solidité du secteur financier. Seulement, aujourd’hui, les risques liés à l’utilisation des technologies numériques ne cessent de se développer à tel point que dans son dernier rapport, le FMI estime que les incidents cyber représentent une menace pour la stabilité du secteur financier. En 2023 par exemple, la banque centrale du Lesotho a subi une attaque informatique empêchant les banques du pays d’effectuer la moindre opération pendant plusieurs heures.
Néanmoins, dès 2022, l’Union Européenne s’est emparée du sujet avec le règlement DORA (Digital Operational Resilience Act).
Aussi appelé règlement sur la résilience opérationnelle numérique du secteur financier, ce règlement contraint les Etats membres à adopter des mesures pour mitiger les risques liés à l’utilisation des technologies de l’information et de la communication (TIC) dans le secteur financier.
Dans cet article, nous présenterons le règlement DORA puis nous vous expliquerons comment votre PME pourrait être impactée par ce règlement et comment celle-ci peut l’anticiper.
Règlement DORA : Présentation
Objectifs et Points clés du règlement
Objectif
Le règlement DORA vise à établir des règles uniformes au sein des pays de l’Union européenne en matière de sécurité des réseaux et des systèmes d’information des entités financières.
Aussi, de nombreuses entreprises telles que des banques, des compagnies d’assurances ou encore des entreprises d’investissement devront se soumettre à de nouvelles règlementations à l’avenir.
Points Clés
Le règlement DORA cherche à instaurer une gouvernance commune, durable et prudente qui permettrait au secteur financier de se prémunir des risques cyber liés à l’utilisation des TIC.
Parmi ces risques, nous trouvons par exemple :
- le vol de données sensibles,
- l’escroquerie financière,
- l’attaque au rançongiciel.
etc.
Entre autres, toute entreprise concernée devra :
- mettre en place des mesures de notification, gestion et classification des incidents liés aux TIC
- réaliser régulièrement des tests de résilience de leurs infrastructures numériques
- s’assurer de la conformité de leurs prestataires vis-à-vis du règlement DORA
- partager des informations et des renseignements cruciaux sur les menaces cyber du secteur financier
Et bien plus encore !
Quand est-ce que le règlement DORA sera effectif ?
Voté au Parlement européen en 2022, le règlement sera effectif à partir du 17 janvier 2025.
Passé cette date, l’ensemble des pays de l’Union devront avoir appliqué des règles pour sécuriser les risques numériques du secteur financier.
Qui est concerné par le règlement DORA ?
Depuis le début d’année, l’Autorité des Marchés Financiers appelle les acteurs concernés à se préparer au règlement DORA (plus d’informations)
En effet, de nombreux acteurs sont concernés par l’entrée en vigueur de ce règlement. Bien que les banques, les assurances et les entreprises d’investissement soient les premières concernées, on retrouve également d’autres acteurs divers : prestataires de services d’informations, de communication ou de services en lien avec le numérique.
Finalement, bien plus de personnes qu’imaginé sont concernées et peut-être même que votre PME est directement concernée par la règlementation DORA.
Focus sur les PME
La transposition du règlement pour les PME : Comment les PME peuvent s’y préparer au mieux et se démarquer ?
Dès janvier 2025, le règlement exigera des PME qu’elles aient établies des règles claires pour renforcer leur résilience opérationnelle et limiter les risques liés à l’utilisation de technologies numériques.
Pour se préparer à l’application du règlement DORA, les PME concernées peuvent d’ors et déjà réaliser une évaluation initiale de la sécurité de leurs systèmes d’informations. Celle-ci devrait permettre aux PME concernées de se doter d’une stratégie pour mitiger les risques liés à l’utilisation des TIC et garantir leur résilience opérationnelle.
Dans un second temps, il est judicieux de sensibiliser ses collaborateurs au règlement DORA et de s’assurer de la mise en conformité de vos fournisseurs vis-à-vis du règlement.
Conclusion - Bastion & DORA
Vous l’aurez compris, d’ici à janvier 2025, si vous êtes concerné par le règlement DORA, votre entreprise devra respecter un certain nombre de normes et de règlementations.
Pour s’y préparer au mieux dès à présent, Bastion vous accompagne dans la réalisation d’un audit cyber initial qui vous permettra de faire un état des lieux de votre maturité cyber et de votre mise en conformité vis-à-vis du règlement DORA. Nous vous assisterons ensuite dans l’exécution d’un plan d’action pour remédier aux vulnérabilités détectées lors de cet audit, pour que vous soyez en règle à l’égard du règlement DORA.
Je souhaite être accompagné par Bastion Technologies pour être conforme.