Entrée en application depuis le 17 janvier 2025 dans l’Union Européenne, la réglementation DORA (Digital Operational Resilience Act) remet une couche de cybersécurité dans la Finance. Pour protéger leurs actifs et les intérêts économiques des nations européennes, ce dispositif vise à renforcer la résilience opérationnelle numérique des entités financières. En d’autres termes, en cas de crise ou de cyberattaque, elles deviennent plus que jamais garantes de la continuité de leur activité. En complément de la directive NIS 2, DORA vise ainsi à renforcer la gestion des risques de la Finance, relative aux technologies d’informations et de communications (TIC), dans un secteur particulièrement ciblé par les cybermenaces.
Un niveau de risque cyber élevé dans la Finance
Les cyberattaques ciblent massivement les infrastructures du secteur financier. Le risque cyber représente d’ailleurs aujourd’hui un risque majeur pour la stabilité financière. Dans son rapport sur l’Évaluation des risques du système financier paru en juin 2023, la Banque de France observe que « le système financier reste exposé à un niveau très élevé de risque de cyberattaques ». De son côté, le FMI souligne dans son dernier rapport d’avril 2024, les menaces qui pèsent sur les infrastructures essentielles, comme l’énergie et les institutions publiques, et dont les répercussions pourraient également atteindre le secteur financier. Dans certains cas, les capacités de financement de l’État ou son niveau de solvabilité sont en jeu.
Le contexte géopolitique accentue la cyberguerre et les risques pour le secteur financier. Preuve en est avec les attaques DDoS menées par des entités russes contre des institutions européennes, dans le cadre du conflit en Ukraine. L’intelligence artificielle ouvre également la voie à des attaques très élaborées et donc plus difficiles à contrer. Exemple marquant en février 2024, avec cette arnaque au président par deep fake sans précédent, qui a coûté 26 millions de dollars à une entreprise hong-kongaise du secteur de la finance.
Quelles sont les vulnérabilités cyber du secteur Financier ?
L’interconnexion des institutions
La structure même du secteur financier est caractérisée par la concentration et l’interconnexion des institutions autour de services clés (paiements, règlements, dépôts centraux). Si l’un de ces services est touché par une cyberattaque, les conséquences peuvent rapidement s’enchaîner et entraîner de lourds impacts sur la globalité du système.
La transformation numérique ultra rapide des entreprises du secteur de la finance explique également cette exposition massive au risque cyber. En effet, si la digitalisation des services bancaires a commencé très tôt, la sécurisation des systèmes d’informations ne s’est pas faite aussi rapidement. De plus, les collaborateurs des organisations bancaires utilisent plus largement des appareils mobiles et sont plus exposés aux risques de cyberattaques.
Lire également : Comment sensibiliser les salariés à la cybersécurité ?
La dépendance aux Technologies de l’Information et de la Communication (TIC)
La dépendance vis-à-vis d’un nombre limité de fournisseurs IT critiques ajoute également à la vulnérabilité du système financier. En cas de dysfonctionnement ou de crise d’un prestataire TIC, de nombreuses organisations financières peuvent rencontrer des difficultés pour assurer leur continuité d’activité.
Lire également : Finance : pourquoi la visioconférence sécurisée est-elle l’alliée de votre gestion de crise ?
En somme, ces interconnexions et ces dépendances augmentent massivement la possibilité de contagion d’un problème d’une institution à une autre.
Bien comprendre la réglementation DORA et ses enjeux
Quelles organisations sont concernées ?
DORA concerne plus de 22 000 organisations européennes évoluant dans le secteur financier, comme :
- Les établissements de crédit,
- Les entreprises d’investissements, de paiement ou de monnaie électronique,
- Les sociétés de gestion,
- Les entreprises d’assurance et de réassurance,
- Les intermédiaires d’assurance et de réassurance.
Par ailleurs, les prestataires tiers de services TIC considérés comme critiques doivent également se soumettre au nouveau règlement européen. Toujours selon l’AMF, en 2025, un nouveau cadre de supervision européen, sous l’égide de la Commission Européenne s’appliquera à ces prestataires, désignés par les trois autorités européennes de supervision (ESMA, EBA et EIOPA). C’est pourquoi, s’appuyer sur des tiers de confiance est plus que jamais indispensable pour le secteur financier.
