Expertises des Systèmes d'information - Juillet 2022 - N°481 - Le mensuel du droit de l'informatique et du multimédia - 272

DOCTR INE
CYBERSÉCURITÉ
DORA : pour une résilience
opérationnelle informatique
du secteur financier
Le projet de règlement européen DORA a pour
objectif de renforcer la résilience opérationnelle
informatique des acteurs des services financiers
afin de permettre au secteur financier européen
de maintenir des opérations résilientes en cas
de perturbation opérationnelle grave. Quels sont
les points clés du projet DORA et comment s'y
préparer ?
L
e 10 mai dernier, le Conseil
de l'Union européenne et
le Parlement européen sont
parvenus à un accord provisoire
sur la proposition de règlement
sur la résilience opérationnelle
informatique du secteur financier
dit « DORA » (Digitial Operational
Resilience Act). Dans les prochains
mois, la proposition fera l'objet de
discussions entre les différentes
instances européennes et une
version finale du règlement pourrait
être adoptée d'ici la fin de l'année
2022. Cet article revient sur la notion
de risque opérationnel avant de
présenter les points clés à retenir du
projet DORA et comment s'y préparer.
Qu'est-ce que le risque
opérationnel à l'ère
numérique ?
Les accords de Bâle II1
ont introduit
la notion de risque opérationnel
de « pertes provenant de processus
internes inadéquats ou défaillants,
de personnes et systèmes ou d'évènements
externes » au sein du
dispositif prudentiel destiné à mieux
appréhender les risques bancaires.
272
Cette notion a pris une dimension
particulièrement importante au fil
de l'accroissement de la dépendance
du secteur financier aux
technologies de l'information et de
la communication, en anglais
« ICT » (Information and Communications
Technology). En effet,
la place centrale et stratégique
des ICT dans le fonctionnement
du système bancaire moderne a
augmenté de manière exponentielle
les risques opérationnels liés
aux incidents informatiques dont
les impacts de plus en plus conséquents
sont en mesure d'affaiblir les
opérations d'une chaîne de services
financiers.
Ces risques sont aujourd'hui
démultipliés compte tenu de
l'exposition
grandissante
aux
menaces (et actes) de cybermalveillance
à l'échelle mondiale.
En outre, les risques de contaminations
en cas d'incident sont
susceptibles d'être accrus par le
recours à l'externalisation auprès
de prestataires de services ICT car
de nombreuses organisations font
appel aux mêmes prestataires.
EXPERTISES JUILLET 2022
Quels sont les objectifs du
projet de règlement DORA ?
Dans ce contexte, DORA a pour
objectif de renforcer la résilience
opérationnelle informatique des
acteurs des services financiers
pour permettre au secteur financier
européen de maintenir des
opérations résilientes en cas de
perturbation opérationnelle grave.
L'essence de DORA se divise
en cinq principales exigences
couvrant de multiples aspects ICT
et cybersécurité : (1)
la mise en
place d'une gouvernance renforcée
sous la responsabilité de la
direction pour la gestion efficace
des risques liés aux ICT (les entités
devront notamment identifier,
classer et documenter les fonctions
liées aux ICT pour prévenir
les risques) ; (2) l'amélioration de la
gestion des incidents liés aux ICT,
et notamment pour répondre aux
exigences de reporting vers une
instance européenne unique (y
compris notification des incidents
majeurs) ; (3) la réalisation de
tests de résilience opérationnelle

Expertises des Systèmes d'information - Juillet 2022 - N°481 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Juillet 2022 - N°481 - Le mensuel du droit de l'informatique et du multimédia