Vous l’avez tous compris, aujourd’hui nous n’allons pas dans le monde de DORA l’exploratrice, mais plutôt dans celui de la commission européenne, à Bruxelles, là où tout a été écrit et acté.
Depuis quelques années et pour répondre aux besoins de leurs utilisateurs en quête constante de nouveautés, les banques n’arrêtent pas de se prémunir de nouvelles technologies. Ce qui ne fait qu’augmenter leur exposition aux risques liés à ces dernières.
Ce qu’il faut retenir sur le digital operational Resilience ACT, c’est qu’il vise à harmoniser la gestion et la prévention des risques cyber à travers l’UE, en imposant des normes aux acteurs financiers. (Crédit Union Européenne EP.)
Qu’est-ce que la résilience opérationnelle pour un Système d’information ?
Avoir de la résilience opérationnelle pour une organisation est synonyme d’avoir un plan de continuité de ces opérations et de son activité. En cas de crise, ce plan lui permet d’affronter et d’absorber tout choc financier et lui donne la capacité de s’adapter aux changements d’un environnement en constante évolution.
Si l’on revenait à la résilience opérationnelle pour un SI… Pour cela il faut considérer la nécessité de lui faire perdre en efficacité pour lui faire finalement gagner en résistance.
Et c’est là que le projet de règlementation de la Commission européenne « DORA » intervient pour régulariser les pratiques en Europe et définir un cadre réglementaire homogène et unique dans le secteur financier.
Qu’implique DORA ?
Revenons un petit peu en arrière… des réglementations telles que la RGPD, BCBS 239 et tant d’autres ont vu le jour pour venir répondre aux questions autour de la donnée, en se focalisant sur les aspects de confidentialité, de gouvernance, de qualité ou encore de souveraineté de la donnée.
Pour compléter ces propositions, c’est avec une nouvelle approche que DORA s’attaque à ces dernières, en proposant et en imposant de nouvelles exigences en matière de gestion des risques liés aux tiers (TPRM) pour le secteur des services financiers dans l’Union européenne (UE)
Cette série d’exigences comprend les éléments clés suivants :
- Gestion des risques liés aux TICs :
Harmoniser les règles de gestion des risques liés aux TIC dans l’ensemble des secteurs financiers sur la base des directives existantes, telles que les lignes directrices de l’ABE en matière de TIC et de risques liés à la sécurité
- Les Notifications des incidents liés aux TICs :
Harmonisation des processus de gestion de notification des incidents et la centralisation des retours d’informations des notifications sous forme de reportings, y compris la mise en œuvre de cadre de classification des incidents en fonction de critères spécifiques. Cela permettra aux entités financières et aux régulateurs d’avoir une image plus claire des risques encourus et de mesurer leur capacité à partager ces données.
- Gestion des risques liés aux tiers dans le domaine des TIC
Les prestataires et les fournisseurs des TICs (y compris les fournisseurs de services cloud) sont aussi concernés par cette réglementation, qui s’appuie sur les orientations et les directives d’externalisation de l’EBA (European Banking Authority), obligeant les entreprises à avoir un suivi permanent de la performance et de la qualité des services des TIC.
- Tests de résilience opérationnelle
L’Harmonisation et la normalisation des règles relatives aux tests de résilience opérationnelle numérique, où toutes les entités financières devraient assumer un risque en tenant compte de sa taille, de son activité et de son profil de risque.
Ces tests de résilience seront effectués au moins une fois par et permettront de détecter les menaces pouvant compromettre le secteur financier.
D’ici 2024 …
Toutes les entités du secteur financier et leurs fournisseurs de services informatiques doivent se conformer aux exigences de résilience numérique de DORA.
Pour ne pas manquer cette deadline, il est indispensable d’établir le point dans vos organisations pour déterminer les points à améliorer. Nous pourrions ainsi remédier ensemble à cette situation, en mettant à votre disposition nos meilleurs experts sur le sujet.
Zeineb Rajhi – Consultante du pôle paiement et transformation digitale