DORA : nouvelles règles IT pour le secteur financier

Le règlement DORA (Digital Operational Resilience Act) est entré en vigueur en janvier 2025. Il impose aux acteurs du secteur financier des exigences strictes en matière de résilience opérationnelle numérique. Si vous travaillez dans la finance ou êtes prestataire IT de ce secteur, vous êtes concerné.

Solutions d'hébergement sécurisé

Qu'est-ce que DORA ?

DORA est un règlement européen (pas une directive, donc directement applicable) qui vise à harmoniser et renforcer les exigences de résilience numérique dans le secteur financier.

Contrairement à d'autres réglementations sectorielles, DORA adopte une approche globale : elle couvre non seulement les entités financières elles-mêmes, mais aussi leurs prestataires de services IT critiques.

Qui est concerné ?

Les entités financières

DORA s'applique à quasiment tout le secteur financier :

• Établissements de crédit (banques)
• Entreprises d'investissement
• Établissements de paiement et de monnaie électronique
• Compagnies d'assurance et de réassurance
• Gestionnaires de fonds (OPCVM, FIA)
• Prestataires de services sur crypto-actifs
• Plateformes de financement participatif
• Dépositaires centraux de titres
• Contreparties centrales

Les prestataires IT critiques

Nouveauté majeure : DORA encadre directement les prestataires de services TIC (Technologies de l'Information et de la Communication) considérés comme critiques pour le secteur financier. Cela inclut potentiellement :

• Les fournisseurs de cloud
• Les éditeurs de logiciels financiers
• Les hébergeurs
• Les fournisseurs de services de paiement

Ces prestataires peuvent être soumis à une surveillance directe par les autorités européennes.

Les cinq piliers de DORA

1. Gestion des risques liés aux TIC

Les entités financières doivent mettre en place un cadre de gestion des risques IT complet :

• Identification et classification des actifs IT
• Évaluation continue des risques
• Mesures de protection adaptées
• Capacités de détection des anomalies
• Plans de réponse et de reprise

2. Gestion des incidents

Un processus structuré de gestion des incidents IT est obligatoire :

• Procédures de détection et de classification
• Notification aux autorités dans des délais précis
• Documentation et analyse post-incident
• Communication aux clients si nécessaire

3. Tests de résilience

Des tests réguliers doivent valider la résilience des systèmes :

• Tests de vulnérabilité
• Tests de pénétration (pentest)
• Tests de scénarios de crise
• Pour les entités importantes : tests de pénétration avancés (TLPT - Threat-Led Penetration Testing)

4. Gestion des tiers

C'est l'un des aspects les plus impactants de DORA. Les entités financières doivent :

• Cartographier tous leurs prestataires IT
• Évaluer les risques de chaque prestataire
• Inclure des clauses contractuelles spécifiques
• Disposer de plans de sortie
• Surveiller en continu les prestataires critiques

5. Partage d'informations

DORA encourage le partage d'informations sur les cybermenaces entre entités financières, dans un cadre sécurisé.

Impact sur le choix des hébergeurs

DORA a des implications directes sur le choix des prestataires cloud et d'hébergement par les acteurs financiers.

Exigences contractuelles renforcées

Les contrats avec les prestataires IT doivent inclure des clauses obligatoires :

• Description claire des services et niveaux de service
• Localisation du traitement des données
• Mesures de sécurité et de protection des données
• Droits d'audit et d'inspection
• Obligations de notification des incidents
• Plans de continuité et de sortie

Concentration des risques

DORA impose d'évaluer le risque de concentration : si trop d'acteurs financiers utilisent le même prestataire cloud, une défaillance de ce prestataire pourrait avoir un impact systémique.

Cela peut conduire à diversifier les hébergeurs ou à privilégier des acteurs de taille modérée plutôt que les hyperscalers dominants.

Surveillance des prestataires critiques

Les prestataires IT jugés critiques pour le secteur financier européen seront soumis à une surveillance directe par les autorités européennes (via un "Lead Overseer"). Ils devront respecter des exigences spécifiques et se soumettre à des inspections.

Calendrier et sanctions

Entrée en vigueur

DORA est entré en vigueur le 17 janvier 2025. Les entités financières et leurs prestataires doivent être en conformité à cette date.

Sanctions

Les autorités nationales compétentes (ACPR en France pour les banques et assurances, AMF pour les marchés) peuvent prononcer :

• Des injonctions de mise en conformité
• Des sanctions pécuniaires (jusqu'à 2% du CA pour les entités, 1% du CA mondial quotidien pour les prestataires critiques)
• Des sanctions personnelles contre les dirigeants

Actions concrètes pour se conformer

Si vous êtes une entité financière

1. Cartographiez vos prestataires IT et évaluez leur criticité
2. Révisez vos contrats pour inclure les clauses DORA
3. Mettez à jour votre cadre de gestion des risques IT
4. Préparez vos procédures de notification d'incidents
5. Planifiez vos tests de résilience

Si vous êtes prestataire IT du secteur financier

1. Anticipez les demandes de vos clients (audits, clauses contractuelles)
2. Renforcez votre documentation (politiques de sécurité, PCA, procédures)
3. Obtenez des certifications (ISO 27001, SOC 2)
4. Préparez-vous à une surveillance potentielle si vous êtes jugé critique

Conclusion

DORA représente un changement majeur pour le secteur financier européen et ses prestataires IT. La réglementation impose une approche structurée de la résilience numérique, avec une attention particulière portée aux risques liés aux tiers.

Pour les entités financières, c'est l'occasion de professionnaliser leur gestion des risques IT. Pour les prestataires, c'est une opportunité de se différencier par leur conformité et leur fiabilité.

Le choix d'hébergeurs et de prestataires de confiance, capables de répondre aux exigences contractuelles de DORA, devient un enjeu stratégique.

Découvrir l'hébergement Infomaniak