DORA : renforcer la résilience numérique

Sommaire
DORA : la nouvelle donne de la cybersécurité des institutions financières
DORA : une palette très large de risques à maîtriser
Conformité réglementaire : le casse-tête permanent des entreprises du secteur financier
Comment garantir la résilience numérique ?

Entrée en vigueur en janvier 2023, la directive européenne DORA (Digital Operational Resilience Act) redéfinit les règles du jeu pour la cybersécurité et la gestion des risques dans la finance. Elle instaure un cadre commun à l’échelle de l’Union européenne pour renforcer la résilience opérationnelle numérique des acteurs du secteur. Banques, sociétés de gestion, infrastructures de marché, entreprises d’investissement, prestataires de services sur crypto-actifs ou encore plateformes de financement participatif : tous sont désormais concernés par cette réglementation exigeante, pensée pour mieux anticiper, absorber et réagir face aux cybermenaces et aux incidents technologiques majeurs.

DORA : la nouvelle donne de la cybersécurité des institutions financières

Ces dispositions s’articulent autour de cinq piliers fondamentaux :

– La gestion et la gouvernance des risques numériques

Le premier pilier de DORA établit que la responsabilité des comités de directions vis-à-vis des risques technologiques est engagée. Ceux-ci doivent non seulement valider les politiques de gestion des risques liés aux TIC, mais aussi superviser activement leur mise en œuvre. DORA impose une protection des systèmes et des données critiques. Pour cela, les entreprises doivent, d’abord, établir une cartographie détaillée de leur patrimoine numérique et des vulnérabilités associées. Ensuite, il faut classifier le degré de criticité des systèmes, des applications et des services. Enfin, les mesures de sécurité doivent être maintenues à jour.

– La classification et le reporting des incidents

Il est vital de catégoriser et de remonter les incidents de sécurité aux autorités. Les centres de supervision de la sécurité (SOC) jouent un rôle clé dans la qualification des alertes. Si la criticité et l’impact le nécessitent, une notification aux autorités de régulation pourra être effectuée. Cela ne peut se faire qu’avec de l’automatisation pour le tri, l’analyse et l’escalade des alertes.

– Les tests de résilience opérationnelle numérique

Les tests de résilience opérationnelle sont incontournables pour mesurer la capacité des institutions à faire face aux crises, avec des simulations d’attaques les plus réalistes possibles. Au-delà des exigences de DORA, le Cyber Resilience Stress Test de la BCE a constitué un jalon supplémentaire pour évaluer et attester de la résilience opérationnelle des institutions financières. Il s’agit d’une initiative majeure évaluant la capacité des banques à se remettre d’une cyberattaque, évaluant non seulement leur réponse immédiate mais aussi leur capacité à maintenir leurs opérations essentielles malgré les perturbations.

– La gestion des risques des prestataires tiers

Le renforcement de la surveillance des tiers participe à la maîtrise des risques induits sur les opérations externalisées. Cela nécessite de cartographier l’ensemble des fournisseurs stratégiques et d’identifier les interdépendances. Sans oublier des audits réguliers, surtout pour les fournisseurs les plus stratégiques.

– Le partage d’informations

Ce dernier pilier de DORA met l’accent sur le partage d’informations autour des menaces, indispensable pour renforcer la résilience collective. Cela nécessite, entre autres, l’anonymisation des données, leur normalisation (format, classification des incidents…) et la définition de standards communs.

DORA : une palette très large de risques à maîtriser

DORA ne se contente pas de fixer un cadre réglementaire : elle impose une véritable culture de la maîtrise du risque. Son objectif est clair : garantir la continuité et la qualité des services numériques essentiels des institutions financières, même en cas d’incident majeur. Mais encore faut-il identifier la diversité des menaces à prendre en compte. Et le spectre est large.

