Forrester logo
Ivalua
Ivalua - Bannière

Introduction au règlement relatif à la loi sur la résilience opérationnelle numérique (DORA)


Par 

  |  

  |  

À une époque où les cybermenaces et les perturbations opérationnelles se multiplient, l’Union européenne a pris une mesure importante pour protéger son secteur financier avec l’introduction de la loi DORA.

Le Digital Operational Resilience Act (DORA) est un règlement conçu pour améliorer la cybersécurité et la résilience opérationnelle des institutions financières et des fournisseurs de services TIC dans l’UE, tels que les banques, les compagnies d’assurance et les entreprises d’investissement. Le règlement s’appliquera à plus de 22 000 institutions financières et fournisseurs de services TIC opérant dans l’UE

Bien qu'il puisse sembler s'adresser aux départements informatiques, DORA implique de manière significative les départements des Achats et des Finances. L'informatique s'occupe de l'architecture et des opérations mais le maintien de relations conformes avec les tiers relève de la responsabilité des achats et de la finance.

Dans cet article, nous allons explorer DORA, ses objectifs, ses principaux composants et son calendrier de mise en œuvre. Nous verrons également comment les professionnels et de la Finance peuvent se préparer à DORA et comment Ivalua les aide à s'y conformer

Qu’est-ce que DORA ?

Le Digital Operational Resilience Act (DORA) est une législation introduite par l’Union européenne pour améliorer la résilience numérique opérationnelle et informatique du secteur financier. Officiellement entré en vigueur le 16 janvier 2023, DORA sera applicable à partir du 17 janvier 2025. 

Ce règlement vise à établir un cadre harmonisé et complet qui renforce la capacité des institutions financières à résister et à répondre aux risques numériques. Il vise ainsi à garantir la stabilité et la sécurité du secteur financier de l'UE face aux menaces numériques croissantes.

DORA renforce le rôle des autorités européennes de surveillance (AES), notamment l’Autorité bancaire européenne (ABE), l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et l’Autorité européenne des marchés financiers (AEMF), qui supervisent sa mise en œuvre et son application afin de protéger le secteur financier contre les menaces numériques. 

Son vaste champ d'application couvre toutes les institutions de services financiers (IFI) de l'UE, y compris les banques, les compagnies d'assurance, les fonds de pension, les bourses et les fournisseurs de systèmes TIC. La législation a été élaborée dans le cadre d'un processus législatif approfondi impliquant la consultation des parties prenantes afin de garantir qu'elle soit complète et adaptable à l'évolution du paysage numérique.

Principaux objectifs de la loi DORA

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) définit des exigences clés pour les institutions financières afin de garantir la sécurité et la stabilité de leurs opérations numériques. Les principaux domaines d'action de la loi DORA sont décrits ci-dessous :

  • Renforcer la cybersécurité : DORA exige des institutions financières qu’elles mettent en œuvre des mesures de cybersécurité rigoureuses pour se protéger contre les cybermenaces et garantir l’intégrité de leurs systèmes numériques.
  • Promouvoir la résilience opérationnelle : Le règlement souligne l’importance de la résilience opérationnelle, exigeant des institutions qu’elles développent et maintiennent des cadres solides pour répondre aux perturbations numériques.
  • Améliorer la gestion des risques : DORA fixe des normes élevées en matière de gestion des risques, en veillant à ce que les institutions financières mettent en place des stratégies globales pour identifier, évaluer et atténuer les risques numériques.
  • Faciliter la surveillance et la coordination : Le règlement renforce les pouvoirs de surveillance des autorités compétentes, leur permettant de contrôler et d’appliquer les exigences réglementaires. Il favorise également la coordination et le partage d’informations entre les autorités afin de faire face aux risques transfrontaliers et d’assurer une mise en œuvre cohérente dans l’ensemble de l’UE.

Quels sont les cinq principaux éléments de la loi DORA ?