Les 5 points clés de la réglementation
DORA a pour objectif principal de renforcer la résilience opérationnelle numérique des entreprises sensibles et critiques évoluant dans le secteur de la Finance. Cette exigence passe par une meilleure gestion des risques liés aux TIC mais aussi la mise en place de stratégies de cyber-résilience. Voici ci-dessous les obligations principales du règlement.
1. Gérer les risques liés aux TIC
À l’image de « l’approche tous risques » de la directive NIS 2, le règlement DORA souhaite améliorer l’identification des risques dans le secteur de la finance, principalement liés aux TIC. Les établissements financiers doivent prendre en considération les risques cyber inhérents à leurs opérations. Le règlement les oblige donc à les identifier et à quantifier leur niveau d’impact sur l’organisation, d’un point de vue interne et externe. De cette façon, les organisations auront une meilleure visibilité des mesures à mettre en place et se montreront plus agiles.
Comme vu plus haut, les banques et institutions financières sont aujourd’hui dépendantes des technologies de l’information et de communication. Si elles ne sont pas suffisamment sécurisées, ces technologies exposent les données sensibles qu’elles font transiter.
Ainsi, dans le cadre de la réglementation DORA, le secteur financier devra se montrer résilient face aux perturbations opérationnelles liées à ces technologies. Les organisations seront en charge d’identifier et de classifier les risques liés aux TIC, d’élaborer des processus de gestion des incidents et de mettre en place les mesures techniques adéquates, afin d’assurer la continuité d’activité.
La gestion des risques TIC permet également de rassurer l’écosystème de l’entreprise. C’est le cas des clients, dont les actifs et les données personnelles doivent être totalement protégés.
2. Gérer les risques liés aux prestataires tiers de services TIC
Le règlement DORA introduit également un cadre de gestion et de supervision spécifique pour les prestataires tiers critiques. Les critères de désignation de ces derniers sont définis par la Commission européenne. Ainsi, les contrats doivent comporter des clauses spécifiques pour garantir la sécurité et la continuité des services. Cela passe aussi par la définition d’une politique d’utilisation des services TIC, concernant les fonctions critiques ou importantes, ou encore par la tenue à jour d’un registre d’informations portant sur tous les contrats conclus avec les tiers prestataires de services TIC.
Par ailleurs, des autorités de supervision, en coordination avec la Commission Européenne, réaliseront des contrôles sur la conformité des TIC aux mesures de gestion des risques.
3. Systématiser la notification des incidents
Pour limiter les conséquences en cas de crise, la notification des cybermenaces et des incidents liés aux TIC est un enjeu majeur dans la réglementation DORA. Le signalement des incidents offre à la fois la possibilité aux autorités de surveillance d’intervenir rapidement et un meilleur suivi de l’évolution des menaces pour les organisations concernées.
Des processus de gestion des incidents TIC doivent être mis en oeuvre pour les identifier, les gérer et notifier les autorités compétentes dans les délais définis par les autorités européennes de surveillance (AES).
4. Tester régulièrement les mesures mises en place
Avec DORA, mettre en place de nouvelles stratégies cyber ne suffit pas. Les organisations devront déployer des tests de résilience opérationnelle numérique réguliers, afin de s’assurer de la performance de leurs processus.
Parmi eux :
- Threat-Led Penetration Testing (TLPT)
Tous les 3 ans, les entités les plus critiques devront réaliser des tests qui simulent des cyberattaques réalistes et sophistiquées, basées sur des scénarios de menaces réelles. L’objectif principal n’est pas de réussir ou d’échouer au test, mais plutôt de mettre en évidence les forces et les faiblesses de l’entité testée, permettant ainsi d’améliorer son niveau de maturité en matière de cybersécurité, selon le site de la Banque Centrale Européenne.
