Digital Operational Resilience Act (DORA)
Le Digital Operational Resilience Act est un règlement européen qui impose aux entités financières des exigences strictes en matière de résilience opérationnelle numérique. Entré en application le 17 janvier 2025, il couvre la gestion des risques TIC, la notification des incidents, les tests de résilience et la surveillance des prestataires tiers critiques.
DORA répond à la dépendance croissante du secteur financier envers les technologies numériques en établissant un cadre harmonisé de résilience opérationnelle à l'échelle de l'Union européenne. Le règlement s'applique à plus de 20 catégories d'entités financières : banques, assureurs, sociétés de gestion, plateformes de négociation, prestataires de services de paiement, mais aussi les prestataires TIC tiers jugés critiques.
Le texte repose sur cinq piliers : la gestion des risques liés aux TIC (gouvernance, cadre de gestion, politiques de sécurité) ; la notification des incidents TIC majeurs aux autorités compétentes ; les tests de résilience opérationnelle numérique, incluant des tests de pénétration avancés pour les entités significatives ; la gestion des risques liés aux prestataires tiers de TIC ; et le partage d'informations sur les cybermenaces entre entités financières.
Pour les prestataires de services KYC et de vérification documentaire, DORA a des implications directes : en tant que fournisseurs TIC du secteur financier, ils peuvent être qualifiés de prestataires critiques et soumis à la surveillance directe des autorités européennes de supervision. Ils doivent garantir la continuité de service, la sécurité des données traitées et la capacité à résister aux cyberattaques.
Réglementations
Exemples concrets
- 1.Une banque européenne doit cartographier l'ensemble de ses prestataires TIC, dont son fournisseur de vérification d'identité à distance, et évaluer le risque de concentration si ce prestataire dessert plusieurs fonctions critiques.
- 2.Un assureur réalise un test de pénétration avancé sur son système de souscription en ligne, incluant le module KYC, pour valider sa capacité à résister à un scénario de cyberattaque ciblée.
- 3.Un prestataire de services de paiement notifie un incident TIC majeur à l'ACPR dans les 4 heures suivant la détection d'une interruption de son service de vérification d'identité affectant l'onboarding de nouveaux clients.