La loi sur la résilience des opérations numériques comprend cinq éléments clés qui renforcent collectivement la résilience opérationnelle numérique et informatique des systèmes financiers sur les marchés européens :

  1. Stratégie de gestion des risques liés aux TIC : La réglementation DORA exige des institutions financières qu’elles élaborent des stratégies pour identifier, évaluer et atténuer les risques liés aux TIC. Cela comprend des évaluations régulières des risques, la mise en œuvre de contrôles de sécurité et la définition de protocoles de réponse aux menaces afin de maintenir l’intégrité, la disponibilité et la confidentialité des systèmes d’information.
  2. Rapport sur les incidents liés aux TIC : DORA exige que les incidents cyber importants soient signalés en temps utile aux autorités compétentes afin de faciliter une réponse coordonnée à la menace. Cela permet d’atténuer les impacts potentiels et d’améliorer les efforts globaux en matière de cybersécurité dans l’ensemble du secteur en identifiant les tendances et les modèles de cyberattaques.
  3. Tests de résilience opérationnelle numérique : Les institutions financières devraient effectuer régulièrement des tests de résilience, y compris des tests de pénétration et des tests basés sur des scénarios, afin d’évaluer l’efficacité de leurs systèmes TIC. Ces tests permettent d’identifier les vulnérabilités et d’assurer la préparation aux cybermenaces réelles.
  4. Gestion des risques liés aux TIC de tiers : DORA met l’accent sur la gestion des risques associés aux fournisseurs de services TIC de tiers. Les institutions doivent faire preuve d’une grande diligence et d’un contrôle permanent pour s’assurer que les tiers respectent les normes de cybersécurité, ce qui permet d’atténuer les risques liés aux partenariats externes.
  5. Accords de partage d’informations avec l’ensemble du secteur Banque/Assurance :  DORA encourage les institutions financières à partager leurs idées, leurs informations sur les menaces et leurs meilleures pratiques avec leurs pairs. Cette collaboration améliore la résilience collective en matière de cybersécurité, ce qui permet aux institutions de rester à l’affût des nouvelles menaces et de réagir efficacement aux cyber incidents.

Calendrier DORA : Étapes clés et mise en œuvre

DORA se caractérise par plusieurs étapes clés, chacune contribuant à l’élaboration et à la mise en œuvre d’un cadre complet visant à améliorer la résilience numérique du secteur financier de l’UE :

Conceptualisation et rédaction initiale (2019-2020)

L'UE visait une approche harmonisée de la résilience numérique du secteur financier au vu des menaces croissantes et des impacts financiers. Ce qui a conduit à la rédaction initiale de la réglementation DORA, établissant des principes fondamentaux pour protéger les institutions financières des risques liés aux TIC.

Phase de consultation (2020-2021) 

Au cours de cette phase, une large participation des parties prenantes a permis d'affiner les réglementations proposées. Les institutions financières, les experts du secteur et les organismes de réglementation ont fait part de leur point de vue et de leurs commentaires, ce qui a permis de s'assurer que DORA répondait aux défis et aux besoins pratiques et ouvrait la voie à un cadre efficace.

Lot 1 – Proposition formelle et adoption initiale (janvier 2021 – janvier 2022)

En janvier 2021, la Commission européenne a formellement proposé DORA. La proposition a été examinée et discutée par le Parlement européen et le Conseil, ce qui a conduit à son adoption au début de l'année 2022, jetant ainsi les bases de la mise en œuvre.

Lot 2 – Préparation initiale et mise en œuvre (janvier 2022 – janvier 2023)

Les institutions financières et les régulateurs se sont préparés à la mise en œuvre de DORA en se concentrant sur la compréhension des exigences et en initiant les changements organisationnels nécessaires. La formation, les évaluations et les stratégies de conformité ont été des activités clés, soutenues par des orientations réglementaires.

Mise en œuvre finale (janvier 2023 – janvier 2025)

DORA est officiellement entré en vigueur le 16 janvier 2023. Au cours des deux prochaines années, les institutions financières devront aligner leurs processus, systèmes et contrôles sur les exigences de DORA, y compris les tests rigoureux, la déclaration des incidents de cybersécurité, la gestion des risques par des tiers et les mécanismes de partage de l'information.

Conformité à DORA (à partir de janvier 2025)

À partir du 17 janvier 2025, la conformité à DORA sera obligatoire. Les institutions financières de l'UE devront intégrer les exigences DORA dans leurs opérations, les autorités européennes de surveillance (AES) veillant au respect de ces exigences et au maintien d'un niveau élevé de résilience numérique. Au fur et à mesure de l'évolution des menaces numériques, DORA fera l'objet de nouvelles améliorations. Les institutions financières doivent adopter une attitude proactive et mettre à jour leurs stratégies de résilience et leurs mesures de conformité.

Comment les professionnels des Achats et de la Finance doivent-ils se préparer au règlement DORA ?

Le règlement DORA introduit des changements significatifs dans les activités d’achats au sein des institutions financières en soulignant l’importance de la résilience numérique et de la cybersécurité.

