DORA : les enjeux stratégiques de l’expansion de l’écosystème réglementaire européen

Avec 22 % des attaques mondiales dirigées contre des banques et des assureurs¹ et une cyberattaque sur deux couronnée de succès dans la zone euro², le secteur financier est de plus en plus touché par les attaques cyber, avec une croissance significative du nombre et de la complexité des incidents. L’exemple de la cyberattaque par ransomware subie par la branche américaine de la banque industrielle et commerciale de Chine (ICBC), qui a impacté les échanges au niveau mondial, est symptomatique. C’est en raison de l’hypernumérisation grimpante des banques, de la complexité croissante des systèmes d’information financiers et de l’interconnexion à l’échelle internationale des acteurs, qu’au fil des ans, l’Union européenne a régulièrement abordé les questions liées à la résilience numérique du secteur en initiant des obligations pour les entreprises mais avec des contraintes jusqu’ici jugées relativement modérées.

La récente évolution des sanctions telle que proposée par le règlement européen DORA (Digital Operational Resilience Act), qui vise à homogénéiser la manière dont les acteurs du système financier européen traitent la résilience des applications, modifie radicalement la dynamique du risque pour les entreprises.

Passant de simples amendes en euros à des pourcentages de leur chiffre d’affaires mondial en cas de non-mise en conformité, elles se trouvent maintenant face à un dilemme entre le paiement d’amendes substantielles et des investissements dans des programmes de mise en conformité pour garantir la continuité de leurs activités et protéger leurs clients et leur réputation.

Sur les traces du RGPD (Règlement général de protection des données) et de la loi Sarbanes-Oxley, DORA produit des effets extra-européens. Le législateur européen a étendu les obligations de prudence aux services tiers intervenant sur les architectures. C’est-à-dire aux partenaires métiers, ainsi qu’à l’ensemble des partenaires technologiques – éditeurs d’applications et fournisseurs de cloud compris. La gestion des risques chez les tiers est un des aspects critiques de DORA.

De facto, la nouvelle réglementation a aussi des répercussions internationales, notamment aux États-Unis, où les acteurs du cloud doivent s’y conformer pour continuer à fournir des services aux établissements financiers européens. Les institutions financières vont devoir se soumettre à ces obligations transitives liées à leurs tiers et élaborer des stratégies multifournisseurs pour limiter les risques en cas d’attaque ou de défaillance du tiers concerné, par exemple si le principal fournisseur de cloud de l’entreprise est attaqué.

Si les autorités de surveillance européennes se doivent de détailler leurs exigences, elles vont immanquablement dans le sens d’un changement complet d’organisation, de processus et de technologies.

Les entreprises, en particulier les institutions financières, ont donc tout intérêt à adopter une approche proactive pour anticiper les changements réglementaires à venir en mettant dès aujourd’hui en place une série de mesures autour de leurs technologies de l’information et de la communication (TIC) − et en les documentant.

La mise en conformité à DORA représente un défi majeur, mais, au-delà de la conformité, elle renforce la résilience des activités et offre un avantage concurrentiel significatif. Les entreprises peuvent tirer parti d’initiatives intrinsèques pour établir des programmes de conformité pérennes avec une démarche d’amélioration continue et garantie dans le temps.

DORA représente un défi majeur mais aussi une opportunité pour les entreprises, en particulier dans le secteur financier. Anticiper les changements, allouer des budgets adéquats et mettre en place des programmes de conformité robustes sont essentiels pour éviter des retards coûteux.

Au-delà de la conformité, DORA offre une chance d’améliorer la résilience et la sécurité des activités, renforçant ainsi la stabilité de l’écosystème économique européen dans un monde de plus en plus numérique et interconnecté. La fenêtre d’action est ouverte, et les entreprises doivent agir dès maintenant pour assurer leur avenir.