Qu'est-ce que la loi DORA et quel sera son impact sur vous ? Démystifier la loi sur la résilience opérationnelle numérique
Prenez de l'avance et préparez-vous en toute confiance à l'échéance de janvier 2025 fixée par la loi sur la résilience des opérations numériques (Digital Operation Resilience Act).
Le secteur financier n'est pas étranger aux réglementations visant à renforcer la résilience et la sécurité opérationnelles. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) est un cadre crucial conçu pour renforcer la résilience opérationnelle des institutions financières au sein de l'Union européenne. À l'approche du 17 janvier 2025, date limite de mise en conformité avec la loi DORA, il est essentiel que les entités financières comprennent ses exigences et se préparent en conséquence.
Mais il y a un hic : Pour la première fois dans l'histoire, les organisations n'auront qu'un mois de préavis pour se conformer pleinement aux nouvelles mises à jour du règlement DORA après sa publication finale en décembre.
Les six prochains mois arriveront plus vite que vous ne le pensez (surtout entre décembre et janvier). Heureusement, les équipes peuvent commencer à se préparer de manière proactive dès aujourd'hui ; certaines plateformes (comme Mitratech Alyne) ont déjà des projets de contenu RTS en place, ce qui vous donne la possibilité de commencer à cartographier dès maintenant et la tranquillité d'esprit de pouvoir facilement mettre en œuvre les mises à jour nécessaires au cours de ces 30 derniers jours. Il n'est pas non plus nécessaire d'adopter une approche "rip-and-replace" ou de procéder à un remaniement en profondeur. Alyne s'intègre de manière transparente à votre infrastructure, vos outils et votre technologie existants, agissant en tant qu'expert DORA pour vous aider à comprendre et à cartographier les exigences du projet final de RTS et à consolider efficacement toutes les données nécessaires (y compris celles requises par les modèles de l'EBA/ESA) dans le registre d'information.
Mais la mise en œuvre peut prendre de 4 à 6 semaines, il est donc temps de commencer à travailler à votre mise en conformité avec la loi DORA. Lisez la suite pour connaître les mesures proactives que vous pouvez prendre pour réduire le risque de pénalités de non-conformité et garantir une conformité totale à la date limite de 2025 fixée pour la mise en conformité avec la loi DORA.
Un petit retour en arrière : Qu'est-ce que DORA ?
DORA, ou Digital Operational Resilience Act, est un règlement de l'UE visant à garantir que les institutions financières puissent résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux TIC. Ce nouveau règlement couvre un large éventail d'incidents liés aux TIC, allant au-delà des pratiques traditionnelles de gestion des risques pour inclure des mesures complètes de protection, de détection, de confinement, de récupération et de réparation.
Avant la loi DORA, les institutions financières se concentraient principalement sur l'allocation de capital pour gérer les risques opérationnels. Désormais, la DORA introduira une approche plus détaillée de la résilience opérationnelle, exigeant des stratégies et des politiques solides pour gérer efficacement les risques liés aux TIC. Ce changement souligne l'importance de traiter les données de manière responsable et éthique, en veillant à ce que les entités financières puissent poursuivre leurs activités même en cas de perturbations importantes.
Comprendre les 5 principales obligations de conformité du DORA
Le DORA est divisé en cinq domaines de réglementation qui se concentrent sur les TIC et la cybersécurité.
- Gestion des risques et gouvernance des TIC : La DORA exigera des organisations qu'elles mettent en place un cadre de gouvernance des TIC solide, comprenant une stratégie de résilience numérique, une définition de la tolérance aux risques liés aux TIC et une documentation détaillée de toutes les fonctions et de tous les actifs liés aux TIC. Cela conduira à une évaluation régulière pour atténuer les risques liés aux TIC, à la création de politiques de sécurité complètes et à la mise en place de formations régulières de sensibilisation à la sécurité pour les employés.