- Test des stratégies de sortie (Exit Strategy Testing)
Ces tests permettent de s’assurer qu’une organisation peut se désengager efficacement de ses prestataires TIC, en cas de défaillance ou de rupture de contrat par exemple, sans compromettre sa résilience opérationnelle. Selon l’Autorité des marchés financiers (AMF), ces stratégies visent à garantir la continuité des opérations et doivent inclure des plans détaillés pour transférer les services vers un autre fournisseur ou les internaliser, ainsi que des tests réguliers pour s’assurer de leur efficacité.
5. Partage d’informations sur la cybersécurité
DORA vise également à harmoniser les niveaux de cybersécurité et de cyber-résilience de tout un secteur. C’est pourquoi,, pour aider à renforcer leur expertise cyber, les entités financières sont invitées à partager des informations et des renseignements sur les cybermenaces qu’elles rencontrent.
Les sanctions en cas de non-conformité
Différents types de sanctions sont prévus par DORA en cas de non-respect de ses exigences. Ces sanctions incluent notamment :
- Un arrêt temporaire ou définitif de pratiques contraires au règlement,
- Des amendes financières pour assurer le respect des obligations,
- ou encore des sanctions appliquées aux membres de l’organe de direction et aux autres personnes responsables de violations.
Enfin, des autorités de supervision réaliseront des contrôles sur la conformité des Technologies de l’Information et de la Communication (TIC) aux mesures de gestion des risques. Des sanctions pourront donc être prononcées en cas de non-respect, allant jusqu’à 1% du chiffre d’affaires annuel. Ces astreintes journalières sont applicables jusqu’à ce que la conformité soit atteinte, pour une durée maximale de six mois.
Choisir des prestataires TIC certifiés par l’ANSSI
L’Agence Nationale de la sécurité des systèmes d’informations (ANSSI) recommandent des produits et prestataires de services hautement sécurisés, grâce à son visa de sécurité. Elle vise à accompagner les organisations évoluant dans des secteurs sensibles, comme la finance, afin d’évaluer la fiabilité de technologies de communication.
En cas d’incident de cybersécurité, les équipes nécessitent de continuer à échanger dans un cadre hautement sécurisé. Cela permettra de garantir la continuité d’activité et d’assurer la résilience opérationnelle.
Tixeo, certifié par l’ANSSI depuis 2017, guide les organisations financières dans la protection de leurs communications critiques. Grâce à sa solution chiffrée de bout en bout souveraine, pouvant être déployée sur des réseaux fermés ou air gap, Tixeo garantit la parfaite confidentialité et la continuité des échanges en cas de crise.
Découvrir Tixeo pour le secteur de la Finance
 | Visa de sécurité ANSSI : un gage de fiabilité Depuis plus de 5 ans, Tixeo est la seule solution française de visioconférence sécurisée à être certifiée par l’ANSSI, grâce à son approche Secure By Design et sa technologie de chiffrement de bout en bout. |
DORA, un complément de NIS 2 pour la résilience
En raison des nombreux risques, l’Union Européenne a classifié le secteur bancaire comme hautement critique dans le cadre de la directive NIS 2, entrée en vigueur le 17 octobre 2024. Ainsi, les organisations concernées doivent renforcer leur cybersécurité et former leurs décideurs et employés. En complément, la réglementation DORA oblige les institutions financières à redoubler d’efforts pour mieux gérer leurs risques cyber. Elle constitue en cela une opportunité unique mais aussi un large défi pour gagner en cyber-résilience, dans un contexte géopolitique particulièrement tendu.
Cette réglementation, adoptée par le Parlement européen, impose aux institutions financières un renforcement de leur cybersécurité et la formation de leurs décideurs et employés.
Les prochaines étapes pour la mise en conformité
Adopté par le Parlement et le Conseil européen en décembre 2022, la réglementation DORA est entrée en vigueur dans l’Union Européenne le 16 janvier 2023 et doit être appliquée depuis le 17 janvier 2025. Pour autant, à sa date d’application, peu d’organisations se montraient en parfaite conformité à ce nouveau cadre réglementaire. Mais les efforts doivent continuer à être menés pour toucher à ce but, sous peine de sanctions importantes.
