Conformité DORA : la finance au cœur de la cyber résilience
;%20}%20.cls-2%20{%20fill:%20url(%23linear-gradient-2);%20}%20.cls-3%20{%20fill:%20url(%23linear-gradient-4);%20}%20.cls-4%20{%20fill:%20url(%23linear-gradient-5);%20}%20.cls-5%20{%20fill:%20url(%23linear-gradient);%20}%20%3c/style%3e%3clinearGradient%20id='linear-gradient'%20x1='8.089'%20y1='-4.628'%20x2='8.089'%20y2='17.703'%20gradientTransform='matrix(1,%200,%200,%201,%200,%200)'%20gradientUnits='userSpaceOnUse'%3e%3cstop%20offset='0'%20stop-color='%23005eff'/%3e%3cstop%20offset='1'%20stop-color='%2300b2ff'/%3e%3c/linearGradient%3e%3clinearGradient%20id='linear-gradient-2'%20x1='12.007'%20x2='12.007'%20xlink:href='%23linear-gradient'/%3e%3clinearGradient%20id='linear-gradient-3'%20x1='12.007'%20x2='12.007'%20xlink:href='%23linear-gradient'/%3e%3clinearGradient%20id='linear-gradient-4'%20x1='15.926'%20x2='15.926'%20xlink:href='%23linear-gradient'/%3e%3clinearGradient%20id='linear-gradient-5'%20x1='12'%20x2='12'%20xlink:href='%23linear-gradient'/%3e%3c/defs%3e%3cpolygon%20class='cls-5'%20points='6.413%209.134%206.413%2015.125%209.765%2012.129%206.413%209.134'/%3e%3cpath%20class='cls-2'%20d='M12.492,13.663c-.302,.255-.747,.248-1.04-.018l-.698-.632-3.062,2.737h8.631l-3.062-2.737-.769,.649Z'/%3e%3cpolygon%20class='cls-1'%20points='16.613%208.25%207.402%208.25%2012.007%2012.366%2016.613%208.25'/%3e%3cpolygon%20class='cls-3'%20points='17.601%2015.125%2017.601%209.134%2014.25%2012.129%2017.601%2015.125'/%3e%3cpath%20class='cls-4'%20d='M19,2H5c-1.66,0-3,1.34-3,3v14c0,1.66,1.34,3,3,3h14c1.66,0,3-1.34,3-3V5c0-1.66-1.34-3-3-3Zm0,14.08c0,.51-.41,.92-.92,.92H5.92c-.51,0-.92-.41-.92-.92V7.92c0-.51,.41-.92,.92-.92h12.16c.51,0,.92,.41,.92,.92v8.16Z'/%3e%3c/svg%3e)
Alors que les risques IT n’ont jamais été aussi prégnants, le Digital Operational Resilience Act (DORA) - adopté par l'Union européenne en décembre 2022 - vise à renforcer la capacité opérationnelle numérique des acteurs financiers.
« Dis-moi sur quoi tu cliques et je te dirai si tu es vraiment vigilant » : ce pourrait être le point de départ d’une « exploration » de DORA, le règlement européen entré en vigueur le 17 janvier 2025.
Alors que les risques IT n’ont jamais été aussi prégnants, le Digital Operational Resilience Act (DORA) - adopté par l'Union européenne en décembre 2022 - vise à renforcer la capacité opérationnelle numérique des acteurs financiers. Un chantier d’autant plus crucial face à des cybermenaces aussi grandissantes que protéiformes, selon nombre d’études concordantes ; citons par exemple , qui met l’accent sur la sophistication des attaques et l’explosion des vols de données sensibles (identifiants et mots de passe), qui ont triplé en un an.
Dans cet environnement où la cybercriminalité est en forte croissance (+ 40 % sur les cinq dernières années à l’échelle nationale, d’après un récent ), la mise en conformité avec DORA ne constitue pas seulement une obligation légale, mais également un impératif stratégique pour assurer la pérennité des entreprises financières.
S’agissant des DAF - en première ligne sur le sujet - cette réglementation représente un défi de taille et une opportunité pour consolider la robustesse des systèmes financiers face aux risques numériques.