Dans cette vidéo, Thomas Meyer de KPMG partage les objectifs, la portée et l’approche de la réglementation DORA :

Dans ce webinaire Arnaud Malardé et Simone Smits d’Ivalua,  vous partagent les étapes clés et des conseils pour permettre aux professionnels des Achats de répondre aux enjeux de la réglementation DORA.

Regarder le replay de ce webinaire : Comment les départements achats et finances doivent se préparer à la réglementation DORA.

Quels sont les processus Achats que les entreprises doivent vérifier pour se conformer à la réglementation DORA ?

La loi DORA affecte plusieurs étapes des processus Achats, du Source-to-Pay (S2P) au Procure-to-Pay (P2P), en passant par la gestion globale du changement et la gouvernance des processus.

Tout d’abord, les entreprises doivent mettre à jour leurs politiques d’achat pour refléter les exigences de la DORA en établissant des lignes directrices claires pour intégrer les considérations de cybersécurité et de résilience numérique dans les activités d’achat.

Stratégie d’achat et risque de concentration

L’élaboration d’une bonne stratégie d’approvisionnement et la gestion du risque de concentration sont essentielles au respect de la loi DORA. Des processus de diligence raisonnable renforcés sont nécessaires pour évaluer tous les risques liés aux fournisseurs, en particulier le risque de concentration.

Les organisations doivent procéder à des évaluations approfondies des risques et s'assurer que les fournisseurs disposent d'une sécurité informatique solide et de mesures de résilience. Une stratégie d'approvisionnement bien définie garantit une sélection rigoureuse des fournisseurs qui répondent à des normes de sécurité informatique strictes grâce à un contrôle préalable approfondi.

En outre, la gestion du risque de concentration implique de diversifier la base de fournisseurs afin d'éviter une dépendance excessive à l'égard d'un petit nombre d'entre eux. En répartissant les risques entre plusieurs fournisseurs, les organisations peuvent garantir la continuité de la fourniture de services malgré les perturbations de la chaîne d'approvisionnement.

Gestion du cycle de vie des contrats

La gestion du cycle de vie des contrats (CLM) est fondamentale pour la conformité DORA, car elle intègre des normes strictes de cybersécurité et de résilience tout au long du processus contractuel. Les contrats avec les fournisseurs doivent inclure des clauses relatives à la conformité DORA afin de s’assurer que les fournisseurs sont contractuellement obligés d’adhérer à des normes et protocoles spécifiques de cybersécurité et de résilience numérique.

En intégrant des clauses spécifiques à DORA lors de l'élaboration et de la négociation des contrats, les institutions financières s'assurent que les fournisseurs respectent des normes de sécurité élevées. Un CLM efficace gère les relations avec les fournisseurs en mettant l'accent sur une cybersécurité solide, conformément à l'objectif de la DORA d'améliorer la résilience opérationnelle numérique dans le secteur financier.

Gestion des fournisseurs

La gestion des fournisseurs implique la mise en œuvre d’une diligence raisonnable approfondie, d’évaluations périodiques des risques, d’un suivi continu et d’audit des performances et des institutions financières afin de s’assurer que les fournisseurs répondent aux exigences de DORA.

Les organisations doivent intégrer des critères de cybersécurité et de résilience numérique dans le processus de sélection des fournisseurs, en évaluant les fournisseurs potentiels en fonction de leur capacité à répondre aux exigences de résilience numérique de DORA. Une communication transparente et des obligations contractuelles claires renforcent la conformité.

Procure-to-pay

Le processus P2P comprend les étapes allant de l’achat de biens et de services au paiement. La loi DORA a un impact sur le processus P2P en exigeant des contrôles et des mécanismes de surveillance plus stricts :

  1. Bons de commande et approbations : Les institutions financières doivent mettre en place des flux de travail sécurisés et conformes pour générer et approuver les bons de commande afin de s’assurer que tous les achats sont contrôlés pour éviter les risques de cybersécurité.
  2. Traitement des factures : Les factures doivent être traitées en toute sécurité et des systèmes doivent être mis en place pour détecter et prévenir les activités frauduleuses. Les organisations doivent vérifier l’authenticité des factures et leur conformité aux normes DORA.
  3. Sécurité des paiements : Les processus de paiement doivent être renforcés par des mesures de sécurité avancées utilisant des passerelles de paiement sécurisées et des technologies de cryptage.

