{"id":4935,"date":"2023-11-11T05:47:28","date_gmt":"2023-11-11T10:47:28","guid":{"rendered":"https:\/\/proyacorp.ca\/the-four-main-principles-of-dora-regulation-a-blueprint-for-financial-system-resilience\/"},"modified":"2023-11-11T05:50:01","modified_gmt":"2023-11-11T10:50:01","slug":"les-quatre-grands-principes-de-la-reglementation-dora-un-modele-pour-la-resilience-du-systeme-financier","status":"publish","type":"post","link":"https:\/\/proyacorp.ca\/fr\/les-quatre-grands-principes-de-la-reglementation-dora-un-modele-pour-la-resilience-du-systeme-financier\/","title":{"rendered":"Les quatre grands principes de la r\u00e9glementation DORA\u00a0: un mod\u00e8le pour la r\u00e9silience du syst\u00e8me financier"},"content":{"rendered":"\n
\n

Le r\u00e8glement europ\u00e9en dit DORA (Digital Operational Resilience Act) est entr\u00e9 en vigueur au d\u00e9but de cette ann\u00e9e et sera appliqu\u00e9 par tous les \u00c9tats membres le 17 janvier 2025. A cette date, les acteurs financiers, au sens le plus large, devront r\u00e9pondre de nouvelles obligations organis\u00e9es en cinq piliers, con\u00e7ues pour favoriser leur r\u00e9silience num\u00e9rique et le syst\u00e8me financier dans son ensemble. Compte tenu de l\u2019imminence de cette \u00e9ch\u00e9ance, des mesures rapides doivent \u00eatre prises d\u00e8s aujourd\u2019hui.<\/p>\n<\/blockquote>\n\n\n\n

En 2008, le monde a \u00e9t\u00e9 secou\u00e9 par une crise financi\u00e8re d’une ampleur sans pr\u00e9c\u00e9dent, d\u00e9passant la gravit\u00e9 des bouleversements importants du pass\u00e9, tels que le fameux jeudi noir de 1929. Le syst\u00e8me financier mondial, entrelac\u00e9 par des connexions complexes et domin\u00e9 par des acteurs influents sur de multiples march\u00e9s, a succomb\u00e9 \u00e0 un effet domino dans lequel l\u2019effondrement d\u2019une institution a rapidement d\u00e9clench\u00e9 la chute des autres. Aujourd’hui, le monde hyper-num\u00e9rique des institutions financi\u00e8res constitue une menace encore plus grande : si le syst\u00e8me d’information d’un acteur cl\u00e9 venait \u00e0 tomber en panne, l’effondrement du syst\u00e8me pourrait \u00eatre quasi instantan\u00e9 et d’une ampleur sans pr\u00e9c\u00e9dent.<\/p>\n\n\n\n

Dans ce contexte, le Digital Operational Resilience Act (DORA) vise \u00e0 garantir la r\u00e9silience des institutions financi\u00e8res et de leurs tiers associ\u00e9s dans un secteur 100% num\u00e9rique et soumis \u00e0 des cybermenaces constantes. DORA est un nouveau r\u00e8glement europ\u00e9en qui impose aux entreprises et organisations du secteur financier de g\u00e9rer toutes les composantes de la r\u00e9silience op\u00e9rationnelle : la capacit\u00e9 \u00e0 prot\u00e9ger, d\u00e9tecter, contenir, r\u00e9cup\u00e9rer et r\u00e9parer les incidents TIC.<\/p>\n\n\n\n

Au total, ce ne sont pas moins de 22 000 organisations qui seront impact\u00e9es par cette r\u00e9glementation.<\/p>\n\n\n\n

Pour r\u00e9pondre aux obligations impos\u00e9es par la DORA, les institutions financi\u00e8res et leurs tiers doivent mettre en \u0153uvre et documenter une s\u00e9rie de mesures autour de leurs Technologies de l’Information et de la Communication (TIC) qui peuvent \u00eatre cat\u00e9goris\u00e9es en 4 grands th\u00e8mes. D\u2019ici le 17 janvier 2025, ces 22 000 entreprises doivent s\u2019assurer que tous les pr\u00e9paratifs n\u00e9cessaires sont en place pour remplir leurs obligations en vertu de ces lignes directrices.<\/p>\n\n\n\n

1 – Mettre en place un syst\u00e8me de gestion des risques TIC (Pilier 1)<\/h2>\n\n\n\n

