Comprendre la loi DORA (Digital Operational Resilience Act)

Je vis en Suède, où 10 % ou moins des achats sont effectués en espèces. Peu de gens utilisent régulièrement de l’argent liquide, et il est souvent difficile de trouver des endroits qui l’acceptent. Cela signifie que si je perds mon téléphone ou ma connexion internet, des tâches simples telles que payer mon café deviennent extrêmement difficiles. Et je ne suis pas le seul dans ce cas : au moins la moitié des Européens préfèrent ce type de transaction. Ici, nous avons même nos passeports sur nos téléphones portables ! Notre dépendance collective à l’égard de l’infrastructure numérique dans la vie quotidienne ne peut être sous-estimée et ne fera que s’accroître.

L’expansion de notre empreinte numérique confronte le secteur financier à des défis et des opportunités sans précédent. La dépendance accrue aux technologies numériques a permis de grandes avancées dans les services financiers, mais a également exposé les institutions à un nombre toujours croissant de cybermenaces et de risques opérationnels. Consciente du rôle essentiel que joue l’infrastructure numérique dans la vie quotidienne des citoyens européens, l’Union européenne a introduit la loi sur la résilience opérationnelle numérique (DORA pour Digital Operational Resilience Act). Cette initiative réglementaire entend garantir que les entités financières peuvent résister, réagir et se rétablir d’un large éventail de perturbations opérationnelles, préservant ainsi la stabilité et l’intégrité du système financier. Dans cet article de blog, nous examinerons les principaux aspects de DORA, notamment les personnes concernées, les exigences fondamentales pour les entreprises et les étapes pratiques `a suivre pour se conformer à la date butoir du 17 janvier 2025.

Qui est concerné par DORA ?

DORA s’applique à toutes les institutions financières de l’Union européenne, incluant dans son champ d’application, les organismes financiers traditionnels, les entités financières non traditionnelles et les fournisseurs de services et d’infrastructures d’appui. Les organismes concernés sont notamment :

1. Banques et établissements de crédit : banques traditionnelles et numériques.
2. Sociétés d’investissement : sociétés impliquées dans le trading, la gestion des investissements et les services de conseil.
3. Sociétés d’assurance et de réassurance : entités fournissant divers produits et services d’assurance.
4. Prestataires de services de paiement : sociétés facilitant les paiements numériques, y compris les institutions de monnaie électronique.
5. Fournisseurs de services de crypto-actifs : sociétés traitant des cryptomonnaies et des actifs numériques.
6. Infrastructures de marché : entités telles que les bourses et les chambres de compensation.
7. Services d’information critiques de tiers : y compris les services de notation de crédit et les fournisseurs d’analyse de données.
8. Fournisseurs de services TIC tiers : entreprises fournissant des services technologiques essentiels aux institutions financières, tels que le cloud computing et l’analyse de données.

Bien que la liste ci-dessus ne soit pas exhaustive, il convient de noter que la DORA s’applique également à certains fournisseurs de services tiers qui sont essentiels aux opérations des entités concernées. Bien que ces organismes ne soient pas traditionnellement soumis à des réglementations financières, cela met en évidence la nature interconnectée de l’infrastructure financière moderne.

Principales exigences pour les entreprises

La loi DORA définit des exigences complètes destinées à garantir que les entités financières peuvent résister aux perturbations opérationnelles, y répondre et s’en remettre, ces exigences étant réparties en cinq piliers de base. Les principales exigences sont les suivantes :

1. Gestion des risques liés aux TIC : établir des processus internes robustes pour identifier, évaluer et gérer les risques associés aux technologies de l’information et de la communication.
2. Rapport d’incident : déployer des procédures permettant de signaler rapidement et de manière efficace aux autorités compétentes les incidents importants liés aux TIC.
3. Tests de résilience numérique : effectuer des tests réguliers des systèmes TIC afin d’évaluer leur résilience face aux menaces et vulnérabilités potentielles.
4. Partage d’informations : encourager l’échange d’informations et de renseignements sur les cybermenaces entre les institutions financières afin de renforcer les mécanismes de défense collective.
5. Gestion des risques liés aux tiers  veiller à ce que les fournisseurs de services tiers se conforment aux normes de DORA, y compris les accords contractuels qui imposent le respect de ces exigences.

Par où les entreprises devraient-elles commencer ?

Les étapes suivantes sont cruciales pour les institutions financières qui entreprennent de se conformer à la loi DORA :

1. Procéder à une analyse des lacunes : comparez les pratiques actuelles de gestion des risques liés aux TIC par rapport aux exigences de la loi DORA afin d’identifier les lacunes et les domaines à améliorer.
2. Élaborer une feuille de route de conformité : créez un plan stratégique qui détaille les étapes, les délais et les ressources nécessaires pour assurer la mise en conformité.
3. Améliorer les mécanismes de signalement des incidents : déployez, ou mettez à niveau, des systèmes qui garantissent un signalement rapide et précis des incidents liés aux TIC.
4. Renforcer les relations avec les tiers : travaillez en étroite collaboration avec vos fournisseurs de services TIC tiers pour vous assurer qu’ils peuvent vous aider à vous mettre en conformité avec la loi DORA.
5. Investir dans la formation et la sensibilisation : incluez la résilience et les mesures à prendre en cas d’urgence dans la formation de vos utilisateurs.
6. Effectuer des tests continus : testez régulièrement les systèmes TIC afin d’identifier les vulnérabilités et garantir la résilience face aux cybermenaces et pannes potentielles.

Comment Zscaler peut vous aider

Zero Trust Exchange de Zscaler peut aider les entreprises à se conformer à la réglementation DORA en leur fournissant une architecture solide et défendable, basée sur les principes du Zero Trust, afin de protéger les utilisateurs et leurs données contre les cybermenaces. Permettant aux entreprises de connecter en toute sécurité les utilisateurs, internes et tiers, aux applications dont ils ont besoin, sans surprovisionnement. De plus, Zscaler fournit un ensemble complet de fonctionnalités de résilience afin d’assurer la continuité des activités en cas de perturbation du réseau ou du cloud.

Quelle est la prochaine étape ?

À l’approche de l’échéance de janvier 2025, les institutions financières de toute l’UE ont dû se préparer aux exigences strictes de la loi DORA. Les solutions avancées de Zscaler peuvent contribuer à garantir la conformité, à renforcer la résilience et à assurer une protection efficace contre les risques liés aux TIC. En adoptant une approche proactive de la résilience opérationnelle numérique, les entités financières peuvent naviguer dans les complexités de la loi DORA et protéger leurs opérations dans un monde toujours plus numérique. Zscaler s’engage à aider ses clients tout au long de ce processus. Contactez votre représentant Zscaler local et demandez à rencontrer un membre de l’équipe RSSI pour comprendre comment nous pouvons vous aider.