À partir du 17 janvier 2025, le Digital Operational Resilience Act, ou réglementation « DORA » deviendra obligatoire pour toutes les entités financières européennes, banques et assurances, entreprises de cryptoactifs et infrastructures de marché financier.

Cette réglementation marque une étape dans le renforcement de la résilience des institutions financières face aux risques numériques. La sécurité informatique est devenue une préoccupation majeure des institutions financières, et le Digital Operational Resilience Act vise à imposer des exigences strictes en matière de gestion des risques informatiques et de protection des données. Son but : garantir la stabilité et la continuité du secteur financier européen, même en cas de perturbations majeures.

DORA favorise une approche proactive du risque opérationnel lié à la sécurité de l’information. Pour ce faire, elle s’appuie sur cinq piliers :

  • La gestion des risques des technologies de l’information et de la communication (TIC) : les entités financières doivent mettre en place des processus robustes pour gérer efficacement les risques liés aux TIC
  • Le signalement des incidents : elles doivent faire remonter les incidents informatiques majeurs aux autorités nationales compétentes
  • Les tests de résilience : les entités financières doivent réaliser des tests de résilience [PB1] face aux cybermenaces pour identifier les failles
  • La gestion des fournisseurs tiers : DORA implique une supervision stricte des fournisseurs de services TIC pour s’assurer qu’ils respectent des normes de sécurité élevées
  • Le partage d’informations : la réglementation encourage la coopération et le partage d’informations sur les cybermenaces entre les acteurs financiers

L’exécution de ces 5 piliers relève de la responsabilité de chaque entité financière et nécessite une préparation non négligeable sur les plans organisationnel, procédural, technique, juridique et informationnel. La transition est déjà bien entamée : selon une récente étude d’Acuiti, « près de 90 % des entreprises augmentent leurs investissements dans la gestion des risques par des tiers afin de répondre aux exigences de la loi DORA et d’autres réglementations ».

Pour les entreprises du secteur financier et assurance, l’enjeu est double. Elles doivent d’une part se conformer à ces cinq piliers, et d’autre part collaborer avec les fournisseurs qui répondent aux nouvelles exigences du secteur. Pour optimiser leurs efforts de mise en conformité, elles gagnent à s’appuyer sur les services managés de leurs fournisseurs tiers – notamment de leurs prestataires de services TIC – dont l’expertise les aidera à fluidifier cette transition.

Image : DORA renforce la gestion des risques TIC, exigeant résilience, sécurité des fournisseurs et partage d'informations pour une conformité optimale © Getty Images
DORA renforce la gestion des risques TIC, exigeant résilience, sécurité des fournisseurs et partage d’informations pour une conformité optimale © Getty Images

Un délai trop court pour la compliance à DORA?

Le délai entre la finalisation des exigences réglementaires DORA et leur entrée en vigueur est réduit, et les entités financières disposent d’un temps limité pour s’adapter. Chez SBS, nos clients nous ont fait part de leurs inquiétudes quant à ce calendrier serré. Or, si leurs préoccupations sont légitimes, elles gagnent à être remises en contexte.

  • Le changement de cadre réglementaire qui entoure la résilience numérique n’est pas un événement ponctuel, mais un exercice de longue durée, qu’il faut approcher dans une perspective pluriannuelle et multidimensionnelle. Le but est d’intégrer progressivement les nouvelles exigences.
  • Il s’agit d’un processus évolutif. En effet, même si les exigences légales constituent l’objectif final, le parcours entrepris par les institutions financières et les autorités de surveillance va au-delà de la seule conformité, et continue de se dérouler jusqu’à une application plus complète des réglementations.
  • Enfin, s’adapter aux exigences en matière de résilience doit reposer sur une analyse des risques opérationnels, pour promouvoir une application efficace des exigences de DORA qui optimise les coûts et les délais de mise en conformité. Les institutions financières les plus performantes gagnent à identifier leurs processus et systèmes d’information critiques, parmi lesquels on retrouve les systèmes de core banking qui centralisent la valeur commerciale des différents processus.

Quelle stratégie adopter ?