Le premier pilier du DORA est le plus important : il sert de fondation dont d\u00e9rivent tous les autres \u00e9l\u00e9ments. C’est aussi l’un des plus complexes, car il n\u00e9cessite une approche globale bas\u00e9e sur une connaissance fine de l’entreprise, de ses op\u00e9rations et de ses processus (notamment les plus critiques), et surtout de son architecture technologique (syst\u00e8mes et applications supportant ces processus). ).<\/p>\n\n\n\n

Une fois ce syst\u00e8me de gestion des risques mis en place, la DORA impose une obligation de contr\u00f4le, qui peut \u00eatre effectu\u00e9e en continu ou \u00e0 des fr\u00e9quences pr\u00e9d\u00e9finies. Ces contr\u00f4les tr\u00e8s d\u00e9taill\u00e9s couvrent les aspects commerciaux et proc\u00e9duraux, ainsi que la couche technologique, jusqu’\u00e0 la plus petite application impliqu\u00e9e dans un processus critique. Si la plupart des institutions financi\u00e8res disposent d\u00e9j\u00e0 de tels contr\u00f4les, il convient de noter que des contr\u00f4les informatiques sp\u00e9cifiques au DORA seront n\u00e9cessaires pour assurer la pleine conformit\u00e9 \u00e0 cette nouvelle r\u00e9glementation.<\/p>\n\n\n\n

Dans un sens plus large, il y aura un besoin accru d’une collaboration plus \u00e9troite entre les \u00e9quipes de risque et de contr\u00f4le et le service informatique.<\/p>\n\n\n\n

2 – Identifier et contr\u00f4ler les tiers (Pilier 5)<\/h2>\n\n\n\n

Conscient de la complexit\u00e9 croissante des syst\u00e8mes d\u2019information financi\u00e8re et de leur multitude d\u2019entit\u00e9s, d\u2019applications et d\u2019infrastructures, le r\u00e9gulateur europ\u00e9en a \u00e9largi le champ des obligations de prudence aux services tiers int\u00e9gr\u00e9s au sein de ces architectures. Cela englobe non seulement les partenaires commerciaux qui sont intrins\u00e8quement soumis au DORA, mais \u00e9galement tous les partenaires technologiques.<\/p>\n\n\n\n

Les \u00e9diteurs d’applications, les fournisseurs de cloud et autres fournisseurs de services g\u00e9r\u00e9s (MSP) seront impact\u00e9s par la nouvelle r\u00e9glementation europ\u00e9enne. Plus pr\u00e9cis\u00e9ment, concernant les termes de l\u2019accord de niveau de service (SLA) et la s\u00e9curit\u00e9 qu\u2019ils offrent. De plus, il sera crucial d\u2019\u00e9tablir des plans d\u2019urgence pour des tiers de substitution en cas de panne du syst\u00e8me ou de failles de s\u00e9curit\u00e9.<\/p>\n\n\n\n

La concentration des services au sein d\u2019un seul tiers peut constituer un risque en soi : que se passe-t-il si le principal (voire le seul) fournisseur de services cloud est attaqu\u00e9 ? C\u2019est pourquoi il peut \u00eatre int\u00e9ressant pour les institutions financi\u00e8res de d\u00e9velopper une strat\u00e9gie multi-fournisseurs pour limiter les risques (et les dommages) en cas d\u2019attaque ou de d\u00e9faillance d\u2019un tiers cl\u00e9.<\/p>\n\n\n\n

3 – Testez r\u00e9guli\u00e8rement vos capacit\u00e9s de continuit\u00e9 (Pilier 3)<\/h2>\n\n\n\n

La conscience du risque dans le secteur financier n\u2019a rien de nouveau. La continuit\u00e9 des activit\u00e9s et la menace d\u2019un effet domino ont conduit la plupart des institutions \u00e0 \u00e9laborer des plans d\u2019urgence pour leurs processus cl\u00e9s. Ce sont des solutions utiles, voire vitales, \u00e0 condition qu’elles soient r\u00e9guli\u00e8rement test\u00e9es pour garantir qu’elles continueront \u00e0 fonctionner correctement lorsque les situations se d\u00e9t\u00e9riorent.<\/p>\n\n\n\n

