La nouvelle réglementation DORA entre en vigueur: Voici ce que les entreprises doivent faire dès maintenant!

Qu’est-ce que la loi sur la résilience opérationnelle numérique (DORA)?

La DORA (Digital Operational Resilience Act) est un règlement européen (UE) 2022/2554. Elle oblige les établissements financiers et les prestataires de services concernés à renforcer systématiquement leur résilience numérique face aux cyberattaques et aux incidents informatiques. Le règlement définit des exigences en matière de gouvernance, de gestion des risques liés aux TIC, de procédures de test, ainsi que des règles relatives à l’externalisation et à un système de notification harmonisé.

En Allemagne, la BaFin fait office de centre de signalement centralisé pour les incidents liés aux technologies de l’information et de la communication (TIC). Des actes juridiques supplémentaires de niveau 2 (notamment des RTS) précisent les exigences détaillées relatives aux processus et aux seuils.

Que régit le règlement DORA?

Le règlement DORA établit des règles uniformes et contraignantes pour la sécurité des réseaux et des systèmes d’information dans les entreprises financières.

Ses éléments clés sont les suivants : gestion des risques liés aux TIC (y compris la sauvegarde et la restauration), obligations de notification des incidents TIC graves, tests de résilience numérique, gestion des prestataires de services TIC tiers, y compris les exigences contractuelles, et cadre de surveillance à l’échelle de l’UE pour les services TIC critiques.

À partir de quand le règlement DORA entrera-t-il en vigueur?

L’application du règlement DORA, dit « niveau 1 », a débuté le 17 janvier 2025. Les autorités de surveillance européennes (ABE, AEAPP et AEMF) ainsi que la BaFin accompagnent sa mise en œuvre par des lignes directrices, des normes techniques et des processus nationaux. Le cadre réglementaire est ainsi défini, mais pour les entreprises, cela ne marque que le début d’une transformation en profondeur.

Quel est le lien entre DORA et NIS?

DORA est spécifique à un secteur (le secteur financier) et s’applique directement en tant que règlement. NIS2 est une directive qui a une portée plus large et intersectorielle en matière de cybersécurité. Elle est mise en œuvre au niveau national. Les deux actes juridiques sont interdépendants: DORA fait référence à la coopération avec les structures NIS, et leur contenu est complémentaire.

Quelles organisations sont concernées par le règlement DORA?

Le règlement DORA s’applique largement au secteur financier: Notamment aux établissements de crédit, aux établissements de paiement et de monnaie électronique, aux entreprises d’investissement, aux plateformes de négociation, aux dépositaires centraux, aux contreparties centrales, aux (ré)assureurs, aux intermédiaires d’assurance, aux institutions de retraite professionnelle, aux services de fourniture de données et (selon leur activité) aux prestataires de services cryptographiques, ainsi qu’aux prestataires de services informatiques tiers (y compris les prestataires potentiellement critiques).

En Allemagne, la loi sur la numérisation des marchés financiers (FinmadiG) étendra son champ d’application à d’autres établissements à partir du 1er janvier 2027.

Feuille de route: Ce qui se passera après l’entrée en vigueur

Au cours des mois et des années à venir, d’autres précisions suivront, qui devront être mises en œuvre de manière contraignante par les entreprises financières. Il convient notamment de tenir compte des actes juridiques dits de niveau 2:

Les autorités de surveillance européennes publient en permanence des normes réglementaires telles que les Regulatory Technical Standards (RTS) et les Implementing Technical Standards (ITS). Celles-ci contiennent des exigences concrètes en matière de gestion des risques, d’obligations de déclaration ou de scénarios de test.

En 2025 et 2026, l’accent sera mis sur la mise en œuvre pratique de ces réglementations détaillées. Les entreprises financières et les prestataires de services informatiques tiers devront adapter en conséquence leurs processus internes, leurs systèmes et leurs contrats. Parallèlement, des phases de test et des audits sont prévus, au cours desquels les autorités de surveillance vérifieront le respect des exigences.

Une autre étape importante est le 1er janvier 2027: À partir de cette date, le champ d’application sera élargi par la loi allemande sur la numérisation des marchés financiers (FinmadiG), de sorte que des établissements financiers et des organisations supplémentaires seront soumis au règlement DORA. Il est donc essentiel que les entreprises concernées se préparent à temps.

