Le règlement européen, Digital Operational Resilience Act (DORA), portant sur la résilience optionnelle numérique des entités financières, sera applicable à partir du 17 janvier 2025. Il vient harmoniser le cadre réglementaire portant sur les menaces cyber et informatiques.
Dans un contexte de profonde transformation numérique des activités et de montée des risques cyber et informatiques, la réglementation DORA introduit la notion de résilience opérationnelle appelant à une véritable stratégie pour une mise en conformité réussie.
Résister aux risques cyber, répondre et se rétablir
Depuis plusieurs années, afin de répondre aux menaces issues des technologies de l’information et de la communication (TIC), les trois principales autorités de supervision financières européennes, dont l’EIOPA, ont émis différents textes et orientations posant notamment des difficultés de chevauchement et d’interprétation aux entités financières.
La réglementation DORA est venue faire converger, simplifier ces éléments tout en venant consolider sa réponse aux menaces.
Et d’une approche de réduction des risques, elle incite désormais les acteurs financiers à adopter une approche plus proactive, et à investir une posture de résilience opérationnelle numérique. Il s’agit de la capacité à garantir la continuité de leurs services essentiels en cas de perturbation cyber ou informatique comme un piratage.
Les conditions de mise en oeuvre de ce texte ont été publiés en juillet dernier, juste quelques mois après l’entrée en vigueur de ce texte, donnant deux ans aux entreprises du secteur pour se mettre en conformité.
Coordination interne, transversalité et rationalisation
Dans un même temps il s’agit de coordonner et de décloisonner les Directions informatiques, de la sécurité et des risques, tout en ce que le mécanisme tripartite puisse se challenger, mais aussi d’associer les Directions de la conformité et achats afin de définir une approche d’ensemble. En effet, le cas échéant il pourrait devenir nécessaire de renégocier des contrats avec des tiers.
Et dans le cas de groupes d’envergure multi pays comme ou multi métiers comme c’est parfois le cas dans le domaine de l’assurance, le défi sera d’harmoniser des réflexions internes tout en prenant en compte les spécificités locales qui subsistent.
Partager l’information
Le *Digital Operational Resilience Act* intervient dans un contexte où les compagnies d’assurance et acteurs bancaires traitent un flux de données externes et internes, et interagissent avec de plus de plus de tiers du numérique.
Le risque inhérent à ces relations a fait l’objet d’un encadrement par le régulateur européen dans la mesure où des clauses contractuelles types et notamment des clauses en matière de résiliation et de stratégies de sortie de contrat sont envisagées.
La supervision de ces relations introduit une nouvelle donne : la capacités du cocontracteur à faire levier pour demander plus d’informations à son prestataire. Un vecteur de sécurité cyber et informatique pour l’environnement au global.
Au regard de cette volonté, il y a le même besoin, particulièrement en cas de menace importante selon ce que prévoient les textes. Avec un effort de reporting, à horizon 2025, seront notifiés à un pôle européen en charge de la centralisation des notifications d’incidents significatifs TIC.
L’ensemble de ces mesures applicables à un large éventail d’acteurs financiers, harmonisant à l’échelle européenne directives, règlements, orientations issus de trois autorités différentes sur plusieurs années signifie la part du risque d’une part et est constitutif de la culture de résilience de l’entreprise, et du défi continue que cela représente.
