La proposition législative pour un cadre d’accès aux données financières (FIDA) et la réglementation européenne sur la résilience numérique (DORA) seront en vigueur en 2025. Cette dernière, qui est une initiative législative de l’Union européenne (UE), vise à combattre les risques liés à la transformation digitale du secteur financier pour renforcer la résilience opérationnelle numérique de ses entités. Le règlement DORA est particulièrement pertinent dans un monde de plus en plus numérisé, où les cyberattaques et autres incidents numériques peuvent avoir des répercussions majeures sur la stabilité financière.
Rappelons que la nouvelle réglementation DORA couvre les acteurs du secteur financier, incluant les banques, les sociétés d’investissement, les prestataires de services de paiement, les émetteurs de monnaie électronique, les gestionnaires d’actifs, les compagnies d’assurance et de réassurance, et également les intermédiaires dans ces domaines. Mais elle concerne également les fournisseurs de services technologiques de l’information et de la communication (TIC) qui exercent leurs activités dans le secteur des services financiers au sein de l’UE.
Des risques d’amende
À compter du 17 janvier 2025, tous les prestataires de services financiers seront ainsi dans l’obligation de se conformer aux exigences du règlement DORA, faute de quoi, selon la gravité de l’infraction et du degré de coopération avec les autorités, ils seront passibles d’une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires mondial annuel.
Différents piliers permettant de construire et d’encadrer la résilience opérationnelle numérique du secteur financier :
– gestion des risques TIC : il convient d’assurer une surveillance et des tests réguliers via la mise en place et le maintien de cadres robustes de gestion des risques TIC impliquant l’identification, la classification et le traitement de ces risques ;
– signalement des incidents majeurs et mécanismes de réponse : une préparation adéquate pour répondre aux incidents majeurs doit être prévue en établissement des plans de réponse aux incidents, y compris des procédures pour limiter les dommages et récupérer rapidement ;
– résilience opérationnelle et tests : les entreprises doivent démontrer leur capacité à fonctionner de manière continue et efficace, même en cas de perturbation grave ;
– test de résilience : les tests réguliers sont cruciaux pour évaluer l’efficacité des mesures de sécurité et de résilience. Les simulations de crise pour identifier et corriger les vulnérabilités sont de mise ;
– gestion des fournisseurs de services TIC tiers : étant donné la dépendance croissante vis-à-vis des fournisseurs externes, la réglementation insiste sur le fait que les entités financières doivent s’assurer que leurs fournisseurs respectent également des normes élevées de sécurité et de résilience ;
– transparence et reporting : un compte rendu de la conformité des entreprises et de leurs performances en matière de résilience numérique, incluant la notification des incidents majeurs aux autorités réglementaires, est obligatoire ;
– partage de connaissance : la réglementation encourage une collaboration étroite entre les entités financières et les autorités réglementaires à l’échelle européenne, en vue de partager les meilleures pratiques et d’harmoniser les approches en matière de résilience numérique.
Avec tout juste une année pour se préparer à répondre aux obligations qu’imposent DORA, les acteurs du secteur financier ont besoin de mettre en place des solutions qui peuvent les aider à se conformer à toutes les exigences citées. Compte tenu de la complexité des attentes et des enjeux, beaucoup recherchent des solutions qui leur permettent une visibilité globale en temps réel et la mise en place d’un système unifié avec un seul point de contrôle pour gérer et protéger leurs données, quel que soit leur emplacement de stockage. La solution choisie doit permettre aux organisations d’améliorer leur résilience dans les situations de reprise après sinistre. Une simple protection ne suffit plus pour assurer la continuité de ses activités. Les entreprises doivent s’attendre à une attaque, d’où l’importance d’une résilience opérationnelle robuste et à l’échelle, pour prévenir les perturbations, s’y adapter et y répondre adéquatement.
De nouveaux processus
DORA met en exergue le fait que les entreprises doivent pouvoir identifier les applications qui contiennent les données critiques de l’entreprise et avoir mis en place les processus associés afin d’être en mesure de tester et valider le bon fonctionnement de leur restauration et le temps associé à celle-ci. Dans la plupart des entreprises en France, ces processus sont déjà en place depuis longtemps avec des plans de reprise d’activité généralement testés une à deux fois par an. La mise en place de DORA va demander aux entreprises de revoir ces plans afin de s’assurer que toutes les données sensibles sont à la fois bien sécurisées et restaurables, et que l’entreprise est en mesure de le démontrer. C’est une étape importante vers une plus grande robustesse et résilience du secteur financier face aux défis numériques.
De plus, parmi les législations importantes qui vont aussi impacter le secteur financier, on peut citer la (FIDA). Ce nouveau cadre proposé en 2023 par la Commission européenne vise à réguler l’ouverture de l’accès aux données financières, implanter et réguler l’open finance au sein de l’UE. FIDA a pour ambition de permettre aux consommateurs et aux entreprises d’autoriser des tiers, utilisateurs de données, à accéder à leurs données détenues par des institutions financières. À la demande de leurs clients, les détenteurs de données seront obligés de les partager avec les instances financières demandées. La transmission de ces données devra se faire en sécurité, continuellement, en temps réel et sans aucun retard. Selon la proposition législative, les détenteurs et utilisateurs des données financières devront être conformes à la réglementation DORA. Seules les entreprises et prestataires qui suivent la réglementation pourront partager, traiter et utiliser les données des clients. DORA est donc l’un des fondements de la proposition législative FIDA, enjeu à la fois actuel et sur le long terme. La réglementation cimente le futur du secteur financier de l’UE, de ses données, de son organisation et de sa régulation.
L’ouverture des données financières au niveau de la communauté européenne soulève des défis stratégiques importants. Premièrement, tous les détenteurs de données historiques doivent décider du rôle à prendre dans ce nouvel écosystème qui se dessine. De plus, les coûts de mise en conformité pour faciliter la disponibilité des données à des tiers et permettre aux clients de gérer en autonomie leurs accès vont être significatifs et devront être budgétisés. Ces changements sont importants et pour que leur déploiement réussisse, tous les acteurs du secteur financier – banques, assureurs, établissements de crédits et gestionnaires de produits d’épargne – doivent d’ores et déjà réfléchir à la stratégie. n
