Siway

Retour vers siway.fr

  • Actus

DORA : Renforcer la cybersécurité des entités financières 

Le Digital Operational Resilience Act (UE 2022/2554) représentant une étape décisive pour renforcer la cybersécurité et la résilience numérique du secteur financier européen est maintenant applicable depuis le 17 janvier 2025. Ce règlement établit des exigences strictes concernant la gestion des risques liés aux technologies de l'information et de la communication (TIC) ainsi que la collaboration avec les prestataires tiers

DORA s'applique à environ 1 600 entités financières et plus de 15 000 prestataires tiers, potentiellement considérés comme critiques pour la stabilité financière européenne par les AES (Autorités Européennes de Supervision)

 Son objectif principal est d’assurer une continuité opérationnelle robuste, même face à des perturbations majeures. Cet article analyse comment DORA transforme les relations entre institutions financières et prestataires tiers, en mettant en lumière les principaux défis et opportunités associés à cette nouvelle réglementation.

Les cyberattaques : Une menace croissante pour la stabilité macrofinancière

Les cyberattaques représentent une menace croissante pour la stabilité financière mondiale, avec des incidents presque doublés depuis le début de la pandémie de COVID-19. Les pertes cumulées s'élèvent à près de 12 milliards de dollars depuis 2004, dont 2,5 milliards de dollars depuis 2020, selon Advisen. Le secteur financier est particulièrement vulnérable, avec près d'un cinquième des incidents affectant des institutions financières, les banques étant les cibles les plus fréquentes.

Cyberincidents dans le secteur financier

(2004-2023

Pertes entraînées par des Cyberincidents

(en milliard de 2004-2023)
Source : données d'Advisen relatives aux pertes entrainées par des cyberincidents ; Calcul des service du FMI

 

Les conséquences des cyberattaques peuvent être dévastatrices : elles entraînent des pertes de confiance, des perturbations de services critiques et des risques systémiques dus à l'interconnexion technologique et financière entre les institutions. Par exemple, une attaque majeure sur une grande banque peut compromettre les systèmes de paiement, affectant ainsi directement l'économie réelle. Les interconnexions entre les institutions financières permettent aux effets d'une cyberattaque de se propager à travers tout le système financier, amplifiant les risques de contagion.

Plusieurs facteurs contribuent à cette augmentation des cyberattaques :

  • L'accélération de la digitalisation

  • La dépendance accrue aux technologies

  • Les tensions géopolitiques

Les entreprises financières, notamment les grandes banques, sont des cibles privilégiées en raison de leur forte dépendance aux technologies de l'information et de la communication (TIC). De plus, les attaques peuvent exploiter les vulnérabilités des prestataires tiers, tels que les services cloud, augmentant ainsi les risques pour l'ensemble du secteur.

Pour renforcer leur résilience numérique, les organisations doivent adopter des mesures stratégiques et opérationnelles, telles que :

  • Le développement de stratégies nationales de cybersécurité

  • La mise en place de cadres réglementaires adaptés

  • L'instauration de modèles de gouvernance efficaces

En outre, les entreprises doivent investir dans des solutions de cybersécurité robustes, y compris :

  • La formation et la sensibilisation des employés

Le développement de procédures de réponse et de récupération en cas d'incident

 

SIWAY Investor Relations Tools
Portail investisseur : consultation des documents et des participations.

 

 Les défis posés par DORA pour les relations institution-fournisseur

La mise en conformité avec le Digital Operational Resilience Act (DORA) soulève de nombreux défis pour les institutions financières et leurs prestataires tiers, notamment en raison de la complexification des contrats et de la gestion des processus de sous-traitance. Ces exigences nécessitent une adaptation rapide pour garantir une collaboration efficace tout en respectant les nouvelles normes. 

Complexification des contrats

Le DORA impose des exigences strictes visant à encadrer les relations entre institutions financières et prestataires tiers. Les accords doivent inclure une description complète des fonctions et services fournis, ainsi que des informations précises concernant les lieux d'exécution et de traitement des données. Par exemple, les clauses doivent définir :

  • L’accessibilité, la disponibilité, l’intégrité et la sécurité des données.

  • Des mécanismes de récupération en cas d’insolvabilité du prestataire.