Leur feuille de route devrait donc inclure les étapes suivantes:

• Mesures immédiates: Réaliser une analyse des lacunes, adapter les structures de gouvernance et clarifier les responsabilités.
• À moyen terme (2025-2026): Mettre en œuvre les RTS/ITS dans des politiques concrètes, créer le registre d’informations pour les prestataires de services tiers, tester les mécanismes de résilience et adapter le
• À long terme (à partir de 2027): Tenir compte de l’élargissement du champ d’application, inclure des domaines supplémentaires et mettre en place des contrôles continus de conformité.

Priorités immédiates pour votre entreprise

Une première étape centrale dans la mise en œuvre du règlement DORA consiste à réaliser une analyse des lacunes DORA suivie d’une feuille de route. Vos normes existantes, telles que BAIT, KAIT ou ZAIT, sont systématiquement comparées aux exigences du règlement. Les lacunes identifiées donnent lieu à un plan d’action qui attribue clairement les responsabilités et constitue la base d’une mise en œuvre structurée.

1. Renforcer la gouvernance

Les entreprises doivent veiller à ce que les responsabilités en matière de risques liés aux TIC soient clairement définies. Cela implique notamment de définir des indicateurs de résilience permettant de mesurer la capacité de résistance.

Parallèlement, il convient de mettre en place des circuits de reporting transparents afin que les informations pertinentes sur les risques, les incidents et les mesures à prendre puissent être transmises à tout moment au niveau de la direction, où les décisions peuvent être prises.

2. Harmoniser la gestion des risques

L’un des objectifs centraux est de concevoir la gestion des risques dans l’entreprise de manière holistique. Cela signifie que la sécurité informatique et la gestion de la continuité des activités (BCM) ne doivent plus être considérées séparément, mais doivent être comprises et exploitées comme un système intégré.

Tous les risques, qu’ils soient de nature technique (par exemple, cybermenaces, pannes de système) ou liés à l’activité (par exemple, interruptions de processus, dépendances vis-à-vis des prestataires de services), sont évalués de manière uniforme et gérés dans le cadre de processus communs. Cela permet de garantir que les plans d’urgence, les mesures de sécurité et les stratégies de redémarrage ne sont pas élaborés de manière isolée, mais coordonnés entre eux.

3. Signaler les incidents

Mettre en place des processus de détection, de classification, d’escalade et de respect des délais de notification (y compris les procédures de crise liées aux technologies de communication). Les entreprises sont tenues de mettre en place une gestion efficace des incidents.

Il est particulièrement important de respecter les délais de notification aux autorités de surveillance. Les procédures de communication de crise, en particulier via les canaux numériques, doivent également être planifiées à l’avance et testées régulièrement afin de pouvoir réagir rapidement et de manière structurée en cas d’urgence.

4. Prestataires tiers et registre d’informations

Leurs contrats doivent être systématiquement adaptés à la DORA, par exemple par des droits d’audit et d’accès clairs et des scénarios de sortie définis. En outre, le règlement exige un registre d’informations complet qui documente toutes les fonctions externalisées, y compris leur caractère critique. Cela permet aux entreprises de garder à tout moment une vue d’ensemble des dépendances et des risques liés à la coopération avec des partenaires externes.

5. Tester la résilience et en déduire des mesures

Cela comprend des contrôles internes, des vérifications techniques et, pour les unités particulièrement critiques, des tests de pénétration basés sur les menaces (TLPT). Les résultats de ces tests ne sont pas une fin en soi, mais doivent être systématiquement traduits en mesures concrètes afin d’améliorer durablement la résilience.

6. Créer une documentation et des preuves

Enfin, le règlement DORA exige des tests cohérents de la résilience numérique. Ces tests doivent être planifiés à l’avance pour les unités concernées et intégrés dans le calendrier annuel afin de renforcer durablement la résistance aux cyberattaques et, par conséquent, la cybersécurité.

Cela implique une documentation complète de tous les processus, mesures et résultats pertinents. Les documents doivent pouvoir être présentés à tout moment aux autorités de contrôle. Parallèlement, les directives internes doivent être mises à jour en permanence afin de tenir compte des modifications des exigences réglementaires, des nouveaux risques et des évolutions techniques.

Quelles sanctions une infraction peut-elle entraîner?

La DORA est plus qu’un simple cadre de recommandations: Elle contient des obligations contraignantes dont le non-respect peut avoir des conséquences importantes. Les entreprises financières ainsi que les prestataires de services informatiques tiers doivent donc s’attendre à des sanctions importantes s’ils enfreignent les règles.

Pour les entreprises financières, les États membres fixent des sanctions administratives et des mesures correctives appropriées. Les autorités de contrôle peuvent, entre autres, prendre des mesures et publier les infractions. Les amendes exactes sont réglementées au niveau national et doivent être efficaces, proportionnées et dissuasives.

