DORA 2025 : Le Tournant de la cybersécurité financière en europe
Dans un contexte où la cybersécurité devient une priorité absolue pour le secteur financier, le Règlement (UE) 2022/2554 connu sous l’appellation DORA (Digital Operational Resilience Act), vient définir un cadre rigoureux destiné à renforcer la résilience opérationnelle numérique de ce secteur.
Le Règlement DORA a été publié au Journal Officiel de l’Union Européenne le 27 décembre 2022 et est entré en vigueur le 17 janvier 2023.
Ce règlement établit un cadre détaillé et complet visant à améliorer la résilience numérique des entités financières au sein de l’UE, en intégrant des mesures uniformes pour la gestion des risques liés aux systèmes d’information et la sécurité des réseaux.
Ce règlement met en lumière les nouvelles exigences imposées aux organisations financières, soulignant l’importance de la sensibilisation à la cybersécurité comme moyen essentiel pour prévenir les cyberattaques.
Organisations concernées par DORA
Le règlement s’adresse à un large éventail d’entités dans le secteur financier de l’Union européenne, incluant mais sans s’y limiter, les banques, les compagnies d’assurance, les gestionnaires d’actifs, et les prestataires de services de paiement. Ces organisations jouent un rôle crucial dans l’économie et sont donc tenues de respecter des normes élevées de cybersécurité pour protéger les actifs financiers et les données personnelles des clients.
Champ d’application
La date d’application directe de DORA est fixée au 17 janvier 2025. D’ici là, les entités financières et les prestataires de services informatiques doivent se préparer à mettre en œuvre les exigences stipulées par ce règlement. En parallèle, la Commission européenne publiera des actes délégués basés sur les projets finaux des normes réglementaires techniques (RTS) et d’exécution (ITS) soumis par les autorités européennes de surveillance (EBA, EIOPA, ESMA). Ces textes viendront préciser certaines des exigences de DORA et constitueront une deuxième couche de ce nouveau cadre réglementaire.
Il est important de noter que la directive (UE) 2022/2556, qui accompagne le règlement DORA, doit être transposée en droit national par les États membres de l’UE également d’ici le 17 janvier 2025. Cette directive vise à modifier les directives existantes dans le but de les rendre cohérentes avec les nouvelles dispositions de DORA, affectant ainsi une large gamme de directives telles que CRD IV, PSD2, BRRD, Solvabilité 2, et bien d’autres.
Les entités financières concernées par DORA englobent une vaste palette d’acteurs du secteur financier, y compris mais sans se limiter aux établissements de crédit, entreprises d’investissement, établissements de paiement, entreprises d’assurance et de réassurance, ainsi que les prestataires de services informatiques opérant au sein de l’UE. Ce règlement souligne la nécessité d’une approche proactive en matière de gestion des risques informatiques et de cybersécurité, en mettant l’accent sur la capacité des entités à résister, répondre et se rétablir face à toute perturbation opérationnelle significative.
En résumé, les entités financières doivent activement se préparer pour la pleine application de DORA en janvier 2025, en évaluant et en adaptant leurs pratiques et procédures actuelles en matière de résilience opérationnelle numérique pour répondre aux exigences de ce règlement ambitieux et intégral.
Nouvelles obligations DORA en matière de cybersécurité
Les obligations introduites par le règlement comprennent la mise en œuvre de politiques de gestion des risques liés au système d’information, la réalisation de tests de résilience, la notification obligatoire des incidents informatiques, et l’établissement de cadres pour la gestion des risques associés aux prestataires tiers de services informatiques. Ces mesures visent à garantir que les entités financières possèdent les outils et les procédures nécessaires pour détecter, prévenir, et répondre efficacement aux cybermenaces.
Sensibilisation à la cybersécurité
Le règlement met un accent particulier sur la nécessité de sensibiliser les utilisateurs aux enjeux de la cybersécurité. Il souligne l’importance d’organiser des formations régulières et de mener des campagnes d’information destinées aux employés pour les familiariser avec les bonnes pratiques en matière de sécurité informatique et les aider à identifier les tentatives de phishing et autres types de cyberattaque .
Simulations de phishing
Les simulations de phishing sont également encouragées comme moyen efficace pour évaluer et améliorer la préparation des employés face aux cyberattaques. En créant des scénarios de phishing réalistes, les organisations financières peuvent tester la vigilance de leurs employés et renforcer leur capacité à reconnaître et à réagir correctement aux tentatives de fraude par email ou autres canaux numériques.
La solution BlueSecure
Dans ce contexte, une solution comme BlueSecure offre plusieurs avantages pour aider les entreprises à répondre à ces exigences, notamment :
- Gestion des risques liés aux systèmes d’information : BlueSecure fournit une plateforme pour identifier, évaluer et atténuer les risques informatiques liés aux usages des utilisateurs, facilitant ainsi la mise en place d’un dispositif de gestion des risques conforme aux exigences du DORA.
- Reporting des incidents de cybersécurité : En offrant des outils pour le suivi et la notification rapide des incidents liés au phishing, BlueSecure aide les entités financières à respecter les obligations de reporting imposées par DORA.
- Tests de résilience opérationnelle numérique : La solution intègre des fonctionnalités de simulation et de test d’attaques de type phishing pour évaluer la capacité de l’entreprise à résister conformément aux tests de résilience requis par DORA.
- Sensibilisation à la cybersécurité : Via le déploiement des micro-learning, jeux interactifs et escape game auprès des utilisateurs, BlueSecure facilite le partage d’informations et de meilleures pratiques en matière de cybersécurité au sein de l’organisation.