L’entrée en vigueur du règlement DORA marque un tournant pour la banque et l’assurance, imposant un cadre strict pour anticiper les risques numériques. Un défi structurant pour les institutions financières.
L’Union européenne franchit une nouvelle étape dans la sécurisation des infrastructures numériques du secteur financier avec l’entrée en application, ce 17 janvier 2025, du règlement DORA. Ce texte ambitieux, adopté en décembre 2022, vise à renforcer la résilience opérationnelle numérique des banques et des compagnies d’assurance face à une menace cyber croissante.
Une application immédiate, des obligations concrètes
À compter d’aujourd’hui, toutes les entités financières doivent déclarer leurs incidents majeurs liés aux technologies de l’information et de la communication (TIC) à l’ACPR. Cette exigence marque un tournant dans la gestion des risques numériques : elle instaure une obligation immédiate de transparence, associée à la nécessité de maintenir un registre d’informations complet et à jour.
Un premier jalon est fixé : le registre d’informations sur les incidents TIC devra être remis avant le 15 avril 2025. Cette échéance incarne l’une des piliers du dispositif, visant à centraliser et analyser ces données via les Autorités européennes de surveillance, telles que l’EBA, l’EIOPA et l’ESMA, afin d’identifier les prestataires critiques et sécuriser la chaîne des acteurs.
Cette mise en conformité immédiate illustre l’approche rigoureuse de DORA. L’objectif : poser des bases solides pour garantir la continuité des services financiers face à des menaces numériques croissantes.
À moyen terme : gouvernance et contrôle au centre des priorités
Le règlement DORA ne se limite pas à l’identification des risques : il impose un cadre exigeant de gouvernance et de contrôle interne. L’ACPR, en charge de veiller à son application, met l’accent sur une gestion proactive des risques TIC. Chaque organisation devra non seulement définir une gouvernance claire, attribuer des responsabilités, mais aussi renforcer ses outils de contrôle interne pour anticiper, détecter et atténuer les menaces.
Par ailleurs, la mise en œuvre d’un programme de tests de résilience opérationnelle, stress-test, sera cruciale afin de garantir une continuité d’activité en toutes circonstances.
Un défi collectif pour le secteur financier
Avec le règlement DORA, l’Union européenne engage le secteur financier dans une transformation profonde et urgente de ses pratiques numériques pour une meilleure cybersécurité. Si le renforcement de ces obligations constitue aussi une opportunité stratégique, de se développer dans un environnement plus sécuriser, il représente aussi une charge administrative conséquente.
À titre d’exemple, l’entité financière devra informer l’ACPR de “tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante”, et ce, dans un délai de 6 semaines avant l’entrée en vigueur du contrat de sous-traitance.
Quand la directive NIS2, imposant aux entreprises de mettre en place des mesures de sécurité robustes et proactives, au-delà de la simple prévention, afin de mieux protéger leurs systèmes d’information – mais aussi la notification d’incidents -, le règlement DORA n’est pas sans alourdir la charge, dans un système de plus en plus réglementé, à des entreprises faisant face à de nombreux défis.
Ainsi, pour les banques et les assurances, l’enjeu est double. D’un côté, elles doivent s’adapter rapidement à ces nouvelles normes. De l’autre, elles sont appelées à jouer un rôle central dans l’instauration d’une culture de la résilience numérique, au bénéfice de l’ensemble de l’économie européenne.
