DORA, la nécessité d’une gouvernance encore plus efficace pour la Résilience Opérationnelle

Le projet de règlement DORA  vise à établir un cadre juridique pour renforcer la Résilience opérationnelle numérique du secteur financier à l’échelle européenne. Prévu pour fin 2022, ce texte a vocation à développer la finance numérique pour une meilleure compétitivité et innovation européenne, tout en renforçant la nécessité d’adresser les risques issus de la dépendance aux TIC . Dans ce cadre, un des enjeux majeurs est la gouvernance et l’identification des acteurs responsables tant au niveau européen qu’au niveau même des établissements.

Le projet de règlement DORA vise à établir un cadre juridique pour renforcer la Résilience opérationnelle numérique du secteur financier à l’échelle européenne. Prévu pour fin 2022, ce texte a vocation à développer la finance numérique pour une meilleure compétitivité et innovation européenne, tout en renforçant la nécessité d’adresser les risques issus de la dépendance aux TIC . Dans ce cadre, un des enjeux majeurs est la gouvernance et l’identification des acteurs responsables tant au niveau européen qu’au niveau même des établissements.

DORA : une avancée pour la Résilience Opérationnelle ?

En proposant des grands axes d’actions et de réflexions, DORA s’inscrit dans la continuité des préoccupations européennes autour de la Résilience Opérationnelle. Plus précisément, DORA entend répondre à la problématique de la Résilience Opérationnelle numérique, c’est-à-dire la capacité pour les établissements financiers à renforcer et restaurer leur intégrité opérationnelle sur le plan technologique. Pour cela, à travers ses principes directeurs, ce projet de règlement vise à garantir, directement ou indirectement, au travers des fournisseurs liés aux Technologies de l’Information et de la Communication (TIC), la sécurité du réseau et des systèmes d’information utilisés par les établissements pour délivrer leurs services au niveau de qualité requis et ce, dans le cadre d’une gouvernance renforcée.

Pour assurer la Résilience Opérationnelle des institutions, DORA s’appuie sur différents piliers. Le projet de règlement entend ainsi encadrer la gestion des risques et des incidents liés aux TIC, les tests de Résilience Opérationnelle numérique, la gestion des risques liés aux fournisseurs de services TIC et enfin le partage d’informations concernant les cybermenaces.

Cette gestion spécifique des risques informatiques liés aux TIC comprend notamment une identification et une classification de ces risques, des politiques de sauvegardes et des méthodes de restauration ainsi qu’une harmonisation des politiques. Le deuxième pilier de DORA se base sur la définition d’une stratégie et d’un cadre de gestion des risques des fournisseurs de services TIC. Cela entraine la formalisation d’un processus de gestion des incidents, leur classification ainsi qu’une présentation de rapports anonymisés par les Autorités Européennes de Surveillance (AES). Un programme de tests doit être défini et réalisé de manière indépendante sur les applications et systèmes critiques au moins une fois par an. Ce dispositif de gestion des risques se décline ensuite à travers une politique et une supervision des prestataires critiques au niveau de l’Union Européenne par les AES. Enfin, le partage d’informations liées aux cybermenaces doit être encadré par la notification des accords d’échanges aux autorités.

 

Quelles opportunités pour les établissements financiers ?

En plus d’être un élément de réponse à la problématique de la résilience opérationnelle, DORA représente aussi de nombreuses opportunités pour les établissements financiers.

Ce projet de règlement s’inscrit d’abord directement dans l’intérêt des établissements assujettis puisqu’il veille à garantir une meilleure compétitivité et innovation de ces derniers à l’échelle européenne. Son objectif est aussi de tirer profit de l’éventail d’opportunités offert par les nouvelles technologies.

Par ailleurs, DORA représente une opportunité économique pour les établissements puisqu’il permettra, à travers une approche uniformisée des tests de résilience opérationnelle numérique à l’échelle européenne et une rationalisation des coûts. De même, DORA en renforçant le cadre réglementaire de la gestion du risque opérationnel, vise la réduction des risques et des vulnérabilités des établissements dans leurs relations vis-à-vis des fournisseurs liés aux TIC. Ces éléments restent cependant une des difficultés majeures rencontrées par les établissements tant dans l’harmonisation de leurs référentiels que dans la consolidation des reportings. In fine, DORA peut contribuer à faire progresser les établissements sur ces sujets.

Enfin, DORA propose également une occasion d’améliorer le capital humain des établissements concernés. Il entend améliorer la formation du personnel sur la résilience opérationnelle numérique à travers des formations spécifiques des membres du Management. L’objectif est de maintenir à jour leurs compétences afin de mieux appréhender les risques informatiques et les impacts métiers associés.

Autant d’opportunités qui mettent en évidence la nécessité de mettre en place une gouvernance adaptée à ces nouveaux enjeux. De fait, à travers DORA, les établissements devront faire converger leurs dispositifs et leur gouvernance quels que soient les métiers, fonctions et zones géographiques.