Une pluralité d’acteurs et d’enjeux
La directive DORA impose à un large éventail d’entités du secteur financier et à leurs prestataires TIC (Technologies de l’information et de la communication) des normes strictes visant à identifier, évaluer et gérer les risques informatiques. Le règlement s’applique aux banques et établissements de crédit, sociétés d'investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d'assurance et de réassurance, intermédiaires d'assurance et de réassurance, mutuelles. Sont également concernés leurs prestataires de services numériques, qui contribuent de fait au fonctionnement des services financiers. On parle ici des éditeurs de logiciels, des intégrateurs de solutions informatiques, des sociétés spécialisées dans le stockage des données, des plateformes de gestion des risques IT, ou encore des infrastructures dédiées à la cybersécurité.
Ce cadre légal ambitieux affiche une double ambition : prévenir les cyberattaques et assurer la continuité de leurs activités en cas d'incident. Pour les DAF, il est essentiel d’appréhender le chantier dans une approche globale, avec la conscience que cette réglementation ne concerne pas uniquement les départements informatiques, mais impacte directement la stratégie financière de l'entreprise. Ainsi, la mise en place de nouveaux protocoles de sécurité et de gestion des incidents peut entraîner des ajustements budgétaires conséquents, nécessitant une anticipation minutieuse, y compris en termes d’arbitrages financiers.
Une ambition, pour le meilleur
En premier lieu, la mise en conformité implique d’établir une cartographie exhaustive des risques IT. Il est primordial d'identifier les systèmes critiques, de repérer les vulnérabilités potentielles et d'évaluer leurs impacts sur les activités fonctionnelles et opérationnelles. Par exemple, un établissement financier va s’attacher à analyser la sécurité de ses plateformes de paiement en ligne, afin d'anticiper la nature d'éventuels actes de cyber malveillance. Un gestionnaire de fonds pourra, quant à lui, mettre à plat la gestion de ses solutions cloud pour s'assurer de la protection des données clients. À cet égard, il est aujourd’hui essentiel d'adopter une approche holistique, intégrant non seulement l’évaluation des infrastructures technologiques, mais aussi les processus collaboratifs internes et les comportements des utilisateurs face aux menaces numériques. ; sans oublier d’intégrer au périmètre du projet les partenaires et prestataires tiers de services TIC ; ces derniers étant très fréquemment impliqués dans les incidents de sécurité et les compromissions de données. C’est particulièrement vrai en France, qui détient - avec presque 100 % des cas ; un taux nettement plus élevé que celui de ses voisins européens - le triste record continental du taux de violation des données via des fournisseurs tiers, nous apprend la récente .
En parallèle, la gouvernance et le pilotage des risques doivent être repensés. Intégrer la stabilité numérique dans la stratégie globale requiert un dialogue constant entre la direction financière, la direction des systèmes d’information (DSI) et les responsables de la conformité. Dans le cas d'une entreprise de courtage, cela pourrait se traduire par des simulations d'incidents afin d’évaluer le degré de vulnérabilité d’un réseau ou de tester la réaction des équipes face à une attaque informatique. Citons également l’intensification des tests de résilience, pour s’assurer que les équipes sont prêtes à faire face à des interruptions de service imprévues, grâce à des scenarii préalablement préparés.
L’ère de la conformité stratégique
On l’aura compris, la supervision des prestataires tiers est un enjeu clef pour garantir les quatre piliers de la sécurité informatique : confidentialité, intégrité, disponibilité et traçabilité des données. Nombreuses sont les entreprises qui dépendent de fournisseurs de services numériques, qu'il s'agisse d'hébergeurs cloud ou de solutions de paiements électroniques. En conséquence, il est essentiel de renforcer les exigences contractuelles et de surveiller la conformité de ces prestataires afin d'éviter toute faille de sécurité externe. Ainsi, une fintech française utilisant les services d’un prestataire basé hors de l'UE devra vérifier que celui-ci respecte les normes imposées par DORA. Un pilotage rigoureux et la mise en place d'audits réguliers sont dorénavant indispensables en matière de management de la sécurité de l’information.