Ces exigences obligent les institutions à revoir leurs contrats, une démarche souvent chronophage et coûteuse. Pour les fournisseurs modestes ou peu matures en matière de cybersécurité, ces obligations représentent un obstacle majeur, nécessitant des investissements importants pour se conformer aux nouvelles normes.

Sections principales Détails
Gestion du risque informatique (art. 5 à 16)

 - Gouvernance appropriée
- Cadre de gestion du risque adapté
- Mesures techniques de résilience harmonisées
Reporting des incidents (art. 17 à 23)

 - Processus de gestion des incidents informatiques
- Catégorisation des incidents
- Notification aux autorités des incidents majeurs
Tests de résilience (art. 24 à 27)

 - Programme de tests de résilience opérationnelle
- Tests de résilience « avancés » (TLPT)
Gestion du risque de tiers (art. 28 à 44)

 - Gérer les risques liés aux prestataires de services informatiques
- Surveillance des prestataires informatiques critiques par les AES
- Création d’un Oversight Framework européen

 

Risques liés à la sous-traitance

La gestion des chaînes de sous-traitance constitue un défi supplémentaire. Les prestataires tiers font souvent appel à des sous-traitants pour certaines fonctions critiques. Sous DORA, cette pratique doit être transparente et encadrée, imposant une surveillance renforcée. Les institutions financières sont tenues de :

  • Connaître et évaluer la capacité de ces sous-traitants à répondre aux exigences de cybersécurité.

  • Collecter des informations sur leurs juridictions respectives.

  • Analyser les risques à chaque maillon de la chaîne.

  • Obtenir des garanties écrites pour assurer la continuité des services en cas de rupture.

Ces mesures ajoutent une couche supplémentaire de complexité, rendant la gestion des relations institution-fournisseur plus exigeante.

Adaptation des fournisseurs modestes

Les PME et structures intermédiaires rencontrent des difficultés particulières pour se conformer aux exigences de DORA. Selon l’ACPR, certains prestataires tiers peinent à satisfaire pleinement ces normes en raison de leurs ressources limitées. 

Ce constat crée un dilemme pour les institutions financières, qui doivent collaborer avec des partenaires tout en maintenant des relations économiquement viables. 

Bien que le règlement prévoie des exemptions si le changement de prestataire s’avère trop coûteux, ces exceptions restent très limitées et ne constituent qu’une solution temporaire. Cela met en lumière la nécessité pour les petites entreprises de renforcer leurs capacités en matière de cybersécurité pour rester compétitives dans ce contexte réglementaire. 

 

Solutions Digitales pour les Asset Managers
CRM , Portail souscription-CGP , Relations investisseurs, Dealflow

 

Opportunités offertes par DORA pour renforcer les partenariats

Bien que le Digital Operational Resilience Act (DORA) présente des défis considérables, cette réglementation offre également des opportunités stratégiques pour renforcer les relations entre institutions financières et prestataires tiers. En adoptant une approche proactive, ces acteurs peuvent transformer la réglementation en un levier pour améliorer leur cyberrésilience collective .

Modernisation des processus collaboratifs

DORA incite les institutions financières et leurs partenaires technologiques à adopter des solutions numériques avancées pour simplifier leurs collaborations. Par exemple :

  • Des plateformes de gestion des risques partagés centralisent les informations sur les contrats, audits et incidents TIC, facilitant ainsi une communication fluide et transparente.

  • Ces outils automatisent des tâches répétitives telles que la surveillance des performances ou la notification d’incidents.

  • DORA favorise une approche intégrée de la cybersécurité, où les responsabilités sont clairement définies, minimisant les duplications d’efforts et maximisant l’efficacité des défenses.

Renforcement de la confiance mutuelle

La transparence exigée par DORA renforce la confiance entre institutions financières et prestataires tiers. En imposant des rapports réguliers sur les pratiques de sécurité, la réglementation encourage une collaboration étroite pour anticiper et résoudre les menaces. Les sessions de partage d’informations sur les cybermenaces et bonnes pratiques créent un environnement coopératif, où chacun bénéficie des expertises de l’autre. De plus :

  • Les autorités de supervision facilitent les échanges et proposent des recommandations communes.

  • Cela réduit les risques systémiques et améliore la stabilité du secteur financier.