Selon une étude de McKinsey, les institutions prévoient de dépenser entre 5 et 15 millions d’euros pour leur mise en conformité à la réglementation DORA. Dans le même rapport, il apparaît que près de 4 entités financières et prestataires TIC sur 10 consacrent plus de sept équivalents temps plein à leur programme DORA.

Les entités financières doivent donc faire preuve de pragmatisme pour trouver les meilleures solutions possibles, tout en maîtrisant les coûts.

Dans ce contexte, un fournisseur de services managés peut permettre d’accélérer ce processus et de rationaliser leurs efforts de conformité. Ainsi, en tant que fournisseur tiers de solutions stratégiques, parmi lesquels les core banking intégrés, SBS accompagne ses clients face aux évolutions des exigences réglementaires. En proposant des services managés, SBS aide les entités financières à respecter le calendrier et les évolutions du cadre réglementaire. Un accompagnement dédié à la conformité sur les cinq piliers de DORA a notamment été mis en place pour nos clients en services managés.

Image: Les services managés aident les entités financières à respecter DORA en optimisant les coûts et en accélérant la conformité © Getty Images
Les services managés aident les entités financières à respecter DORA en optimisant les coûts et en accélérant la conformité © Getty Images

Quels avantages y a-t-il à s’appuyer sur les services managés SBS ?

Chez SBS, DORA est perçue comme une opportunité, car nos solutions et nos services permettent à nos clients de maîtriser les coûts relatifs au développement de la cyber-résilience de leurs activités. Les solutions SBS comprennent notamment :

1. Un système d’information (SI) complet, disponible et constamment à jour.

La cyber-résilience des SI repose sur une mise à jour continue et sur une gestion stricte des versions. Grâce à un suivi rigoureux de la politique de versioning de l’éditeur, SBS s’assure que les innovations technologiques les plus récentes soient intégrées, avec des fonctionnalités avancées telles que les portails API. La disponibilité et la sécurité du réseau et de la connectivité sont accrues pour assurer la performance optimale et la pérennité des infrastructures technologiques.

2. Assurer la conformité réglementaire à coûts maîtrisés

Grâce à son partenariat solide avec Sopra Steria Group, SBS propose des services de cybersécurité de premier plan pour garantir la conformité aux exigences réglementaires telles que DORA, ISO 27001, et le RGPD – le tout dans une logique de maîtrise des coûts. En combinant une expertise approfondie en cyber-résilience et en réglementation avec des services de sécurité avancés, les tests de vulnérabilité et les tests de pénétration, SBS aide à protéger les données sensibles et à renforcer la confiance des clients dans un contexte de multiplication des transactions numériques.

3. Optimisation du TCO (total cost of ownership)

SBS se spécialise dans l’optimisation du coût total de possession (TCO) : en mutualisant les ressources informatiques, il est possible de rationaliser les coûts associés aux actifs de sécurité, tout en offrant une évolutivité adaptée aux besoins croissants, afin d’aider les entreprises à maximiser leur investissement en cybersécurité.

4. Exécution de la stratégie

Par la maîtrise des risques opérationnels et l’élimination de l’instabilité technologique, SBS assure une exécution efficace de la stratégie des institutions financières. Cela passe par la mutualisation des moyens, la simplification de l’acquisition des compétences et la mise à niveau des infrastructures techniques.

Les services managés de SBS permettent donc d’assurer la résilience opérationnelle, de transformer les opérations bancaires de manière sécurisée, de se conformer aux nouvelles réglementations à coûts maîtrisés, et d’optimiser la gestion des risques pour libérer du temps aux équipes selon les orientations stratégiques de l’entité financière concernée.

Conclusion

La réglementation DORA repose sur un objectif de résilience opérationnelle durable. Cette transition s’accompagne de la recherche de modèles plus flexibles, tels que les services managés, et représente un tournant majeur vers des solutions plus adaptées aux besoins des entreprises, qui doivent à la fois optimiser la gestion des risques et leur efficacité opérationnelle.

Dans ce cadre, DORA n’est pas qu’une obligation réglementaire : c’est une opportunité de transformation proactive qui transformera les systèmes et processus des entités financières, invitées à moderniser leurs systèmes, à sortir des modèles standardisés, à réduire leurs coûts à long terme, et à renforcer leur compétitivité.

François Péchard

ISO (Information Security Officer) Cloud Operations

SBS