5 étapes à suivre pour être prêt pour la date limite de l'année prochaine
Le règlement DORA est appelé à transformer le secteur des services financiers en renforçant la cybersécurité et la résilience opérationnelle dans toute l'UE. Stephen McDermid d'Okta explique ce que le règlement DORA signifie pour le secteur financier et pourquoi de nombreuses entreprises se tournent vers l'automatisation pour gérer les couches complexes de réglementation et de conformité.
Les entreprises de services financiers à travers l'Europe comptent les mois et les jours jusqu'à l'entrée en vigueur de DORA — la loi sur la résilience opérationnelle numérique de la Commission européenne.
Le 17 janvier 2025, la période de préparation de 24 mois prendra fin et toutes les sociétés de services financiers devront se conformer à la réglementation DORA.
Qu’est-ce que le règlement DORA ?
Introduite en réponse à la recrudescence des cybermenaces, DORA vise à garantir que les établissements financiers peuvent résister aux perturbations numériques, y répondre et s'en remettre, afin de protéger le système financier au sens large. DORA est conçu pour harmoniser les programmes de gouvernance existants sous une seule tutelle de surveillance dans toute l'UE.
L'impact de DORA
Après avoir travaillé en étroite collaboration avec les équipes de sécurité des services financiers et les organismes de réglementation, j'ai constaté un changement dans la façon dont les entreprises abordent la cyber-résilience et la protection, en particulier à la lumière du règlement sur la résilience opérationnelle numérique (DORA).
Aujourd'hui, il est nécessaire de se concentrer sur la réduction des risques dans les chaînes d'approvisionnement numériques. Nous devons nous assurer que la direction et la gouvernance sont bien préparées à répondre aux préoccupations concernant la cybersécurité, les violations potentielles et les vulnérabilités.
C'est un changement important, et il arrive au bon moment. De récents incidents de cybersécurité mettent en évidence les risques critiques associés aux compromissions de la chaîne d'approvisionnement et à l'accès de tiers.
DORA vise à mettre ces questions en évidence pour les conseils d'administration et les directeurs financiers, ce qui leur permettra de mettre en place les structures de gouvernance adéquates et, plus important encore, la capacité de réagir efficacement en cas d'incident.
Couches complexes de réglementations à gérer
Nous vivons et opérons dans un environnement réglementaire de plus en plus complexe. DORA n'est qu'une des nombreuses réglementations à venir, notamment NIS2 et le Cyber Resilience Act (CRA). La gestion de la conformité est un défi, et les entreprises se tournent désormais vers l'automatisation pour gérer la charge croissante d'analyse, de validation et d'audit requise. Dans notre récent rapport Businesses at Work 2024, nous avons constaté que la croissance des outils de conformité des données a atteint 120 % d'une année sur l'autre.
Comment progresser vers la conformité DORA
Lorsqu'il s'agit d'identifier les principales lignes de fracture de leurs chaînes d'approvisionnement numériques, les entreprises reconnaissent de plus en plus que, si la prévention est vitale, il est tout aussi important de mettre en place des tests et une validation robustes des contrôles. Des incidents se produiront, et la clé pour atténuer leur impact réside dans une préparation minutieuse.
Voici mes conseils sur la façon de se préparer à la conformité DORA bsp:
- Identifiez les principaux fournisseurs et collaborez avec eux par le biais de la planification de scénarios et de simulations. De tels efforts aident les organisations à comprendre les impacts potentiels et à élaborer des plans d'urgence.
- Testez et améliorez continuellement vos plans d'urgence grâce à l'analyse des données et à l'analyse comparative par rapport aux normes de l'industrie.
- Assurez-vous d'avoir mis en place des programmes de résilience opérationnelle et de risque tiers. Harmonisez ces programmes existants avec les réglementations du règlement DORA et déterminez les lacunes.
- Tenez-vous au courant des consultations et des projets de documents diffusés en préparation de ces exigences relatives aux normes techniques réglementaires (Regulatory Technical Standards - RTS).
- Le moment est venu de collaborer avec des partenaires et des collègues pour comprendre comment les autres relèvent ces défis, en facilitant le partage des connaissances et la collaboration.
La conformité est essentielle
Les établissements financiers qui ne respectent pas DORA s’exposent à de lourdes sanctions, notamment des amendes, l’obligation d’accorder l’accès aux données à des fins d’enquête, voire l’obligation de cesser leurs activités.
Pour les fournisseurs tiers essentiels desservant les institutions de services financiers, les enjeux sont tout aussi élevés. La non-conformité pourrait entraîner des pénalités de 1 % du chiffre d'affaires quotidien moyen mondial du fournisseur de l'année précédente, appliquées quotidiennement jusqu'à ce que la conformité soit atteinte, pour une durée maximale de six mois.
Et, bien sûr, les cyberattaques et les violations peuvent avoir un impact négatif sur la confiance des investisseurs et la réputation du marché. La confiance prend des années à construire, mais peut être perdue en un instant.
DORA représente une étape réglementaire importante pour les entreprises de services financiers, vous obligeant à adopter une approche plus globale et intégrée de la cyber-résilience et de la gouvernance opérationnelle. Inutile de dire que DORA est rigoureux, mais rigoureux pour de très bonnes raisons. Bien que l'investissement dans la conformité à DORA puisse être important et nécessiter des ressources considérables, les répercussions d'une erreur peuvent être exponentiellement plus importantes.
Pour en savoir plus sur l'identité numérique et le règlement DORA
L'identité numérique est au cœur de DORA. Pour être conforme à DORA, les organisations de services financiers doivent mettre en œuvre des outils robustes de gestion des identités et d'authentification afin d'améliorer le contrôle d'accès et de renforcer la sécurité des opérations et des transactions. Avec un nombre incroyable de 86 % des attaques d'applications web qui remontent à des informations d'identification compromises, il est facile de comprendre pourquoi.
Pour découvrir comment l'identité numérique impacte DORA, votre sécurité et la sécurité de vos clients, lisez le livre blanc Okta «Le rôle de l'identité numérique dans DORA ».
