DORA : Guide pratique pour les entités financières

Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Il impose aux entités financières de l'Union européenne un cadre complet de résilience opérationnelle numérique.

Ce guide couvre les 5 piliers fondamentaux du règlement et vous aide à structurer votre mise en conformité.

Pilier 1 : Gouvernance et cadre de gestion des risques ICT (Art. 5-6)

Le conseil d'administration porte la responsabilité ultime de la stratégie de résilience numérique. L'entité doit définir, approuver et superviser un cadre de gestion des risques ICT solide.

Les éléments clés incluent : une politique de gestion des risques ICT documentée, des rôles et responsabilités clairement définis, un budget et des ressources dédiées, et un reporting régulier au conseil.

Pilier 2 : Gestion, classification et reporting des incidents (Art. 17-19)

Les entités doivent mettre en place un processus structuré de gestion des incidents ICT, incluant la détection, la classification selon des critères définis, et le reporting aux autorités compétentes.

La classification doit prendre en compte l'impact sur les clients, la durée de l'interruption, la répartition géographique, et les pertes de données éventuelles.

Les incidents majeurs doivent faire l'objet d'un rapport initial dans les 4 heures, d'un rapport intermédiaire dans les 72 heures, et d'un rapport final dans le mois suivant.

Pilier 3 : Tests de résilience opérationnelle numérique (Art. 24-26)

Un programme de tests doit être mis en place, couvrant les évaluations de vulnérabilités, les tests de pénétration (TLPT pour les entités significatives), les tests de continuité, et les exercices de crise.

Les TLPT (Threat-Led Penetration Testing) sont obligatoires au moins tous les 3 ans pour les entités significatives.

Pilier 4 : Gestion des risques liés aux tiers ICT (Art. 28-30)

Un registre d'informations complet doit être maintenu pour tous les accords contractuels portant sur l'utilisation de services ICT. Les contrats doivent inclure des clauses de résilience, des SLA, des droits d'audit, et des plans de sortie.

L'évaluation de la concentration des risques est également requise.

Pilier 5 : Formation et sensibilisation (Art. 13)

Des programmes de formation à la sécurité ICT et à la résilience opérationnelle doivent être mis en place pour l'ensemble du personnel, avec un niveau adapté à chaque fonction.

Conclusion

La mise en conformité DORA est un projet structurant qui touche l'ensemble de l'organisation. ResilienceCore couvre nativement ces 5 piliers avec plus de 55 modules dédiés.