"À travers DORA, les établissements devront faire converger leurs dispositifs et leur gouvernance quels que soient les métiers et fonctions."

La mise en œuvre de DORA peut-elle capitaliser sur les dispositifs en place ?

DORA s’appuie sur de nombreuses consultations ou de principes qui traitent de la Résilience dans le secteur financier, publiés par des instances telles que la Banque des Règlements Internationaux, l’Autorité Bancaire Européenne, ou encore la FED, … En effet, bien que DORA aille plus loin, ce projet de règlement s’inscrit dans la continuité des orientations de l’ABE de 2019 sur la gestion des risques liés aux TIC et à la sécurité des établissements financiers, reprises par l’arrêté du 25 février 2021. Si cette gestion spécifique comprenant l’identification et la classification des risques ou encore une harmonisation des politiques et des procédures, elle est également une des recommandations de l’ABE à travers la maîtrise des risques ou encore l’établissement et la mise à jour d’une cartographie des fonctions et métiers.

Par ailleurs, ces thématiques adressées par DORA sont également reprises dans les Principes pour une Résilience Opérationnelle publiés en mars 2021 par le Basel Committee on Banking Supervision. En effet, DORA s’appuie sur des principes déjà existants, à l’image de l’accroissement du rôle et des responsabilités des instances de gouvernance, du renforcement de l’obligation de sensibilisation, notamment pour le top management, auquel s’ajoute la réalisation régulière de tests et des retours d’expérience, et enfin le renforcement de la gouvernance des tiers.

L’enjeu est double : (i) Au niveau européen savoir à qui reviendra le rôle d’encadrement et de supervision, et (ii) au niveau des organisations, la mise en place d’une gouvernance adaptée et transversale pour renforcer la mise en œuvre d’un dispositif avec de véritables convergences voire des effets de mutualisation.

Au-delà de cette capitalisation, il reste que pour être efficient, les établissements se doivent de définir ces responsabilités. Ces nouveaux projets réglementaires constituent également une opportunité d’appréhender de manière transversale et coordonnée les enjeux afférents, par opposition aux approches traditionnelles en silo au sein d’une même organisation.

Vous avez apprécié cet article ? Likez Magazine Décideurs sur Facebook !

retrouvez l'intégralité du dossier Stratégies financières et fiscales 2021

Retrouvez notre dossier issu du guide-annuaire Stratégies financières et fiscales 2021
Sommaire
Anne Méaux, la femme qui murmure à l'oreille des puissants

Anne Méaux, la femme qui murmure à l'oreille des puissants

Le plafond de verre ? Anne Méaux l’a crevé dès l’âge de 20 ans à une époque où les femmes influentes se comptaient pratiquement sur les doigts d’une m...

Introduction en Bourse convaincante pour OVHcloud

Introduction en Bourse convaincante pour OVHcloud

OVHcloud, leader européen des services informatiques dématérialisés, vient de faire son entrée à la Bourse de Paris ce vendredi 15 octobre. L’action,...

Équipementiers télécoms : la guerre des trônes

Équipementiers télécoms : la guerre des trônes

Avec le déploiement de la 5G, la bataille pour la souveraineté s’est accentuée entre Européens, Américains et Chinois autour de Nokia, Ericsson et Hua...

Réforme de la fiscalité internationale : réelle révolution ou pavé dans la mare ?

Réforme de la fiscalité internationale : réelle révolution ou pavé dans la mare ?

S’il est un sujet qui aura fait couler beaucoup d’encre depuis le début de l’année 2021, c’est bien celui de la réforme de la fiscalité internationale...

Nicolas Julia (Sorare) : "Notre vision est de construire un champion mondial de l’entertainment sportif"

Nicolas Julia (Sorare) : "Notre vision est de construire un champion mondial de l’entertainment spor...

La start-up Sorare, qui développe un jeu de fantasy football permettant de collectionner des cartes numériques de football sous forme de jetons non fo...

Le mid-cap européen se réunit à Paris

Le mid-cap européen se réunit à Paris

Dans le cadre de la 21e édition du forum indépendant "European Midcap Event" qui se tiendra à Paris les 21 et 22 octobre prochains, près de 200 entrep...

Oliver Bäte (Allianz), la prime à la conversion

Oliver Bäte (Allianz), la prime à la conversion

PDG d’Allianz depuis 2014, Oliver Bäte poursuit l’expansion de son groupe d’assurance en Europe et en Afrique de l’Est. Très impliqué sur les sujets...

30 milliards d’euros pour la France de 2030

30 milliards d’euros pour la France de 2030

Mardi 12 octobre, Emmanuel Macron présentait un programme de dix objectifs pour garantir à la France une croissance pérenne et gagner en souveraineté....

Lire plus d'actualités

Newsletter savoir pour agir

N'avancez plus à l'aveugle

Ne plus afficher ce message

Ce site utilise des cookies. En continuant la navigation, vous acceptez nos conditions d'utilisation des cookies.
Plus d'informations

J'accepte