Explorons un peu DORA (facile). Ce règlement européen (DORA pour Digital Operational Resilience Act) vient d’être voté dans sa version définitive fin 2022, et il porte plus sur des sujets de sûreté que de sécurité, mais en informatique ces notions sont fortement liées.

Les objectifs du projet DORA

Avec la multiplication des cyberattaques et la dépendance accrue aux technologies, il est devenu crucial que les institutions financières soient capables de continuer à fonctionner même en cas d’incident informatique majeur (cyberattaque, panne, etc.). DORA harmonise les règles à l’échelle européenne pour éviter que la faiblesse d’un acteur ne mette en danger tout le système financier ^1 2 .

Dans la mesure où l’intensification de l’usage de l’informatique en entreprise a mécaniquement augmenté les impacts d’un dysfonctionnement (quelle qu’en soit la nature) du SI, le projet de règlementation DORA a vocation à renforcer la résilience opérationnelle informatique des acteurs financiers en mettant en place un nouveau cadre de gouvernance et de contrôle interne et impose la mise en œuvre d’une stratégie de résilience opérationnelle informatique sous la pleine responsabilité de la Direction des institutions financières.

Source : Que retenir du projet de règlement DORA ? – Mazars – France

À qui s’applique DORA ?

• Toutes les institutions financières européennes (banques, assurances, sociétés d’investissement, gestionnaires de fonds, etc.)
• Leurs prestataires informatiques, surtout ceux considérés comme « critiques » (cloud, data centers, etc.) ³ .

Ce règlement s’adresse donc spécifiquement à une catégorie d’entreprise : les acteurs financiers (banques, assurances), et porte sur la sûreté de fonctionnement du SI. En gros, on cherche à forcer ces acteurs à renforcer leur capacité à prendre des coups et à conserver leur SI en état de fonctionner. Ainsi, la cause du dysfonctionnement peut être une cyberattaque mais aussi un incendie ou un incident lié à un problème de maintenance, comme par exemple une erreur opérationnelle lors d’une mise en production.

Les 5 piliers de DORA :

1. Gestion des risques liés aux TIC : Obligation de mettre en place une gouvernance et des procédures pour anticiper, détecter et gérer les risques informatiques.
2. Gestion et notification des incidents : Obligation de signaler rapidement aux autorités tout incident informatique majeur.
3. Tests de résilience : Réalisation régulière de tests (exercices de crise, tests d’intrusion, etc.) pour vérifier la capacité à résister aux attaques et à se remettre d’un incident.
4. Gestion des risques liés aux prestataires tiers : Surveillance et contractualisation renforcées avec les fournisseurs de services informatiques (cloud, logiciels, etc.).
5. Partage d’informations : Encouragement à partager entre acteurs financiers les informations sur les menaces et vulnérabilités pour renforcer la sécurité collective ⁴ .

Quand ?

• DORA est applicable à partir du 17 janvier 2025. Les institutions doivent donc être prêtes à cette date ⁵ .

En résumé : DORA, c’est l’obligation pour tout acteur financier européen d’être prêt à affronter une cyberattaque ou une panne informatique, de limiter l’impact sur ses clients et sur le système financier, et de collaborer avec les autorités et ses partenaires pour une meilleure sécurité numérique.

Web Sources

¹ DORA : Comprendre la réglementation européenne sur la résilience …

² Le règlement sur la résilience opérationnelle numérique dans le secteur …

³ Réglementation DORA : Ce qu’il faut savoir | CNPP

⁴ Comprendre la loi DORA (Digital Operational Resilience Act) et ses …

⁵ Digital Operational Resilience Act (DORA) | Autorité de contrôle …