Pour les prestataires de services TIC tiers critiques, le contrôleur européen en chef peut infliger des astreintes périodiques pouvant atteindre 1 % du chiffre d’affaires journalier moyen mondial (par jour, max. 6 mois) et ordonner des restrictions de services en cas de risques graves.

Exemple pratique DORA: Cyberattaque contre les services bancaires en ligne

La loi sur la résilience opérationnelle numérique (DORA) oblige les entreprises financières à sécuriser leurs systèmes numériques contre les pannes, les attaques et l’utilisation abusive des données. La gestion des identités et des accès clients (CIAM) répond à ces exigences sur le plan technique en fournissant des accès clients sécurisés et traçables. Des fonctions telles que l’authentification multifactorielle, l’authentification basée sur les risques, la gestion du consentement et les pistes d’audit contribuent directement à la cyber-résilience, à la sécurité d’accès et à la conformité.

En bref, le CIAM n’est pas un objectif DORA en soi, mais un outil technique central pour mettre en œuvre la sécurité et la stabilité des services numériques aux clients exigées par la DORA.

La situation initiale

Imaginons qu’une entreprise financière soit victime d’une attaque par ransomware. Le système bancaire en ligne tombe complètement en panne et les données et accès des clients sont potentiellement compromis.

Réaction selon le règlement DORA

La gestion des risques analyse:

• Les dommages techniques subis par les systèmes concernés
• Les délais de restauration
• Ainsi que les failles de sécurité.

La gestion de la continuité des activités (BCM) examine les conséquences commerciales:

• Communication avec les clients
• Canaux alternatifs
• Et obligations réglementaires de déclaration.

Les plans d’urgence s’appliquent en parallèle. Ceux-ci comprennent une procédure technique et organisationnelle visant à garantir le fonctionnement et la conformité.

L’avantage d’un (C)IAM

• L’authentification multifactorielle et la détection des fraudes rendent les accès non autorisés plus difficiles.
• La détection des botnets bloque les attaques automatisées.
• La gestion centralisée des identités et des accès permet une classification rapide des comptes compromis et une restauration sécurisée des accès utilisateurs.
• Le reporting et l’audit continus permettent une traçabilité complète des autorisations d’accès, détectent les anomalies et soutiennent les processus de restauration.

Avantages dans le contexte DORA

Le cidaas (C) IAM renforce la résilience numérique:

• Protection contre les attaques grâce à des solutions modernes d’identité et d’accès.
• Canaux clients stables et sécurisés, même en cas de crise.
• Respect des exigences de conformité du règlement DORA grâce à des processus de sécurité et de notification intégrés.

Règlement DORA et cidaas – Identité, résilience et conformité réunies

Dans le cadre du règlement DORA, la résilience numérique dans le secteur financier est abordée de manière globale. Les mesures d’authentification, de contrôle d’accès et de gestion des identités gagnent ainsi en importance stratégique.

Une plateforme (C)IAM telle que cidaas peut jouer ici un rôle clé: Elle permet une gestion sécurisée et standardisée des identités numériques sur tous les canaux, renforçant ainsi la gestion des risques et la résilience de l’entreprise.

cidaas s’appuie sur des normes établies telles que OAuth 2.0 et OpenID Connect, combinées à l’authentification multifactorielle, la détection des fraudes et la détection des botnets, afin de détecter et de bloquer à un stade précoce les accès non autorisés.

cidaas offre des avantages particuliers aux entreprises financières qui, outre le règlement DORA, doivent également satisfaire aux exigences de la PSD2, de la NIS2 ou d’autres réglementations: Il favorise à la fois la conformité et une expérience client positive, sans entrer en conflit avec les exigences en matière de sécurité et d’intégrité des données.

De plus, cidaas peut contribuer à sécuriser de manière résiliente les interfaces des prestataires de services tiers, un élément important de la directive DORA dans le cadre de la gestion des fonctions TIC externalisées. Une plateforme d’identité centralisée permet de contrôler de manière plus transparente quels utilisateurs, systèmes ou partenaires sont autorisés à accéder aux ressources critiques.
Les incidents peuvent ainsi être classés et signalés plus efficacement.

cidaas renforce la résilience numérique de votre entreprise en mettant en œuvre les spécifications techniques de l’authentification moderne tout en favorisant la conformité au règlement DORA – un effet synergique entre résilience, réglementation et sécurité opérationnelle.

Vous avez des questions sur cidaas ou sur les possibilités qui s’offrent à votre entreprise dans le secteur financier? N’hésitez pas à nous contacter!