Le règlement DORA (Digital Operational Resilience Act) entrera en application le 17 janvier 2025, imposant de nouvelles exigences aux entités financières de l'UE pour renforcer leur résilience opérationnelle numérique.
Calendrier clé
- Entrée en vigueur : 16 janvier 2023
- Date d'application : 17 janvier 2025
Qui est concerné ?
Ce règlement s'applique à une large gamme d'acteurs du secteur financier, sans exhaustivité, voici les principales catégories :
- Établissements de crédit : Banques commerciales nationales, Banques coopératives et mutualistes, Banques en ligne, Établissements de crédit spécialisés
- Entreprises d'investissement : Sociétés de courtage, Sociétés de trading, Entreprises de marché, Plateformes de négociation
- Compagnies d'assurance : Assurances vie, Assurances dommages, Réassureurs, Mutuelles d'assurance
- Infrastructures de marché : Bourses de valeurs, Chambres de compensation, Dépositaires centraux, Systèmes de règlement-livraison
- Gestionnaires de fonds : Sociétés de gestion de portefeuille, Gestionnaires de fonds alternatifs, Gestionnaires d'OPCVM, Gestionnaires de capital-investissement
- Fournisseurs de services crypto : Plateformes d'échange crypto-monnaies, Services de conservation d'actifs numériques, Émetteurs de stablecoins, Fournisseurs de portefeuilles numériques
- Prestataires critiques TIC : Fournisseurs de cloud computing, Services d'hébergement de données, Prestataires de services de sécurité, Solutions de paiement
Pourquoi DORA ?
DORA (Digital Operational Resilience Act) a été adopté par la Commission Européenne dans le cadre de sa stratégie de finance numérique.
Cette réglementation répond à la dépendance croissante du secteur financier aux systèmes numériques et aux services tiers, en établissant un cadre unifié pour la gestion des risques informatiques.
DORA en clair
Cette réglementation harmonise les approches en matière de gestion des risques informatiques et impose des exigences communes en termes de cybersécurité, de gestion des incidents, de tests de résilience et de gestion des prestataires de services TIC tiers.
1. Sécurité informatique
L'organisation doit maintenir un inventaire exhaustif de ses ressources informatiques et identifier les systèmes critiques.
Un programme de contrôles périodiques doit être établi, accompagné d'indicateurs de performance précis et d'un planning de maintenance préventive.
2. Gestion des incidents
La procédure de notification impose une alerte sous 2 heures pour tout incident majeur, suivie d'un rapport préliminaire sous 24 heures et d'un dossier complet sous 30 jours.
Les incidents critiques (interruption >30 minutes, compromission de données, cyberattaques) nécessitent un signalement immédiat aux autorités compétentes.
3. Programme de tests
L'établissement doit conduire des évaluations régulières de la sécurité des applications critiques et valider les plans de continuité d'activité.
Des simulations de crise et des tests de reprise doivent être effectués périodiquement, avec validation par des auditeurs indépendants.
4. Gestion des prestataires
Une évaluation rigoureuse des prestataires est requise, incluant l'analyse de leur solidité financière et de leurs dispositifs de sécurité.
Un suivi continu de leurs performances doit être assuré, complété par des audits annuels et un plan de réversibilité documenté.
5. Dispositifs de protection
L'infrastructure doit intégrer une authentification renforcée et une gestion stricte des accès.
Les données sensibles doivent être chiffrées, l'architecture réseau sécurisée, et un système de sauvegarde robuste mis en place. Une surveillance continue des systèmes est obligatoire.
Sanctions possibles
- Jusqu'à 2% du chiffre d'affaires annuel
- Injonctions de mise en conformité
- Suspension d'activité possible
- Publication des sanctions
L’identité et l'authentification forte avec DORA
Concernant l'authentification, le règlement DORA impose des exigences spécifiques aux entités financières pour renforcer la sécurité de leurs systèmes. Voici les principales spécificités :
- Mise en place de mécanismes d'authentification forte : Les entreprises doivent implémenter des protocoles et procédures relatifs aux mécanismes d'authentification forte.
- Politique de contrôle des droits d'accès : Une politique détaillée doit être élaborée, documentée et mise en œuvre pour gérer les accès aux actifs TIC.
Cette politique doit inclure :
- L'attribution des droits d'accès selon les principes du besoin d'en connaître, du besoin d'en disposer et du moindre privilège, y compris pour l'accès à distance et l'accès d'urgence.
- Une séparation des tâches pour empêcher un accès injustifié à des données critiques.
- Des dispositions sur la responsabilité des utilisateurs, limitant l'utilisation de comptes génériques ou partagés.
- Des procédures de gestion de comptes pour accorder, modifier ou révoquer les droits d'accès.
- Identification des utilisateurs : Les entreprises doivent veiller à ce que les utilisateurs soient à tout moment identifiables pour les actions effectuées dans les systèmes TIC.
- Restrictions d'accès : Des contrôles et des outils doivent être mis en place pour empêcher tout accès non autorisé aux actifs TIC.
- Contrôle de l'accès physique : Des mesures doivent être prises pour contrôler l'accès physique aux actifs TIC.
Pour plus d'informations ou d'assistance dans votre mise en conformité DORA, n'hésitez pas à nous contacter.
Les entreprises financières doivent se préparer dès maintenant à DORA, le nouveau règlement européen de résilience numérique, car sa mise en conformité d'ici janvier 2025 nécessite des changements significatifs dans leurs systèmes et processus.
ShareID répond à ces exigences réglementaires grâce à son authentification forte MFA 3.0 et sa technologie ZTZKP (Zero Trust Zero Knowledge Proof).
Notre solution sécurise les échanges de données d'identité sensibles sans stockage et avec un chiffrement avancé, permettant un contrôle précis des accès tout en garantissant la conformité aux normes DORA.
N'hésitez pas à nous contacter pour en savoir plus sur l'accompagnement de votre mise en conformité.