Pour compléter leur checklist :
- les organisations ont pour mission de finaliser leur travail de cartographie des risques.
- Puis, elles devront prioriser les différents projets à lancer, notamment pour la gestion des risques informatiques et TIC,
- avant de mener les chantiers opérationnels de sécurisation des process et des contrats,
- mettre en place les mécanismes de notification et suivi des incidents,
- et tester les nouvelles stratégies de cybersécurité et de résilience.
Il est essentiel que les organisations du secteur financier s’appuie sur des prestataires TIC de confiance, souverains et certifiés par des organismes officiels afin de renforcer leur confiance. Tout comme pour NIS 2, la protection des communications sensibles représente aujourd’hui un aspect crucial pour la cybersécurité et la cyber-résilience des entreprises, en proie à des risques importants d’ingérence étrangère, de sabotage et d’espionnage.
En savoir plus sur la sécurité des communications de la Finance
FAQ sur la réglementation DORA
Le Digital Operational Resilience Act (DORA) est un règlement européen visant à renforcer la résilience opérationnelle numérique des entités financières. Son objectif est de renforcer la gestion des risques liés aux TIC et la cyber-résilience des organisations afin d’assurer la continuité des services financiers en cas de cybermenace ou de perturbation opérationnelle grave. Le texte du règlement DORA est disponible sur le site de l’ACPR (l’Autorité de contrôle prudentiel et de résolution).
DORA représente un enjeu crucial pour le secteur financier, qui fait face à une augmentation des cyberattaques et une dépendance croissante aux prestataires de services TIC. Ce cadre réglementaire, mis en place sous l’impulsion de la Commission Européenne, vise à harmoniser les règles de résilience opérationnelle numérique au sein de l’Union Européenne.
Trois ambitions fortes : renforcer la cybersécurité et la gestion des risques informatiques, protéger la stabilité financière contre les risques TIC, préparer les institutions financières aux perturbations et garantir la continuité des services.
Pour assurer leur conformité à DORA, les entreprises doivent notamment cartographier leurs risques TIC et évaluer leurs dépendances aux prestataires de services TIC, mettre en place un cadre de gestion des risques informatiques intégrant des protocoles robustes, tester régulièrement leurs stratégies de résilience opérationnelle, établir un processus de signalement des incidents afin de réagir efficacement en cas de cyberattaques ou de crises. Elles devront également superviser leurs prestataires TIC critiques, en contractualisant selon les normes du cadre réglementaire DORA.
La publication officielle du texte a eu lieu en décembre 2022. La réglementation DORA a ensuite été adoptée en janvier 2023. La Commission européenne a adopté des actes délégués pour préciser certaines dispositions de DORA et l’acte législatif est entré en application le 17 janvier 2025. Les entités financières doivent donc finaliser dès maintenant l’exécution des mesures prévues par DORA.
DORA repose sur cinq piliers fondamentaux :
– Gestion des risques TIC : mise en place d’un cadre strict pour identifier, évaluer et atténuer les menaces cyber.
– Notification des incidents : signalement obligatoire des incidents majeurs liés aux TIC pour permettre une intervention rapide.
– Tests de résilience opérationnelle numérique : réalisation régulière de tests de pénétration (TLPT) pour vérifier l’efficacité des mesures de cybersécurité.
– Supervision des prestataires de services TIC : encadrement des contrats et surveillance des fournisseurs critiques.
– Partage d’informations sur les cybermenaces, afin de renforcer la résilience opérationnelle numérique à l’échelle du secteur financier.
Le règlement DORA transforme en profondeur la gestion des risques TIC dans le secteur financier. Il impose une approche plus stricte de la cybersécurité, visant à prévenir les crises systémiques liées aux cyberattaques. Les institutions financières doivent renforcer leurs protocoles de gestion des risques, améliorer leurs dispositifs de notification des incidents, et garantir la continuité des services en cas de perturbation. En appliquant DORA, elles assurent leur conformité au cadre réglementaire européen et participent à la sécurisation du marché financier européen face aux crises.
Avec l’application obligatoire depuis janvier 2025, il est essentiel que les acteurs financiers accélèrent leur mise en conformité.