Positionnement stratégique des fournisseurs

Pour les prestataires tiers, DORA représente une opportunité unique de se différencier sur un marché compétitif. Les entreprises qui se conforment rapidement aux exigences peuvent attirer de nouveaux clients en valorisant leur expertise en cyberrésilience. De plus :

  • La pression réglementaire stimule l’innovation, notamment via l’adoption de technologies comme l'intelligence artificielle et des solutions cloud sécurisées 

  • Cela ouvre la voie à de nouvelles opportunités commerciales, permettant aux fournisseurs de renforcer leur positionnement stratégique.

Mise en conformité avec DORA : Une approche stratégique

La mise en conformité avec le Digital Operational Resilience Act (DORA) peut sembler complexe, mais elle est essentielle pour garantir une cybersécurité robuste et une résilience numérique accrue. Pour réussir cette transition, les institutions financières doivent adopter une approche méthodique et coordonnée, basée sur les recommandations suivantes :

  • Cartographier les prestataires tiers : Identifier précisément les fournisseurs jugés critiques pour leur activité et évaluer les risques associés à chaque relation contractuelle. Cette étape permet de comprendre les vulnérabilités potentielles et d'adopter des mesures correctives adaptées.

  • Maintenir un registre actualisé : Mettre en place un système centralisé pour stocker toutes les informations relatives aux accords contractuels, incluant :

  • Les descriptions des services fournis

  • Les niveaux de service attendus

  • Les clauses de continuité opérationnelle

Un registre actualisé facilite la gestion des relations avec les prestataires tiers et assure une transparence totale.

  • Collaborer avec les autorités de supervision : Participer activement aux audits et formations proposés par les organismes régulateurs pour mieux comprendre les attentes spécifiques liées à DORA. Ces collaborations offrent une meilleure visibilité sur les exigences réglementaires et permettent d'anticiper les défis.

  • Collaboration transversale : Encourager des initiatives sectorielles pour harmoniser les pratiques entre acteurs. Organiser des forums de discussion ou des ateliers conjoints permet de partager les bonnes pratiques et d'améliorer collectivement la résilience numérique du secteur financier.

 

Connectiques inter-systèmes pour les services financiers
Gestion de participations - Tenue de compte - Informations Financières

 

DORA marque une étape décisive pour renforcer la cybersécurité et la résilience numérique des institutions financières en Europe. En harmonisant les pratiques au niveau européen et en encadrant strictement les relations entre institutions financières et prestataires tiers, cette réglementation vise à garantir une continuité opérationnelle robuste face aux cybermenaces croissantes.

Selon l’ACPR, plus de 15 000 prestataires tiers sont concernés par ces nouvelles exigences, ce qui souligne l'ampleur du défi à relever. Cependant, DORA représente bien plus qu'une simple obligation légale : c'est une opportunité stratégique pour les acteurs financiers de transformer leur cadre de cybersécurité en un véritable atout compétitif .

En adoptant une approche proactive et collaborative, les institutions peuvent non seulement se conformer à DORA mais aussi renforcer leur position sur le marché grâce à une cybersécurité renforcée et une gestion optimisée des risques.

Adopter DORA : Une opportunité stratégique pour renforcer la résilience numérique

DORA constitue un tournant majeur pour la cybersécurité des institutions financières européennes. En imposant des normes strictes pour la gestion des prestataires tiers, elle transforme des exigences contraignantes en véritables opportunités stratégiques. En adoptant des pratiques avancées et en renforçant la collaboration entre acteurs, chaque institution peut transformer cette obligation réglementaire en un atout compétitif.

Cette conclusion met en avant l'importance de DORA non seulement comme une réglementation, mais aussi comme une opportunité pour les institutions financières de renforcer leur résilience numérique et leur position concurrentielle. Si vous avez besoin de plus de modifications ou d'informations supplémentaires, n'hésitez pas à me le faire savoir !

Sécurisez et pilotez la Relation Investisseur

Avec SIWAY Investor Relations Tool, centralisez et sécurisez vos échanges avec les investisseurs tout en garantissant leur conformité et la protection des données sensibles. Découvrez nos solutions adaptées.

Contactez-nous dès aujourd’hui pour plus d’information

 

Plus d'info? Contactez-nous!

Tous les champs ci-dessous sont obligatoires

Ce champ est obligatoire

Ce champ est obligatoire

Ce champ est obligatoire

Ce champ est obligatoire

Invalid Input

Merci de cocher cette case

Merci de cocher cette case