DORA en cinq points

La directive européenne DORA (Digital Operational Resilience Act) s’appliquera aux

27 États membres de l’UE à partir de janvier 2025. Elle vise à renforcer les capacités de
résilience des acteurs de la finance dont les activités sont de plus en plus numérisées, et donc
soumises à des cyber-risques croissants.

SÉCURITÉ OPÉRATIONNELLE - FABRICE DEBLOCK - 21 AOÛT 2023

Le numérique prend aujourd’hui une place croissante dans les activités du secteur financier :
digitalisation des processus, automatisation des tâches, recours au cloud, intelligence
artificielle… Les acteurs de la finance sont, par ricochet, de plus en plus exposés aux
cybermenaces (phishing, rançongiciels, intrusions, vols de données, etc.).

Selon la 12e édition de l’enquête annuelle menée par EY et l’IIF (Institute of International
Finance) intitulée « Seeking Stability within Volatility: How Interdependent Risks put CROs
at the Heart of the Banking Business » (Rechercher la stabilité dans la volatilité : comment les
risques interdépendants placent les Chief Risk Officers au cœur de l’activité bancaire), la
cybersécurité est considérée comme la principale préoccupation sur les douze prochains mois,
suivie par les risques de crédit et les risques environnementaux.

Un défi d’harmonisation des mesures prises par chaque

État membre
La résilience des entreprises du secteur s’impose dès lors comme l’un des principaux leviers
permettant d’assurer, en toutes circonstances, la pérennité des activités. C’est dans ce contexte
que la directive européenne DORA a vu le jour. Elle a pour objectif de renforcer la résilience
opérationnelle numérique du secteur financier. Le règlement européen qui en découle a été
publié au Journal officiel de l’UE mi-décembre 2022, pour une entrée en vigueur le 16 janvier
2023. Il s’appliquera à partir du 17 janvier 2025 aux 27 États membres de l’UE.

La création de cette directive et de ce règlement vise principalement à pallier le manque

d’harmonisation au niveau européen des stratégies de résilience numérique concernant les
acteurs financiers. « L’absence de règles détaillées et exhaustives sur la résilience
opérationnelle numérique au niveau de l’UE a favorisé la prolifération d’initiatives
réglementaires (par exemple, sur les tests en matière de résilience opérationnelle numérique)
et de pratiques de surveillance (par exemple, en ce qui concerne la dépendance à l’égard de
tiers prestataires de services informatiques) au niveau national », peut-on lire dans
la proposition de règlement publiée en septembre 2020 sur le site de la Commission
européenne.

« L’action au niveau des États membres n’a cependant qu’un effet limité étant donné la
nature transfrontière des risques informatiques. En outre, le manque de coordination entre
les initiatives nationales a donné lieu à des chevauchements, des incohérences, des exigences
redondantes, des coûts administratifs et de mise en conformité élevés – en particulier pour les
entités financières transfrontières – ou a laissé des risques informatiques non détectés et,
partant, non traités. Cette situation fragmente le marché unique, compromet la stabilité et
l’intégrité du secteur financier de l’UE et porte atteinte à la protection des consommateurs et
des investisseurs », ajoute la Commission européenne.

Cinq piliers pour une résilience renforcée

Concrètement, la directive DORA met l’accent sur cinq piliers propres à renforcer la
résilience des acteurs de la finance :

 La gestion des risques liés aux technologies de l’information et de la

communication (TIC) : la directive DORA rappelle la nécessité de mettre en œuvre
un dispositif de gestion des risques liés aux TIC. Dans son texte, DORA insiste sur le
fait que « les organes de direction des entités financières devraient être tenus de
conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de
gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle
numérique». En clair, DORA met en avant la responsabilité ultime de l’organe de
direction dans la gestion du risque lié aux TIC d’une entité financière et souligne que
cette approche devrait constituer un principe fondamental de sa stratégie.
 La notification, aux autorités compétentes, des incidents majeurs liés aux TIC et
des cybermenaces importantes: l’harmonisation de la notification des incidents liés
aux TIC est une partie centrale de la directive DORA qui détaille les modalités de
transmission des informations clés aux AES (Autorités européennes de surveillance)
comme l’EBA, l’EIOPA et l’ESMA. Les notifications comprennent toutes les données
nécessaires pour permettre aux autorités compétentes de déterminer l’importance de
l’incident majeur lié aux TIC et d’évaluer les éventuelles incidences transfrontières.
Les entités financières peuvent également notifier, à titre volontaire, les cybermenaces
importantes aux AES concernées quand elles estiment que la menace est pertinente
pour le système financier, les utilisateurs de services ou les clients.
 Les tests de résilience opérationnelle numérique: afin d’évaluer l’état de
préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses,
les défaillances et les lacunes en matière de résilience opérationnelle numérique et de
mettre rapidement en œuvre des mesures correctives, les entités financières sont
tenues d’établir et de maintenir un « programme solide et complet de tests de
résilience opérationnelle numérique, qui fait partie intégrante de leur cadre de
gestion du risque lié aux TIC ». Concrètement, les acteurs financiers doivent faire
réaliser, au moins une fois par an, des tests de résilience par des entreprises
indépendantes, afin de tester les parties les plus critiques de leur système
d’information.
 Le partage d’informations et de renseignements en rapport avec les
cybermenaces et les cyber-vulnérabilités: le règlement européen DORA prévoit des
mécanismes d’échange d’informations sur les cybermenaces entre acteurs financiers.
« Le partage d’informations contribue à accroître la sensibilisation aux
cybermenaces. Cela renforce à son tour la capacité des entités financières à empêcher
les cybermenaces de devenir des incidents réels liés aux TIC et leur permet de
contenir plus efficacement l’impact des incidents liés aux TIC et de se rétablir plus
rapidement », lit-on dans le texte européen.
 Les mesures destinées à garantir la gestion saine du risque lié aux prestataires
tiers de services TIC: la gestion des risques liés aux prestataires tiers de services TIC
occupe une place de choix dans le texte de la directive DORA. Les entités financières
concernées sont notamment tenues de tenir à jour un registre d’informations portant
sur tous les contrats conclus avec les tiers prestataires de services TIC. Les acteurs
 financiers sont également tenus de procéder à des diligences avant l’entrée en relation
et d’insérer des clauses standard minimales dans les contrats, en termes notamment de
description des services, de sécurité des données, d’accès, de récupération et de
restitution des données en cas d’insolvabilité, ainsi que de droit d’accès, d’inspection
et d’audit par l’entité financière ou par un tiers désigné.

Forte de l’ensemble de ces mesures, la directive DORA vise à libérer et à renforcer le

potentiel que la finance numérique peut offrir sur le plan de l’innovation et de la
compétitivité, tout en limitant les risques qui en découlent. Elle est conforme aux priorités de
la Commission européenne consistant à adapter l’Europe à l’ère du numérique et à bâtir une
économie parée pour l’avenir et au service des citoyens.