I- Introduction A-Présentation de la réglementation DORA Le projet “Digital Operational Resilience” a été publié par la Commission Européenne à la fin du mois de septembre 2020 sous la forme d’une proposition de mesures visant à accroître la numérisation du secteur financier. La règlementation DORA exige que les entreprises du secteur financier signalent, rapidement et de manière exhaustive, les incidents majeurs liés aux technologies de l’information et de la communication (TIC) aux autorités de surveillance et aux acteurs du marché afin que le système financier de l’Union Européenne (UE) puisse réagir rapidement et de manière appropriée aux perturbations et maintenir la résilience du système. DORA vise à étendre et unifier les normes et exigences européennes et nationales existantes afin de créer un cadre détaillé, harmonisé et complet pour la résilience opérationnelle numérique des entités financières de l’UE. DORA prévoit également, la mise en place d’un mécanisme de surveillance direct, des prestataires de services TIC critiques au niveau de l’UE. B- L’importance croissante de la résilience opérationnelle numérique En 2005, les accords de Bâle II (Basel Committee on Banking Supervision) introduisaient aux côtés des risques bancaires, le risque opérationnel « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ». Les gouvernements et les organismes de réglementation du monde entier reconnaissent de plus en plus l’importance cruciale d’assurer la résilience des systèmes et des infrastructures numériques. Voici quelques raisons pour lesquelles ces initiatives peuvent gagner en importance : Le paysage des menaces de cybersécurité : Le paysage numérique est en constante évolution, et les cybermenaces continuent de gagner en sophistication et en fréquence. La législation et les cadres réglementaires sont essentiels pour fixer des normes et des exigences permettant d’améliorer la position des organisations en matière de cybersécurité. Protection des infrastructures critiques : De nombreux aspects de la société moderne, notamment l’énergie, la finance, les soins de santé et les transports, dépendent fortement de l’infrastructure numérique. Garantir la résilience opérationnelle des infrastructures critiques est une priorité absolue pour les gouvernements afin d’éviter des perturbations qui pourraient avoir des conséquences considérables. Protection des données et de la vie privée : Avec la quantité croissante de données personnelles et sensibles traitées et stockées numériquement, l’accent est mis de plus en plus sur les réglementations en matière de protection des données et de la vie privée. La législation peut porter non seulement sur la sécurité des données, mais aussi sur la résilience des systèmes qui traitent ces données. Interconnexion mondiale : La nature interconnectée du monde numérique signifie que les perturbations ou les vulnérabilités dans une partie du globe peuvent avoir des effets d’entraînement ailleurs. La coopération internationale et les approches normalisées, facilitées par la législation, sont essentielles pour relever les défis mondiaux en matière de cybersécurité. Réponse aux incidents et rétablissement : La législation comporte souvent des dispositions relatives à la réponse aux incidents et à la récupération. L’établissement de protocoles clairs pour la notification et la réponse aux incidents de cybersécurité aide les organisations à minimiser l’impact des violations et à se rétablir plus efficacement. Confiance des consommateurs : Un cadre réglementaire solide contribue à renforcer la confiance des consommateurs et des entreprises. Le fait de savoir qu’il existe des normes établies en matière de résilience opérationnelle numérique peut renforcer la confiance dans les services et produits numériques. Innovation technologique : À mesure que la technologie progresse, de nouveaux défis et de nouveaux risques apparaissent. La législation peut contribuer à garantir que l’innovation s’accompagne de garde-fous, empêchant ainsi que la résilience opérationnelle ne soit compromise dans la poursuite du progrès technologique. Si la loi sur la résilience opérationnelle numérique est récente ou s’il y a eu des mises à jour depuis ma dernière mise à jour des connaissances en janvier 2022, je recommande de vérifier les sources les plus récentes pour obtenir les informations les plus exactes et les plus actuelles sur ses dispositions et son impact. II- Compréhension de la Réglementation DORA A- Explication détaillée et objectifs principaux de la réglementation DORA répond à un contexte marqué par les crises et les incidents menaçant la continuité de l’activité économique globale. Ces évènements impactent plus spécifiquement les institutions financières, puisque ces dernières sont porteuses de la solidité des économies, et qu’elles ont donné ces dernières années une place incontournable aux outils digitaux, à la robotisation et à l’intelligence artificielle dans leurs systèmes informatiques, se rendant ainsi plus vulnérables. Parmi les piliers de DORA, nous pouvons compter quelques-uns, qui ont ainsi pour objectif un meilleur encadrement des risques cyber et informatiques : Le premier pilier de DORA se focalise sur la gestion des risques liés aux Technologies de l’information et de la communication (TIC) renforçant ainsi des exigences préexistantes : mise en place d’un cadre de gestion des risques comprenant l’identification des fonctions critiques et importantes, les risques associés et une cartographie des actifs TIC. Le second pilier quant à lui concerne le signalement des incidents liés aux TIC et introduit pour cela une méthodologie standard de classification des incidents. Le troisième pilier se focalise sur l’aspect préventif, en instaurant des tests de résilience opérationnelle très poussés (TLPT). Ce pilier comporte de nombreuses nouveautés. Ainsi, les entreprises devront définir un programme de tests avancés, exécutés par des parties indépendantes et comprenant une série d’évaluations, de tests et de méthodologies précises. Enfin, le quatrième pilier de la réglementation DORA établit une classification des tiers fournisseurs critiques. Un contrôle de ces tiers sera effectué par l’ACPR qui pourra réaliser des audits sur site, émettre des recommandations et imposer des sanctions pécuniaires en cas de non-conformité. Pour les assureurs, de nombreux défis sont à relever, puisque divers dispositifs devront être mis en place ou renforcés afin de se conformer à ces nouvelles exigences. Désormais, les incidents classés comme majeurs devront être signalés à l’autorité de régulation compétente et un rapport de suivi devra être réalisé à destination des acteurs de la place. Il sera également exigé un réexamen de la politique de sécurité sur base annuelle, ainsi qu’en cas de survenance d’incidents majeurs, conformément aux instructions des