Les cyberattaques : le risque le plus fréquent et le plus redouté. Rançongiciels, attaques par déni de service distribué (DDoS), campagnes de phishing ou intrusions ciblant le vol de données sensibles : les cybermenaces sont omniprésentes. Selon le CESIN, près d’une entreprise française sur deux a été victime d’une cyberattaque en 2024. Le secteur financier reste particulièrement exposé : il a même été le plus touché par les attaques DDoS, avec une hausse de 24 % sur un an, d’après Akamai. DORA rappelle que la résilience passe avant tout par la préparation et la réactivité face à ces scénarios devenus quasi quotidiens.
Les pannes et défaillances techniques : le risque invisible mais tout aussi critique. Les incidents ne viennent pas toujours d’une attaque externe. Une simple erreur de configuration, un bug logiciel, un matériel vieillissant ou un correctif non appliqué à temps peuvent provoquer des interruptions majeures. Ces dysfonctionnements internes restent souvent sous-estimés, alors qu’ils compromettent directement la disponibilité des services et la confiance des utilisateurs. DORA pousse ainsi les institutions à renforcer leurs processus de maintenance, d’audit et de gestion du cycle de vie des systèmes.
Les risques en chaîne : la dépendance aux fournisseurs tiers dans le viseur. C’est sans doute le point le plus délicat. N’oublions pas que la concentration des services numériques (notamment dans le cloud) entre les mains d’un petit nombre de grands acteurs américains crée un risque systémique. Une défaillance chez un fournisseur critique peut paralyser de multiples acteurs financiers simultanément. Selon une étude de Censuswide pour le compte de Veeam, la surveillance des risques liés aux tiers est l’exigence de DORA qui pose le plus de problèmes : c’est le volet le plus difficile à mettre en application pour 38 % des entreprises françaises, alors que seules 16 % l’ont déjà mise en œuvre. Un constat préoccupant, d’autant que la visibilité sur les interdépendances reste souvent fragmentaire.

Conformité réglementaire : le casse-tête permanent des entreprises du secteur financier

Ce contexte règlementaire constitue une avancée inédite pour la cybersécurité des institutions financières. Selon l’étude CensusWide-Veeam, 96 % des sociétés de services financiers européennes reconnaissent la nécessité de renforcer leur conformité aux exigences de DORA en matière de résilience. Mais cela ne se traduit pas encore dans la réalité : dans une entreprise sur cinq, il n’y a pas eu de tests de reprise et de continuité, ni de système de signalement des incidents ou de tests de résilience opérationnelle numérique. De même, 27 % des entreprises n’ont pas encore clairement identifié de responsable de la mise en œuvre de DORA.

Si DORA s’impose comme une référence en matière de résilience opérationnelle, elle ne représente qu’une pièce du puzzle réglementaire auquel les institutions financières doivent désormais faire face. Car la conformité ne se limite pas à une directive : elle s’étend à un écosystème complexe de textes européens et nationaux à l’instar de NIS2, Cyberscore, RGPD, ou encore la future IA Act qui redéfinissent en profondeur les obligations de sécurité, de gouvernance et de transparence. Selon le CESIN, 79 % des entreprises françaises étaient déjà impactées en 2023 par au moins une de ces réglementations, contre 70 % un an plus tôt. Plus préoccupant encore : plus d’une sur deux (52 %) déclare un impact fort, signe que la conformité n’est plus un simple enjeu de documentation, mais bien un défi organisationnel et technologique majeur. La difficulté ne réside pas seulement dans la compréhension ou la mise en œuvre des textes, mais dans la gestion massive des données qu’ils exigent. D’après une étude One Poll pour Splunk, 53 % des DSI français ont peiné à maintenir la conformité ces trois dernières années à cause des volumes de données à traiter, un fardeau accentué par la multiplication des sources, des formats et des systèmes. Et 63 % d’entre eux redoutent aujourd’hui les amendes liées à la non-conformité.

Comment garantir la résilience numérique ?

Pour garantir la résilience opérationnelle, l’AMF recommande de mener des analyses de vulnérabilité, des évaluations de la sécurité des réseaux, des examens de la sécurité physique, ainsi que des tests cyber de pénétration fondés sur la menace ainsi que d’autres visant à simuler une crise de bout en bout.

Une politique de sécurité doit répondre à quatre impératifs :

– Assurer la disponibilité des systèmes, des applications et de l’accès aux données

– Protéger la confidentialité, notamment pour les transactions et les données personnelles

– Préserver l’intégrité des systèmes et des applications.

– Garantir la traçabilité des transactions, point essentiel dans le secteur financier.

Si ces quatre conditions sont respectées, notamment en mettant en œuvre les mesures recommandées par la règlementation DORA, en matière de gouvernance, de contrôle interne, de classification des risques, de remontées d’alertes et de notification, la résilience numérique est maîtrisée.

Toutefois, pour sécuriser un tel périmètre, avec des volumes énormes de données à collecter et gérer, les solutions logicielles s’imposent. La robustesse et la maturité des solutions AP Scan, AP Scoring et AP Monitoring développées par AP Solutions IO ont été pleinement confirmées à l’issue des différents tests menés dans le cadre de la préparation du rapport sur la résilience opérationnelle numérique. Elles ont démontré leur capacité à répondre aux exigences du cadre DORA, garantissant ainsi aux acteurs financiers une résilience numérique éprouvée, conforme et durable.