Gestion des risques et des problèmes et établissement de rapports

La gestion des risques et des problèmes ainsi que le reporting aident les institutions financières à identifier, évaluer et traiter de manière proactive les vulnérabilités et les incidents. Une gestion détaillée des problèmes aide les équipes à détecter et à résoudre rapidement les incidents afin de minimiser les perturbations, tandis que des procédures de reporting complètes garantissent la transparence et la responsabilité et permettent de tenir informés les régulateurs et les parties prenantes.

Registre d’informations

Un registre d'informations est un enregistrement détaillé de toutes les données, ressources, systèmes, processus et activités critiques au sein de l'infrastructure informatique d'une organisation. Il comprend les inventaires de matériel et des logiciels, les flux de données, les configurations de réseau, les politiques de sécurité, les rapports d'incidents et les statuts de conformité.

La tenue d’un registre à jour permet aux institutions financières d’avoir une vue d’ensemble de leur environnement numérique, ce qui est essentiel pour une gestion efficace et le respect de la réglementation.

Comment Ivalua apporte une réponse à la conformité DORA

Bien qu’Ivalua ne soit pas directement supervisé par les ESA, nous nous engageons à aider nos clients à répondre à leurs exigences réglementaires. La plateforme Ivalua offre des fonctionnalités clés pour soutenir la conformité à la loi DORA, en servant de référentiel numérique essentiel pour les institutions financières soumises à la loi DORA. 

Ce référentiel est plus qu’une simple base de données de contrats ; il est défini dans les normes techniques réglementaires (RTS) de lDORA comme un ensemble de 14 bases de données interconnectées et reliées par cinq identifiants distincts afin d’assurer une communication continue entre elles.

En outre, la plateforme permet de contrôler les Achats de services avec une visibilité sur les sous-traitants de niveau N, garantissant ainsi la conformité avec les exigences de transparence et de contrôle de la chaîne d'approvisionnement. Cette approche globale favorise une conformité solide et améliore la résilience opérationnelle.

Alors que de nombreux fournisseurs de S2P peinent à étendre leur modèle de données dans la mesure requise, Ivalua prend en charge tous les points de données nouveaux et spécifiques. La gestion d'exigences complexes avec de multiples tables de données et identifiants est particulièrement difficile dans le cadre d'une architecture multi-tenant.

Pour se conformer à DORA, les clients ont besoin au minimum de plusieurs modules clés :

  • Gestion des relations et des performances avec les fournisseurs (SRPM) : Essentiel pour la vérification préalable des fournisseurs, la gestion des informations sur les fournisseurs, la gestion d’un centre de risques, le contrôle des performances des fournisseurs et la gestion du suivi des problèmes et des plans d’amélioration.
  • Sourcing : Pour gérer les risques avant de conclure de nouveaux accords.
  • CLM (Contract Lifecycle Management) : Fournit des modèles de contrats dans lesquels toutes les clauses spécifiques à DORA peuvent être incorporées, c’est-à-dire celles relatives à la coopération avec les autorités compétentes, à l’intégrité et à l’accessibilité des données, aux stratégies de sortie et aux dispositions relatives à la migration.


Nous vous invitons à découvrir notre plateforme Source-to-Pay qui répondra aux exigences de DORA

Conclusion

La mise en conformité avec la loi DORA est essentielle pour les institutions financières afin de garantir une résilience opérationnelle numérique solide et de se protéger contre les cyber menaces croissantes. Il est essentiel d'entamer le processus de mise en conformité le plus tôt possible, car les complexités de la loi DORA nécessitent une préparation approfondie et l'intégration de solutions complètes.

Ivalua est conçu pour répondre à la conformité DORA, fournissant un moyen simple et efficace de gérer les exigences réglementaires nécessaires.

Obtenez des conseils pratiques sur la manière de se conformer à la loi DORA. Lire le rapport : « Naviguer dans les exigences DORA : un guide pour les professionnels des Achats et de la Finance ».

Arnaud Malardé

Directeur principal du marketing des produits

Arnaud Malardé, directeur principal du marketing des produits, a rejoint Ivalua après avoir passé plus de 10 ans dans le domaine des achats. Expert accompli dans le secteur industriel et les achats, Arnaud a collaboré avec des prestigieuses entreprises internationales dans les secteurs des services financiers, de la grande distribution, le secteur IT et les médias. Leader reconnu, auteur d'un blog et présentateur de webinaires, Arnaud offre des informations précieuses et innovantes dans le domaine des solutions d'achats numériques. Il détient un Master en finance décerné par l'ESCP Europe, l'une des plus grandes écoles de commerce de France et un Master européen en management décerné par la London's City University.

Concrétisez les possibilités qui s'offrent à vous !