Applicable depuis le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) vise à renforcer la cybersécurité et la résilience numérique du secteur financier dans l’Union européenne. Il impose aux institutions financières, ainsi qu’à leurs prestataires, des exigences en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC).
La récente cyberattaque du fournisseur de logiciels Harvest le 27 février 2025, illustre la dépendance critique des institutions envers leurs prestataires. Bien que le secteur bancaire soit bien protégé, la multiplication des fournisseurs complique l’évaluation de leur résilience. DORA répond à ce défi en imposant aux sous-traitants, eux-mêmes cibles privilégiées, un niveau de maturité en cybersécurité équivalent à celui des établissements financiers.
Le règlement DORA ne se limite pas à la cybersécurité
DORA ne se limite pas à la sécurité informatique. Il exige la continuité des activités en cas d’incidents numériques, y compris pannes ou défaillances technologiques. Cela inclut la restauration rapide des systèmes critiques. Pourtant, certains DSI et CISO se concentrent uniquement sur la cybersécurité, négligeant les autres dimensions de la résilience.
Le règlement impose une approche globale incluant :
- La continuité opérationnelle des services essentiels ;
- La reprise rapide des systèmes critiques après perturbation ;
- La gestion des risques liés aux tiers, notamment les prestataires IT ;
- Des tests de résilience et exercices de crise.
DORA vs ISO 27001 : des similarités mais une portée élargie
Certains RSSI estiment que DORA n’est pas révolutionnaire, certaines exigences étant alignées sur les bonnes pratiques déjà mises en œuvre à travers des standards comme l’ISO 27001. Toutefois, DORA va plus loin sur la résilience opérationnelle, la gestion des prestataires de services TIC…
Une gouvernance renforcée avec les prestataires TIC
DORA impose une structuration renforcée de la relation avec les fournisseurs critiques : comités de pilotage, indicateurs de résilience, audits réguliers et exigences contractuelles accrues, notamment en matière de continuité d’activité.
Comme l’explique un responsable conformité IT :« avant, nous faisions quelques audits ponctuels. Avec DORA, nous devons documenter, suivre les niveaux de service et tester la résilience de nos prestataires. »
La gestion des prestataires critiques : un défi opérationnel
Mais comment appliquer cette exigence face aux géants du cloud et aux fintechs internationales ? Les grandes institutions européennes restent fortement dépendantes de prestataires non européens, comme Microsoft. Imposer des clauses contractuelles conformes à DORA à ces acteurs risque d’être un véritable défi, notamment pour les petites structures. L’avenir nous le dira.
Le recours à la vérification de certifications reconnues ou des audits groupés des fournisseurs pourra être une solution pour minimiser les coûts et mutualiser les efforts.
Reporting des prestataires : une complexité persistante
L’un des principaux défis pour les établissements financiers réside dans la mise en place du reporting des prestataires TIC, en particulier pour les grands groupes confrontés à une volumétrie importante de fournisseurs. Une question revient fréquemment et n’a pas toujours sa réponse : jusqu’où remonter dans la chaîne des sous-traitants ? Le cadre réglementaire devrait être précisé prochainement sur ce point.
Initialement, l’autorité européenne des marchés financiers (ESMA) avait proposé un outil destiné à faciliter la tenue du registre des tiers, mais celui-ci n’a pas été maintenu. En l’absence de solution européenne unifiée, de nombreuses institutions financières s’appuient encore sur des fichiers Excel, peu adaptés à la complexité et à la volumétrie des données à traiter.
Pour y remédier, des plateformes (ex : Sedona, Prevalent, DORA Register..) dédiées émergent, permettant de centraliser les registres de prestataires et de faciliter les obligations de « due diligence ». Ces solutions permettent de mutualiser les évaluations entre institutions et de simplifier le suivi grâce à des données préremplies sur les fournisseurs critiques.
Des coûts de conformité « titanesques »
De nombreux établissements financiers accusent du retard dans la mise en œuvre de DORA, principalement à cause des coûts élevés liés à la mise en conformité mais également au maintien du dispositif. Certains acteurs adoptent une posture attentiste, préférant attendre des clarifications du régulateur pour éviter d’investir prématurément.
Une révision de DORA est d’ailleurs envisagée pour 2028, en fonction des retours d’expérience des autorités européennes de supervision. Par ailleurs, les sociétés financières « small and non-complex » bénéficient d’un report d’application jusqu’en 2030, leur permettant de mieux préparer leur mise en conformité.
Procédures : éviter la dérive bureaucratique
Un autre frein concerne la formalisation des procédures exigées. Si DORA impose une rigueur documentaire élevée, il est essentiel d’éviter une approche purement administrative. L’objectif n’est pas de cocher des cases.
La recommandation clé : privilégier une documentation fonctionnelle, opérationnelle. Il convient également de limiter les redondances entre les différentes procédures, pour garantir cohérence, efficacité et lisibilité du dispositif.
Renforcer les compétences internes
Les équipes de contrôle permanent et d’audit interne sont en première ligne pour évaluer la conformité. Cependant, elles ne disposent pas toujours des compétences techniques nécessaires (cybersécurité, architecture cloud, risques IT), hors de leur champ d’expertise traditionnel.
Cela soulève des enjeux de formation et de recrutement : qui réalisera les audits des prestataires TIC ? Quelles compétences développer en interne ou rechercher en externe ? Un contrôle efficace va bien au-delà de la simple conformité administrative.
Un rôle accru pour les conseils d’administration
La conformité à DORA relève directement de la responsabilité du Conseil d’administration, qui doit s’assurer de la mise en œuvre du règlement. Dans ce contexte, la formation des administrateurs constitue un enjeu majeur, tant pour une compréhension fine du cadre réglementaire que pour une évaluation pertinente des budgets à allouer à la gestion de ce nouveau risque. En effet, les sanctions en cas de non-conformité seront significatives (ex : amendes dissuasives qui seront déterminées par les autorités compétentes nationales) et pourront avoir un impact financier et réputationnel non négligeable pour les institutions concernées.
Clés pour une mise en conformité efficace
Voici quelques actions prioritaires :
- Cartographier ses prestataires critiques : identifier les prestataires TIC stratégiques / critiques et s'assurer qu'ils respectent les standards de sécurité compatibles avec DORA.
- Mettre en place des comités de pilotage (Copil) réguliers : structurer les échanges avec les prestataires et formaliser les discussions sur la résilience.
- Renégocier les contrats : le contrat avec le prestataire de rang 1 devra inclure une clause l’engageant à s’assurer que ses sous-traitants appliquent des mesures adaptées pour les fonctions et services critiques.
- Tenir un registre des prestataires et réaliser des « due diligence » pour les tiers critiques en s’appuyant sur des plateformes conformes aux exigences.
- Organiser des exercices de crise impliquant les prestataires : tester la réaction de toute la chaîne IT en cas d'incident.
Conclusion
Le règlement DORA constitue une avancée majeure dans la structuration de la résilience numérique du secteur financier. Il engage les établissements financiers à repenser leur organisation interne, leurs relations avec les prestataires TIC et leur capacité à faire face aux crises technologiques.
S’il pose des défis importants, notamment en termes de coûts et de compétences, il représente aussi une opportunité de renforcer le dialogue entre le Conseil d’administration, la Direction Générale et les DSI/ CISO, en faisant de DORA un sujet stratégique plutôt que purement technique, et en incitant à expliciter le sens des actions engagées.
Anne Defrenne, fondatrice de CRP Partner
Articles les plus lus
Articles les plus récents
Inscription à la newsletter