Antoine GUTMANN

Associé

Méthode à la une

ARTICLE

Publié le 03/06/2024

Digital Operational Resilience Act (DORA)

Le règlement

Le règlement « DORA » du parlement européen, qui rentre en application en janvier 2025, définit une série d’exigences sur la résilience opérationnelle digitale. Il s’applique à toutes les entités financières opérant en Europe.

De nombreux acteurs ont cependant pris du retard dans l’implémentation et doivent se mettre en ordre de marche rapidement pour tenir les échéances et éviter d’être mis en défaut par le régulateur.

Parmi les principales nouveautés mises en lumière par le règlement, nous avons :

Gouvernance et Organisation

    • La mise en place d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente des risques liés aux TIC, avec le comité exécutif assumant la responsabilité finale du respect du règlement

 

Cadre de gestion des risques des TIC

    • L’établissement d’un cadre solide, complet et documenté de gestion des risques liés aux TIC
    • La mobilisation des moyens nécessaires pour protéger correctement tous les actifs informatiques et informationnels

 

Gestion et communication des incidents

    • La mobilisation des moyens nécessaires pour assurer une réponse rapide, appropriée et efficace aux incidents informatiques, ainsi que des plans de communication de crise à l’attention des collaborateurs, du régulateur, des clients et autres contreparties

 

Tests de résilience opérationnelle digitale

    • Le développement d’un programme de tests de pénétration fondés sur la menace (TLPT), à faire valider par superviseur et dont la fréquence minimum est de 3 ans

 

Gestion des risques des prestataires de services TIC

    • La tenue à jour d’un registre d’informations, qui agrège tous les accords d’utilisation de services TIC fournis par des tiers et identifie les services qui supportent les fonctions critiques

 

Reporting et partage d’informations

    • Le reporting au superviseur (en France, l’ACPR) d’informatiques spécifiques relatives aux prestaires de services TIC, aux incidents majeurs et aux tests TLPT
    • La possibilité donnée aux entités financières d’échanger entre elles des informations spécifiques et sensibles relatives aux cyberattaques

 

Dispositions contractuelles

    • L’identification et la formalisation des droits et obligations de l’entité financière et des prestataires de services tiers en matière de TIC
    • La rédaction impérative de tous les accords
    • L’usage de clauses spécifiques et normalisées dans les nouveaux contrats de TIC

 

Nos convictions

L’ensemble de l’entreprise est impacté

  • Le sujet doit être travaillé avec des acteurs hors DSI, en particulier les risques et le juridique, qui doivent être fortement impliqués pour garantir le succès du projet
  • Le règlement impose aux entités financières à formuler concrètement leur propre stratégie de gestion des risques des TIC et à faire évoluer les modes de fonctionnement

 

Une marche accessible

  • Contrairement à d’autres règlementations, les entités financières ne partent pas d’une feuille blanche : les politiques et procédures existent, qu’elles soient ou non formalisées, documentées et/ou conformes au règlement
  • Le règlement laisse une marge d’interprétation et de compréhension, facilitant son adaptation à chaque contexte et in fine son application

 

D’autres bénéfices à saisir

  • Au-delà de respecter le règlement, la révision des politiques, des processus et des procédures actuelles permet par exemple de contrôler davantage les risques opérationnels et les risques des tiers

 

Nos atouts

Une méthodologie éprouvée

  • Nous avons développé un framework spécifique au DORA qui s’appuie sur les documents techniques (RTS(1) et ITS (2)) et l’avons déjà mis en application
  • Nous avons conduit de nombreux projets de mise en conformité (RGPD, KYC…)

 

Une connaissance des best practices

  • Nous croisons nos analyses et nos recommandations sur les normes d’actualité en matière de cybersécurité (normes ISO, CIS Controls…)

 

Des accélérateurs à disposition

  • Notre approche personnalisée par typologie d’organisation et d’activité permet de rapidement détourer les éléments nécessaires au diagnostic
  • Une gamme de documents « templates » pour accélérer la mise en conformité (Politiques, procédures…) et à adapter à chaque contexte organisationnel

 

(1) Regulatory Technical Standards (2) Implementation Technical Standards

 

Notre approche

Nous vous accompagnons du diagnostic à la mise en conformité.

Et maintenant comment on fait en pratique ?

 

 

Auteurs : Antoine GUTMANN, Quentin DERIVRY

Les contenus associés

ARTICLE

Assurer une montée en compétences efficace : combiner formation et Knowledge Management grâce à l'IA Générative

Publié le 18/06/2024
Les entreprises doivent améliorer les compétences de leurs collaborateurs via la formation et le Knowledge Management. L’IA générative facilite l’accès à l’information et innove en matière de formation. Le projet Didia de Didask combine un coach IA et une formation dynamique. Stanwell aide à élaborer et mettre en œuvre cette stratégie.

ARTICLE

Digital Operational Resilience Act (DORA)

Publié le 03/06/2024
Le règlement « DORA » du parlement européen, qui rentre en application en janvier 2025, définit une série d’exigences sur la résilience opérationnelle digitale. Il s’applique à toutes les entités financières opérant en Europe. Parmi les principales nouveautés mises en lumière par le règlement, nous avons :

TENDANCE DÉCRYPTÉE

Individualisation, système ouvert, apprentissage social … découvrez les tendances qui transforment les universités d’entreprise

Publié le 21/05/2024
Découvrez les tendances clés des universités d’entreprise en 2023 avec notre benchmark exclusif. Explorez les stratégies innovantes pour développer les compétences, promouvoir la culture d’entreprise et attirer les talents.