/reboot/media/64676fc0-0972-11f0-b43a-7a41756b04df/958349da-0661-11f0-a89c-7a41756b04df/1-1-person-using-black-laptop-computer-i-poqp6kcoi.jpg)
Mise en oeuvre de la règlementation DORA
Le risque cyber est considéré comme un risque majeur pour le système financier.
- Recours généralisé aux systèmes informatiques.
- Accroissement et sophistication des cyberattaques.
Seul un haut niveau d’exigence en matière de résilience opérationnelle peut garantir la confiance entre les acteurs et dans le système financier.
Les régulateurs nationaux (ACPR, AMF) et européens veulent s’assurer de la bonne préparation des entités financières.
Aspects règlementaires :
Un ensemble de textes applicable à partir du 17 janvier 2025
- Directive (UE) 2022/2556
- Règlement (UE) 2022/2554
- RTS (Regulatory Technical Standards)
Cinq piliers complémentaires :
- Gestion des risques technologiques de l’information et de la communication (TIC)
- Gestion, classification et notification des incidents liés aux TIC
- Réalisation de tests de résilience numérique
- Gestion des risques liés aux tiers de services TIC
- Dispositif de partage d’informations et de renseignements sur les cybermenaces
Forte implication des organes de direction pour fixer les objectifs :
- Définir une stratégie opérationnelle numérique
- Avoir des objectifs clairs en matière de sécurité de l’information
- Affecter les moyens et les ressources
Formaliser un diagnostic :
- Déterminer l’exposition au risque de l’entité
- Recenser les actifs informatiques (par criticité)
- Se protéger en cas d’attaque ou de perturbation grave pour assurer la continuité d’activité
Gestion des risques liés à l’externalisation des services TIC à des prestataires tiers :
- Réaliser des diligences sur le prestataire
- Evaluer les risques liés à l’externalisation (dépendance, caractère non substituable)
- Clauses contractuelles à adapter en fonction de la criticité de la prestation (droits d’audit, stratégie de sortie, délai de préavis)
Registre d’information contenant tous les accords contractuels relatifs à l’utilisation des services TIC :
- Prévoir la remise aux autorités de tutelles du registre
- Mise en œuvre de l’ensemble des règles en tenant compte de la taille, du profil de risque, et de la complexité des activités
Les impacts juridiques de DORA :
- Revoir les conventions (nouvelles et anciennes)
- Identifier et différentier les contrats : TIC traditionnels et TIC soutenant des fonctions critiques
- Prévoir d’insérer les clauses spécifiques : continuité de service, accès à la documentation de l’outil, clauses d’audit, modalités de restitution des données, engagement sur la reprise d’activité, clause de gestion des incidents, notification des incidents et des dysfonctionnement