Les tests de fiabilité doivent être menés régulièrement pour évaluer la capacité de l'entreprise à réagir face à des cyberattaques ou des incidents informatiques. En France, la plupart des acteurs du secteur financier organisent désormais des exercices grandeur nature pour tester leur réaction face à un blocage systémique de leurs plateformes en ligne. Ces tests permettent non seulement d’identifier les points de vulnérabilité, mais aussi d’améliorer les procédures internes de gestion de crise. Dans le cas d’une entreprise spécialisée dans la gestion d’actifs, un tel exercice pourrait consister à simuler une tentative de phishing à grande échelle ciblant ses employés, afin de mesurer leur réactivité et leur niveau de prise de conscience par rapport aux cyber-risques.
Pleinement conscient de ces enjeux primordiaux, ABN AMRO n’a pas attendu de la réglementation DORA pour mettre en place une stratégie de vigilance accrue, visant à renforcer constamment la sécurité de ses systèmes informatiques, de ses données et de celles de ses clients et de ses partenaires : tests de résilience, simulation de phishing et autres scenarii à des fins pédagogiques et de prévention.
Une opportunité prometteuse
L'anticipation des coûts inhérents à DORA est un autre aspect essentiel que les DAF doivent intégrer. La mise en conformité exige des investissements en cybersécurité, en infrastructures IT, en outils et solutions logicielles spécifiques ; ainsi qu’en formation des collaborateurs (adoption de nouveaux usages, sensibilisation aux bonnes pratiques...). L’accent doit aussi être mis sur l’adaptation des contrats des fournisseurs de services IT au regard des nouvelles exigences réglementaires. Ces coûts doivent être budgétés avec précision, en anticipant dès l’amont la mise en place de KPIs, afin de préparer les conditions d’un retour sur investissement optimal. Un établissement financier pourrait, par exemple, consacrer une partie de son budget à l'acquisition d'outils d'intelligence artificielle prédictive afin de renforcer la détection des anomalies et la prévention des fraudes. En analysant en temps réel des millions de transactions, ces technologies avancées permettent de repérer des comportements suspects et d’intervenir très rapidement avant même qu’un incident ne prenne de l’ampleur.
Autre facteur important : le renforcement de la collaboration interne ; sachant que le succès de la mise en conformité repose sur une communication fluide entre toutes les parties prenantes : départements Finance, IT, Juridique, RH, les métiers et les fournisseurs de services informatiques, etc. Sans une coordination efficace, le risque de non-conformité reste élevé, avec en outre un risque potentiel de sanctions réglementaires. Une approche efficace pourrait consister en la mise en place d’un comité de pilotage régulier réunissant des représentants de chaque métier / département et des prestataires IT, véritable « task force » chargée d’assurer un suivi rigoureux de l’application des nouvelles normes imposées par DORA.
Enfin, la veille réglementaire doit être constante, en écho à une réglementation appelée à évoluer rapidement. Par conséquent, les entreprises devront s'assurer qu'elles respectent en permanence les exigences des régulateurs et anticiper les changements. Une approche proactive et un suivi assidu des directives émanant des institutions européennes permettra d’adapter en continu les procédures internes et d’éviter ainsi des pénalités qui pourraient nuire au business, comme à la réputation de l’entreprise.
C’est une certitude : la conformité à DORA est un enjeu majeur pour les DAF en premier lieu, et les entreprises par extension, impliquant une transformation en profondeur de la gestion des risques numériques. En adoptant une approche proactive, en renforçant la collaboration interne et en allouant les ressources nécessaires, les DAF peuvent transformer cette obligation réglementaire en un levier stratégique de résilience et de compétitivité durable.
Loin d'être une contrainte purement administrative, DORA pourrait également être perçue comme une opportunité pour renforcer la confiance des clients et partenaires dans la solidité de l'entreprise. De plus, en s’adaptant aux nouvelles exigences de cybersécurité, les entreprises financières vont se doter d’un solide avantage concurrentiel, susceptible d’attirer et de fidéliser des investisseurs et des clients de plus en plus soucieux de la sécurité des données (en particulier des leurs) et de la continuité des services financiers ; comme une promesse de confiance durable.
Au-delà du secteur financier et de son écosystème - directement concernés par DORA - toute entreprise, institution ou organisation est aujourd’hui confrontée à l’accélération exponentielle des actes de cyber malveillance. Face à cette vulnérabilité accrue, chacun(e) doit s’interroger quant à ses pratiques numériques, tant dans le cadre professionnel qu’à titre personnel.