« Ce que tout le monde a en tête, c’est l’effet domino : une institution financière se crashe et entraîne les autres avec elle. »

DORA est en gestation depuis l’adoption de Bâle 2, rappelle Guillaume Seligmann, avocat, responsable du département technologie du cabinet Ayache, ainsi que la nécessité de supervision des risques bancaires. « Les systèmes d’information se sont développés depuis vingt ans. De ce fait, le risque systémique qui porte sur les institutions financières a énormément grandi. De plus, le monde actuel connaît des tensions souterraines de plus en plus nombreuses, et dont la nature a évolué. On passe des attaques de loups solitaires à des attaques téléguidées par des États avec des moyens d’action considérablement renforcés. Le croisement des deux conduit à la nécessité de protéger les ressources techniques et opérationnelles du monde bancaire pour éviter des effets économiques de contagion qui auraient des impacts considérables. » Et ce, d’autant plus que les acteurs financiers ayant recours à l’externalisation de certaines fonctions sont tributaires de prestataires communs, avec des risques de contamination d’un client à l’autre. « L’Europe veut améliorer la résilience opérationnelle à l’échelle du continent. C’est l’objectif du projet de règlement DORA. Ce que tout le monde a en tête, c’est l’effet domino : une institution financière se crashe pour un incident informatique et entraîne les autres avec elle. »

DORA devrait être adopté fin 2022, avec un délai de mise en œuvre de 24 mois. La forme du règlement a été choisie à dessein : dans le cas d’une directive, les États peuvent traduire dans leur législation nationale les principes édictés comme ils l’entendent, le règlement est d’application directe et prime sur la législation nationale. « Pour assurer la cohérence de cette défense, l’Union européenne a choisi la voie du règlement : cela permet d’unifier la réponse des acteurs concernés, avec une mise en œuvre homogène et une entrée en application plus rapide. »