Pour la première fois, l’Union européenne a pris des mesures permettant de lutter, sur l’ensemble de son territoire, contre les risques liés à la sécurité des données informatiques dans le secteur bancaire. Ces mesures sont regroupées dans le Règlement sur la résilience opérationnelle numérique, en anglais, Digital Operational Resilience Act, dont on parle sous l’acronyme DORA. Retour sur les enjeux de la numérisation du secteur de la finance et de la mise en place des mesures d’envergure prévues dans le cadre de DORA.
Le secteur de la finance face au développement du numérique
La numérisation au cœur de notre vie
À l’instar de la société, le secteur de la finance doit faire face à une numérisation toujours plus importante de ses process. Il est donc primordial de mettre en place une réglementation identique pour l’ensemble des acteurs de la banque, de l’assurance, etc., afin d’assurer une parfaite protection et sécurisation des données de leurs clients. S’il existe déjà un certain nombre de normes imposées aux entreprises du secteur de la finance, il est impératif d’encore les renforcer et de les étendre aux prestataires informatiques et services cloud intervenant pour les banques, les assurances, etc. C’est tout l’enjeu de la réglementation DORA mise en place par l’Union européenne qui devra être appliquée par tous les acteurs de la finance de son territoire de façon uniforme.
DORA : Digital Operational Resilience Act
L’enjeu pour l’Union européenne est de positionner le secteur financier comme l’un des leaders mondiaux dans le domaine de l’innovation numérique. Pour atteindre cet objectif, il est essentiel de maîtriser au maximum les menaces et les opportunités qu’un tel positionnement peut engendrer. C’est l’objet de la loi DORA qui introduit un ensemble de règles communes visant à limiter au maximum les risques de la technologie de l’information et de la communication (ICT). DORA a donc vocation à promouvoir une numérisation toujours plus importante du secteur de la finance tout en élevant encore les normes en matière de confidentialité et de protection des données. A priori, DORA devrait être transposée en loi nationale d’ici la fin de l’année 2022. Les entreprises concernées auront ensuite un délai de 24 mois pour mettre à jour leur système et atteindre les niveaux de sécurisation exigés par DORA.
Faire d’une règlementation européenne, une loi nationale aussi rapidement n’est pas évident.
Les principaux enjeux à relever pour le secteur bancaire
Prendre les risques de sécurité informatique à bras le corps
Le principal enjeu du déploiement de la réglementation DORA sur l’ensemble du territoire européen est de permettre aux acteurs de la finance de développer la numérisation de leurs process tout en prenant en considération l’ensemble des risques que cela implique.
Tenir le délai
Si tous les acteurs de la finance saluent cette nouvelle réglementation, le calendrier de mise en place risque de jeter un froid. En effet, à ce jour, toutes les modalités d’application de DORA ne sont pas encore définies. Elles devraient l’être au fur et à mesure, durant l’année 2023, au plus tard début 2024. Or, les entreprises du secteur de la finance ont 24 mois à compter de l’adoption initiale du règlement pour se mettre aux normes, soit fin 2024.
L’enjeu de la vulnérabilité des tiers
Enfin, le dernier enjeu, et non des moindres, porte sur la vulnérabilité des tiers. En effet, les entreprises du secteur financier doivent faire appel à des intervenants externes pour gérer une partie de la numérisation de leur activité. Or, la réglementation DORA établit le principe suivant : même activité, même risque, mêmes règles. Autrement dit, les fournisseurs de services informatiques travaillant avec des entreprises du secteur de la finance doivent répondre aux mêmes exigences que ces dernières en termes de sécurisation de leurs activités. Vaste programme…