Articles en relation
Le 17 janvier 2025, DORA entrait en application. DORA, pour Digital Operational Resilience Act, regroupe les exigences réglementaires en matière de cyber-résilience.
Le règlement 2022/2554 du 14 décembre 2022 vient compléter et homogénéiser au niveau européen la législation qui s’était accumulée au fil des ans et des innovations numériques, visant à protéger notamment des cyberattaques.
Contrôles, tests, reporting
Il introduit des exigences particulières à l’égard de ceux que l’on appelle des “fournisseurs de services critiques”, met en place des tests de résistance aux attaques externes, de continuité de service, autrement appelés “tests de pénétration”, et impose une contractualisation, entre les institutions financières et ces fournisseurs, d’un cadre de gouvernance, de la sécurité des données et de la gestion des risques liés aux technologies de l’information et de la communication (TIC). L’ensemble doit faire l’objet de contrôles tout comme de reporting auprès des autorités.
Ces obligations impliquent donc des évolutions importantes, à la fois pour les institutions financières clientes des services numériques mais aussi pour les fournisseurs de ces services.
La mise en œuvre d’un tel cadre réglementaire est un chantier d’envergure. Les acteurs de la banque et de l’assurance, et plus généralement de la finance, accompagnés par les autorités de supervision, s’y sont attelés dès avant l’entrée en vigueur de DORA, Revue Banque s’en est fait l’écho à maintes reprises. Mais tout n’était pas encore finalisé au jour J.
La cyber-attaque menée contre l’éditeur de logiciel Harvest, en février 2025, donne un exemple des conséquences possibles à la fois en termes de fuite de données mais aussi de rupture de services. Mais le retour d’expérience apporte aussi des éléments pour progresser.
Neuf mois après l’entrée en application du règlement DORA, quel chemin ont parcouru les parties prenantes ? Quels sont aujourd’hui les acquis et quels retards éventuels sont identifiés ?
Pour le savoir, rejoignez le Club Banque du 18 septembre “DORA point d’étape un semestre après l’entrée en application”.
