Qu’est-ce que DORA ?
Le Digital Operational Resilience Act (DORA), formellement Règlement (UE) 2022/2554, est un règlement européen qui établit un cadre complet pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier. Contrairement à une directive, DORA est directement applicable dans tous les États membres de l’UE sans transposition nationale.
DORA a été publié au Journal officiel de l’UE le 27 décembre 2022 et est entré en vigueur le 16 janvier 2023, avec une période de mise en œuvre de deux ans. Le règlement est devenu pleinement applicable le 17 janvier 2025, ce qui signifie que toutes les entités concernées doivent désormais démontrer leur conformité.
Le règlement reconnaît que la dépendance croissante du secteur financier envers la technologie crée un risque systémique. Une perturbation TIC majeure chez une institution financière ou un prestataire tiers critique peut se propager à l’ensemble du système financier. DORA vise à garantir que les entités financières peuvent résister, répondre et se remettre des perturbations liées aux TIC.
Quelles entités sont concernées ?
DORA s’applique à un large éventail d’entités financières, couvrant la quasi-totalité de l’écosystème des services financiers européens :
- Établissements de crédit (banques)
- Établissements de paiement et établissements de monnaie électronique
- Entreprises d’investissement et plates-formes de négociation
- Entreprises d’assurance et de réassurance
- Contreparties centrales et dépositaires centraux de titres
- Prestataires de services sur crypto-actifs (au titre de MiCA)
- Prestataires de services de financement participatif
- Prestataires de services d’information sur les comptes
- Sociétés de gestion et gestionnaires de fonds d’investissement alternatifs
- Agences de notation de crédit
DORA s’étend également aux prestataires tiers critiques de services TIC (CTPP). Les fournisseurs cloud, les sociétés d’analyse de données, les éditeurs de logiciels et les fournisseurs de services managés au service du secteur financier peuvent être désignés comme critiques et soumis à la surveillance directe des autorités de surveillance européennes (AES : ABE, AEMF et AEAPP).
Les cinq piliers de DORA
Pilier 1 : Gestion des risques TIC
Les entités financières doivent établir et maintenir un cadre complet de gestion des risques TIC intégré dans le système global de gestion des risques. Les exigences clés comprennent :
- Identification et classification de toutes les fonctions métier supportées par les TIC, des actifs et des dépendances
- Identification et évaluation continues des risques TIC
- Mise en œuvre de mesures de protection et de prévention
- Mécanismes de détection des activités anormales et des incidents TIC
- Plans de réponse et de reprise avec des rôles définis et des capacités de sauvegarde testées
- Processus d’apprentissage incluant les retours d’expérience post-incident
Pilier 2 : Notification des incidents liés aux TIC
DORA établit un cadre harmonisé de notification des incidents pour le secteur financier. Les entités doivent classifier les incidents selon des critères définis par les AES et notifier les incidents majeurs à l’autorité compétente via un modèle standardisé, comprenant une notification initiale, un rapport intermédiaire et un rapport final.
Pilier 3 : Tests de résilience opérationnelle numérique
Toutes les entités concernées doivent réaliser des tests réguliers de leurs systèmes et contrôles TIC : analyses de vulnérabilités, tests de scénarios, analyses de code source. Les entités identifiées comme significatives doivent en outre réaliser des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, conformément au cadre TIBER-EU.
Pilier 4 : Gestion des risques liés aux tiers TIC
Ce pilier traite du risque systémique lié à la concentration des services TIC. Les exigences incluent la tenue d’un registre complet des arrangements avec les tiers TIC, la réalisation de due diligence avant toute contractualisation, l’inclusion de clauses contractuelles obligatoires et le développement de stratégies de sortie testées.
Pilier 5 : Partage d’informations
DORA encourage les entités financières à participer à des dispositifs volontaires de partage de renseignements sur les cybermenaces, dans le respect des exigences de protection des données, afin d’améliorer la connaissance collective de la situation et d’accélérer la réponse aux menaces émergentes.
Étapes de mise en œuvre pour les FinTech
DORA étant désormais pleinement applicable, les entreprises FinTech qui n’ont pas encore atteint la conformité doivent prioriser les actions suivantes :
- Détermination du périmètre : Confirmer quelles dispositions de DORA s’appliquent en fonction de votre type d’entité, de votre taille et de la nature de vos services TIC
- Cadre de gestion des risques TIC : Établir ou renforcer votre cadre conformément aux articles 5 à 16, avec une gouvernance au niveau du conseil d’administration
- Registre des tiers : Constituer et maintenir le registre des arrangements avec les tiers TIC tel qu’exigé par l’article 28
- Classification et notification des incidents : Implémenter les processus de classification et de notification conformément aux RTS
- Programme de tests : Concevoir un programme de tests proportionné à votre profil de risque
- Revue contractuelle : Réviser les contrats existants pour inclure les clauses obligatoires spécifiées à l’article 30
- Formation : S’assurer que la direction et le personnel concerné comprennent les exigences DORA
Comment BALTUM accompagne votre conformité DORA
BALTUM propose des services spécialisés de conformité DORA pour les entreprises FinTech et les institutions financières. Nos services comprennent l’évaluation de l’écart par rapport aux cinq piliers, le développement du cadre de gestion des risques TIC, la constitution du registre des tiers, la planification de la réponse aux incidents et la préparation aux programmes de tests de résilience.
Contactez BALTUM pour planifier votre évaluation initiale et développer votre feuille de route de conformité DORA.