Réglementation DORA : le guide complet pour les banques et assurances

Face à une digitalisation accélérée, les institutions financières, en particulier les banques et compagnies d'assurance, sont plus que jamais exposées aux cybermenaces. Une attaque informatique peut compromettre la continuité d’un service bancaire ou entraîner une fuite massive de données sensibles.

C’est dans ce contexte qu’intervient le Digital Operational Resilience Act (DORA), une réglementation européenne qui impose un cadre structurant pour faire face aux cybermenaces. Quelles sont les obligations qu’il introduit ? Qui est concerné ? Et comment s’y préparer ?

Qu’est-ce que la directive DORA ? Objectifs et portée

Le Digital Operational Resilience Act (DORA) est conçu pour protéger les systèmes informatiques des entreprises du secteur financier contre les incidents de sécurité informatique. Il impose aux entités financières de mettre en place un cadre de gestion des risques TIC détaillé, incluant :

• la priorisation des risques,
• l'élaboration de stratégies de continuité,
• la mise en œuvre de tests réguliers de résilience.

Tout incident majeur doit être suivi d'une notification rapide aux autorités compétentes, assurant ainsi une réponse coordonnée.

Qui est concerné par ce règlement ?

DORA cible en priorité les entités financières de l’Union européenne, qualifiées de “critiques”, à commencer par les banques, assureurs et gestionnaires d’actifs, en raison de leur rôle central dans la stabilité économique et monétaire. Concrètement, sont directement concernés :

• les banques,
• les compagnies d’assurance,
• les gestionnaires d’actifs,
• les entreprises d’investissement,
• les prestataires de services sur crypto-actifs.

DORA s’étend également aux prestataires tiers de services TIC (cloud, infogérance, etc.) qui fournissent des fonctions dites “critiques” aux acteurs financiers.

Par exemple, une banque utilisant des services de cloud computing doit s'assurer que son fournisseur respecte les normes de sécurité DORA, notamment en termes de notification des incidents et de tests réguliers de résilience.

Pour ces acteurs, ignorer ou retarder la mise en conformité n’est pas sans conséquences.

Quelles sanctions en cas de non-conformité à DORA ?

Les autorités compétentes nationales, en coordination avec les régulateurs européens (EBA, ESMA, EIOPA), disposent de pouvoirs de sanction élargis, incluant :

• des amendes administratives pouvant atteindre plusieurs millions d’euros, notamment en cas de défaillance dans la notification des incidents ou dans la gestion des tiers,
• la suspension temporaire ou définitive de certaines activités en cas de risque systémique avéré,
• des sanctions disciplinaires pour les dirigeants responsables.

À cela s’ajoutent des risques réputationnels majeurs, car une faille de sécurité mal gérée peut fortement dégrader la relation client et nuire à la confiance des marchés.

Anticiper les exigences DORA, c’est donc aussi préserver son image de marque.

Quelles sont les exigences pour la conformité DORA ?

Renforcement de la cybersécurité

Pour les banques et compagnies d’assurance, la cybersécurité n’est plus qu’un simple enjeu technique : c’est une priorité stratégique. DORA impose la mise en place d’une politique de sécurité solide, couvrant l’intégrité, la confidentialité et la disponibilité des données.

Cela passe par des audits réguliers, le renforcement des dispositifs d’authentification (notamment multi-facteur), et une sensibilisation continue des collaborateurs, essentielle pour minimiser les erreurs humaines, ce qui constitue une autre obligation clé sous DORA.

Assurer la résilience opérationnelle

Garantir la résilience opérationnelle passe par la mise en place de plans de continuité des activités, s’appuyant sur des stratégies, des politiques, des procédures, des protocoles et des outils de TIC. Ces plans doivent couvrir divers scénarios d'incidents et inclure des sauvegardes régulières des données critiques afin de permettre leur restauration post-incident et ainsi garantir la résilience.

La collaboration inter-départements et la réalisation de tests fréquents, notamment des tests d’intrusion (aussi appelés “pentest”), permettent d'identifier et de corriger les faiblesses potentielles.

Quels sont les impacts pour les entreprises du secteur de la banque et de l'assurance ?

 La mise en œuvre de DORA requiert des investissements significatifs, car les entreprises doivent allouer des ressources pour le cadre de gestion des risques TIC et constituer des équipes dédiées à la réponse rapide aux incidents.

Conséquences sur les activités opérationnelles

Les banques et assurances doivent donc renforcer leurs systèmes de surveillance et de détection des incidents, (nécessitant des mises à jour fréquentes et une vigilance constante des équipes IT), revoir les contrats avec les prestataires de services TIC pour assurer le respect des exigences de DORA et enfin prévoir un processus de formation continue du personnel sur les nouvelles procédures de sécurité, indispensable pour éviter au maximum les failles d’origine humaine.

Calendrier et mise en application

La mise en application de DORA ayant débuté le 17 janvier 2025, les entités financières doivent se mettre en conformité dès à présent, notamment via la mise en place des systèmes et processus requis, et en se préparant aux audits de conformité.

Les grandes étapes de mise en œuvre

Tout d'abord, les entités doivent cartographier leurs systèmes informatiques pour identifier les fonctions critiques.

Ensuite, elles doivent établir des protocoles de gestion des incidents, réaliser des tests de résilience, et gérer les relations avec leurs prestataires en incluant des clauses de sécurité strictes dans les contrats.

Ces étapes permettent de garantir la capacité à prévenir, détecter et répondre efficacement aux menaces.

Délais à respecter

Pour assurer sa conformité dans le temps, des tests d’intrusion doivent être réalisés au moins tous les trois ans. De plus, tout incident majeur qui surviendrait doit être signalé à l’ACPR dans les 24 heures suivant sa détection, puis faire l’objet d’un rapport de suivi dans les 72 heures et enfin d’un rapport final dans un délai d'un mois.

DORA : une réglementation complémentaire à d’autres

La réglementation DORA complète les cadres législatifs existants, comme NIS 2 et MiFID II, mais en apportant des exigences particulières pour le secteur financier. Chaque réglementation a donc son propre rôle et comporte des spécificités :

• DORA : Spécifique au secteur financier. Exige des tests de pénétration, audits fournisseurs, continuité d’activité.
• NIS 2 : Vise l’ensemble des infrastructures critiques. Moins sectorisé, mais obligations similaires sur la gestion des risques.
• MiFID II : Cadre financier général. Se concentre sur la transparence des opérations, pas sur la résilience numérique.
• FIDA : Nouvellement adopté, ce règlement s’inscrit dans le cadre de l’Open Finance. Il impose aux institutions financières de partager les données financières des clients avec des tiers autorisés, dans un cadre sécurisé et standardisé.

DORA vient donc compléter ces dispositifs, en apportant une approche opérationnelle et sectorielle à la cybersécurité.

Elle impose une véritable transformation dans la manière dont les institutions financières conçoivent la résilience numérique.

Bien que centré sur le secteur financier, DORA pourrait faire école dans d'autres domaines, face à la montée des menaces cyber.