English
Nouveau Régime de Résilience de l’Europe : La Course pour se Préparer à DORA
Introduction
La digitalisation rapide du secteur financier a apporté de nombreux avantages, mais elle a également exposé les entreprises à des risques technologiques accrus tels que les cyberattaques, les pannes de systèmes et les défaillances des technologies de l’information et de la communication (TIC). Pour renforcer la résilience des institutions financières (IF) face à ces menaces, l’Union Européenne a introduit la directive sur la résilience opérationnelle numérique, connue sous le nom de DORA (Digital Operational Resilience Act). Alors que la date de mise en vigueur de DORA approche, les institutions financières et leurs fournisseurs de services TIC doivent intensifier leurs efforts pour se conformer à cette nouvelle réglementation.
La Nécessité de DORA
DORA vise à établir des exigences rigoureuses pour protéger les processus commerciaux critiques des institutions financières en Europe. Elle englobe plusieurs aspects essentiels, notamment :
Gestion des Risques TIC : Élaboration d’un cadre interne de gestion des risques TIC, incluant une stratégie, des politiques et des procédures adaptées.
Gestion et Signalement des Incidents TIC : Mise en place de processus robustes pour gérer et signaler les incidents et les cybermenaces.
Tests de Résilience Opérationnelle : Adoption d’une approche basée sur les risques pour les tests de résilience, y compris les tests physiques, les tests d’application et les tests de pénétration axés sur les menaces.
Gestion des Risques Tiers : Établissement d’un cadre de gestion des risques pour les fournisseurs de services TIC tiers.
Partage d’Informations : Facilitation du partage d’informations et de renseignements sur les cybermenaces entre les institutions financières.
Progrès et Défis dans la Mise en Œuvre de DORA
Selon une enquête menée par McKinsey, bien que la majorité des institutions financières aient initié le processus de mise en conformité avec DORA, beaucoup restent en retard. Plusieurs défis demeurent, notamment :
Clarté Limitée sur la Portée des Exigences : Les institutions ont du mal à définir précisément les fonctions critiques et les fournisseurs tiers critiques de TIC.
Incertitude sur le Calendrier de Mise en Œuvre : La finalisation des normes techniques réglementaires (RTS) est attendue pour juillet 2024, rendant difficile la planification et l’exécution des programmes de conformité.
Exemple de Mise en Œuvre Réussie
Une grande institution financière européenne a récemment achevé un programme majeur de remédiation aux risques technologiques et a rapidement réorienté ses efforts pour se conformer à DORA. En repensant son programme DORA avec des groupes d’activités spécifiques et en réorganisant sa gouvernance, l’institution a réussi à créer une culture de gestion des risques technologiques à travers toute l’organisation. Cette approche stratégique et basée sur les risques a permis à l’institution de se positionner favorablement par rapport à ses pairs.
Conséquences Financières
La mise en conformité avec DORA représente un investissement considérable pour les institutions financières. Les estimations des coûts de mise en œuvre complète varient entre 5 et 15 millions d’euros pour la stratégie, la planification et l’orchestration du programme, avec des coûts totaux pouvant atteindre jusqu’à 100 millions d’euros pour les grandes institutions.
Conclusion
Avec l’échéance de janvier 2025 qui approche, les institutions financières européennes doivent accélérer leurs efforts pour se conformer à DORA. La clé de la réussite réside dans une approche structurée et holistique, intégrant la gestion des risques technologiques comme un moteur essentiel de la valeur commerciale. Les institutions doivent se préparer à cette transition pour assurer une résilience opérationnelle robuste et protéger leurs processus critiques contre les menaces numériques.
Source : https://www.mckinsey.com/capabilities/risk-and-resilience/our-insights/europes-new-resilience-regime-the-race-to-get-ready-for-dora?stcr=934F4ABC6427494AB125E709847B2998&cid=other-eml-alt-mip-mck&hlkid=d514a4fa3ed347a3b96163ed2125b47f&hctky=15615145&hdpid=f355c4d3-f199-46a3-9191-5b86b6fb8532
