Réglementation DORA : quels impacts pour les Daf ?

Qu'est-ce que la directive DORA ?

La règlementation DORA impose des normes strictes pour identifier, évaluer et gérer les risques liés aux technologies de l'information et de la communication (TIC). Cette réglementation, en vigueur à partir du 17 janvier 2025, aura un impact significatif sur les directions financières des entreprises des secteurs financier et informatique. Cette réglementation survient dans un contexte où 49 % des entreprises françaises ont subi une cyberattaque en 2023 et les violations de données ont augmenté de 38 % la même année.

Le règlement DORA crée donc un cadre réglementaire « sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s'assurer qu'elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l'information et de la communication (TIC) », précise le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (dit règlement DORA).

Quels impacts dans les entreprises ?

Pour se conformer à DORA, les directions financières doivent mener une réévaluation de leurs pratiques en matière de gestion des risques numériques. Une préparation proactive est essentielle pour assurer la conformité et maintenir la résilience opérationnelle de l'entreprise face aux défis numériques comme les cyber-attaques.

Les points clés :

- Tests de résilience opérationnelle numérique : réalisation régulière de tests, y compris des tests de pénétration avancés, pour évaluer la capacité de l'entreprise à résister et à se rétablir face à des perturbations numériques.

- Surveillance des fournisseurs tiers : une vigilance accrue est requise sur les prestataires externes pour limiter les risques liés à la chaîne d'approvisionnement numérique.

- Partage de l'information : DORA encourage les institutions financières à partager les renseignements sur les menaces et les informations sur les cyber-risques avec les parties prenantes concernées. Cette approche collective renforce la résilience globale de l'écosystème financier.

Quelles entreprises sont concernées ?

Le règlement DORA s'applique à de nombreuses entités du secteur financier : banques et établissements de crédit, entreprises d'investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d'assurance et de réassurance, intermédiaires d'assurance et de réassurance, mutuelles, etc.

Et à leurs prestataires de services TIC qui contribuent au fonctionnement de ces services financiers, appelés « fonctions critiques » :

- Des prestataires dits « classiques » de services TIC : prestataires fournissant des solutions standard de technologie de l'information telles que le stockage de données ou des logiciels utilisés par les entités financières.

- Des prestataires soutenant des fonctions critiques : entreprises qui fournissent des services indispensables au bon fonctionnement des activités des entités financières, par exemple des plateformes de gestion de risques ou des infrastructures liées à la cybersécurité.

Quels enjeux pour les directions financières ?

Tout d'abord, les directions financières sont amenées à collaborer étroitement avec les départements informatiques et de gestion des risques pour assurer une supervision efficace des processus liés aux TIC.

« La mise en conformité avec DORA nécessite des investissements dans des technologies de surveillance, des outils de gestion des risques et des programmes de formation pour le personnel », nous précise Julie Jacob, avocate spécialisée en droit du numérique et des nouvelles technologies au sein du cabinet Jacob Avocats et qui accompagne de nombreuses entreprises sur le sujet.

Les relations avec les fournisseurs seront également soumises à plus de vigilance. Les contrats avec les prestataires de services TIC devront être révisés pour s'assurer qu'ils respectent les normes imposées par DORA, impliquant une diligence accrue dans la sélection et le suivi des fournisseurs.

Comment les Daf se préparent-ils ?

Pour mener à bien ce travail de mise à jour de contrats avec les prestataires « une task force est mise en place souvent constituée de plusieurs profils autour du Daf, qui reste le chef d'orchestre, comme le DSI, la personne en charge de la data, le DPO, et le compliance officer », détaille Julie Jacob.

L'objectif est de « réduire les expositions aux cybermenaces et faire en sorte que de nouveaux protocoles ont bien été implémentés pour respecter DORA », souligne l'avocate. Concrètement, les directions financières vont devoir « lister, cartographier tous les contrats concernés et insérer de nouvelles clauses obligatoires exigées par DORA ».

En complément, les Daf devront « veiller à harmoniser la surveillance de prestataires critiques, contrôler les niveaux de cybersécurité, et donc coordonner les différents départements pour remplir le registre d'informations demandé par DORA », indique-t-elle. Ce qui implique un recensement de tous les prestataires et la tenue d'un registre d'information, la mise en place de différents process « pour en interne assurer des tests de résilience, des plans de continuité, des plans de reprise après les incidents, etc. », préconise Julie Jacob.

Il est donc essentiel pour les entités financières de considérer le règlement DORA, non comme une contrainte supplémentaire, mais comme une véritable opportunité stratégique. Ce cadre leur permet de se démarquer sur le marché en améliorant leur résilience opérationnelle face aux risques informatiques, aux menaces de cybersécurité, aux interruptions d'activité et aux risques associés aux tiers.