Les capacit\u00e9s de cybers\u00e9curit\u00e9 doivent \u00eatre constamment test\u00e9es et mises \u00e0 jour pour contrer les cybermenaces en constante \u00e9volution. La cybers\u00e9curit\u00e9 est une discipline vivante qui n\u00e9cessite des tests et des mises \u00e0 jour continus dans cette qu\u00eate incessante de protection des donn\u00e9es sensibles et des actifs num\u00e9riques. Pour les institutions financi\u00e8res, l\u2019imp\u00e9ratif consiste \u00e0 \u00e9tablir un plan d\u2019investissement continu et \u00e0 favoriser une v\u00e9ritable agilit\u00e9 pour maintenir des syst\u00e8mes de cybers\u00e9curit\u00e9 de pointe afin de se prot\u00e9ger contre les logiciels malveillants les plus r\u00e9cents et les plus sophistiqu\u00e9s.<\/p>\n\n\n\n

4 – Signaler et partager les incidents (Pilier 2 et 4)<\/h2>\n\n\n\n

Enfin, le DORA – \u00e0 l’instar du r\u00e8glement RGPD mis en place il y a quelques ann\u00e9es – impose une nouvelle obligation aux acteurs du secteur financier : tenir un registre complet des incidents servant de piste d’audit fiable en cas de contr\u00f4le r\u00e9glementaire. Mais pas seulement, en cas d’incident majeur, ce registre servira de preuve que des actions pr\u00e9ventives ont \u00e9t\u00e9 mises en \u0153uvre de mani\u00e8re proactive pour assurer la r\u00e9sistance du SI et sa r\u00e9silience op\u00e9rationnelle globale.<\/p>\n\n\n\n

Parall\u00e8lement, les incidents majeurs doivent \u00eatre signal\u00e9s aux autorit\u00e9s de contr\u00f4le. Au-del\u00e0 de l\u2019identification des risques potentiels de propagation, l\u2019objectif principal est de constituer une base de connaissances sur les cyberattaques, les actes malveillants et les menaces. Cette base de connaissances peut ensuite \u00eatre partag\u00e9e avec les acteurs du secteur pour identifier les meilleures pratiques pouvant \u00eatre d\u00e9ploy\u00e9es pour limiter l’impact de telles menaces.<\/p>\n\n\n\n

Ce partage de connaissances clair et facile \u00e0 comprendre s\u2019applique \u00e9galement en interne, en \u00e9tablissant un cadre de communication compr\u00e9hensible par la plupart des collaborateurs. Il est important de reconna\u00eetre que la r\u00e9silience op\u00e9rationnelle est l\u2019affaire de tous. Cela vaut pour les parties prenantes cl\u00e9s telles que la Direction G\u00e9n\u00e9rale, la Direction des Risques (souvent fusionn\u00e9e avec la Direction de la Continuit\u00e9 d’Activit\u00e9), la Direction des Syst\u00e8mes d’Information ou de la S\u00e9curit\u00e9 des Syst\u00e8mes d’Information et la Direction des Achats.<\/p>\n\n\n\n

M\u00eame si la r\u00e9silience op\u00e9rationnelle et la cybers\u00e9curit\u00e9 restent \u00e9minemment techniques sur le fond, les cons\u00e9quences d\u2019un incident s\u2019\u00e9tendent bien au-del\u00e0 des limites de l\u2019entreprise, en raison de l\u2019effet d\u2019entra\u00eenement potentiel. La r\u00e9silience des syst\u00e8mes d’information et la r\u00e9silience globale des entreprises sont devenues des pr\u00e9occupations hautement strat\u00e9giques qui trouvent d\u00e9sormais leur place dans les discussions des comit\u00e9s de direction, m\u00eame<\/p>\n","protected":false},"excerpt":{"rendered":"

Le r\u00e8glement europ\u00e9en dit DORA (Digital Operational Resilience Act) est entr\u00e9 en vigueur au d\u00e9but de cette ann\u00e9e et sera appliqu\u00e9 par tous les \u00c9tats membres le 17 janvier 2025. A cette date, les acteurs financiers, au sens le plus large, devront r\u00e9pondre de nouvelles obligations organis\u00e9es en cinq piliers, con\u00e7ues pour favoriser leur r\u00e9silience […]<\/p>\n","protected":false},"author":1,"featured_media":4933,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[100],"tags":[],"class_list":["post-4935","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-non-classifiee"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/posts\/4935","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/comments?post=4935"}],"version-history":[{"count":1,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/posts\/4935\/revisions"}],"predecessor-version":[{"id":4937,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/posts\/4935\/revisions\/4937"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/media\/4933"}],"wp:attachment":[{"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/media?parent=4935"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/categories?post=4935"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/proyacorp.ca\/fr\/wp-json\/wp\/v2\/tags?post=4935"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}