- Réponse aux incidents et rapports : Les organisations doivent élaborer un plan d'intervention clair qui garantisse que les employés connaissent les procédures de signalement et classent les incidents de manière efficace. Le DORA veille également à ce que tous les incidents liés aux TIC soient signalés aux autorités compétentes ainsi qu'aux utilisateurs et aux clients.
- Tests de résilience opérationnelle numérique : En vertu de la loi DORA, les organisations devront mettre en œuvre un cadre de test qui comprend des tests de base réguliers des TIC et des tests de pénétration avancés (Threat Led Penetration Testing - TLPT). Toutes les faiblesses, déficiences ou lacunes doivent être identifiées et éliminées ou atténuées par la mise en œuvre de mesures contre-productives.
- Gestion des risques liés aux tiers : En plus de la conformité interne, les organisations doivent évaluer les mesures de sécurité des fournisseurs tiers de TIC pour s'assurer qu'elles répondent également aux exigences de conformité de la DORA. Les contrats conclus avec ces fournisseurs doivent inclure des détails complets sur le contrôle et l'accessibilité, tels qu'une description complète du niveau de service et des informations sur les lieux où les données sont traitées.
- Arrangements en matière de partage d'informations et de renseignements : Le DORA encourage la collaboration entre les communautés de confiance d'autres entités financières dans le but de sensibiliser aux risques liés aux TIC, de minimiser la capacité des menaces liées aux TIC à se propager et d'améliorer globalement la résilience opérationnelle numérique des entités financières. Le partage régulier de renseignements sur les menaces et la coordination des efforts pour identifier les nouvelles menaces et vulnérabilités contribueront à réduire les risques.
L'objectif de ces domaines est de fournir un cadre complet de résilience numérique qui souligne l'importance de l'adaptation et de l'amélioration continues.
Mise en œuvre des exigences du DORA
Les exigences du DORA sont devenues exécutoires 24 mois après leur entrée en vigueur, le 16 janvier 2023. Par conséquent, les entités financières sont censées se conformer au DORA d'ici le 17 janvier 2025.
Mais comme nous l'avons mentionné plus haut, les projets finaux de RTS et les mises à jour de DORA ne seront pas officiellement publiés avant décembre 2024, ce qui laisse votre équipe face à un délai inouï d'un mois. La mise en conformité ne se fait pas du jour au lendemain, et cette échéance approchant rapidement, les organisations doivent agir dès maintenant pour s'assurer qu'elles sont prêtes.
Alors que vous vous familiarisez avec les exigences, il est tout aussi important de doter votre organisation des outils et des connaissances nécessaires pour parvenir à une résilience opérationnelle solide.
Automatiser votre conformité DORA
Bien que cette vue d'ensemble constitue un point de départ pour comprendre et se préparer à la DORA, le règlement souligne l'importance d'une adaptation et d'une amélioration continues. Le paysage réglementaire évoluant, il est essentiel de se tenir au courant des modifications et des lignes directrices supplémentaires.
Nous n'en sommes qu'aux 100 premiers mètres de la course du mile.
En d'autres termes, travailler avec des contrôles n'est qu'un début... vient ensuite l'identification des lacunes, l'analyse des lacunes, la création de votre registre, etc.
L'utilisation de la technologie d'automatisation offre la possibilité de rationaliser vos efforts grâce à une plateforme centralisée et personnalisable pour gérer la conformité à la loi DORA et à d'autres normes pertinentes - à condition de choisir la bonne plateforme. Les systèmes encombrants, plus grands que nature, ne seront pas assez agiles pour compiler et suivre les mises à jour changeantes de la loi DORA. Les plateformes plus agiles (comme Mitratech Alyne) ont été conçues pour vous aider à atteindre la conformité totale avec la DORA en seulement 30 jours.
Se conformer à la nouvelle législation ne doit pas être une source de stress. Pour plus d'informations sur la façon dont Mitratech peut fournir des solutions avec le cadre DORA et les normes techniques réglementaires (RTS) déjà configurées, contactez notre équipe.
Découvrez Mitratech GRC Management
En savoir plus sur notre gamme unique de solutions de bout en bout en matière de risque et de conformité.