Janvier 2023, le Digital Operational Resilience Act (ou directive DORA) a été adopté par l’Union Européenne, pour une entrée en vigueur début 2024. Dès janvier 2025, toutes les entités financières européennes devront être conformes à ce règlement qui vise à renforcer la résilience opérationnelle numérique et lutter efficacement contre la vulnérabilité du secteur financier européen aux cyberattaques.
Si vous êtes une entreprise du secteur financier ou encore prestataires de services informatiques au sein de services financiers, vous êtes concernés par DORA.
Pour une mise en conformité efficace et adaptée à votre structure, IFS by Hardis Group vous accompagne de la phase de diagnostic à la mise en œuvre d’un plan d’action transverse.
UNE MISE EN CONFORMITÉ DORA AUTOUR DE 5 AXES
Au-delà d’une simple mise en conformité aux exigences réglementaire, IFS by Hardis Group propose un accompagnement global pour adapter le cadre de gouvernance et de contrôle interne comme le règlement DORA l’exige, ce qui inclue :
Risques TIC & identification fonctions critiques
Par une approche proactive, il est nécessaire d’identifier les fonctions, process et actifs critiques (notamment avec la revue des différentes documents et dispositifs Système de Management de Sécurité de l’Information, Politique de Sécurité du Système d’Information). Cela pour évaluer et classer les risques liés aux technologies de l’information et de la communication (TIC) et ainsi mettre en place un processus de gestion des incidents efficace.
Tiers : évaluation de vos prestataires de services TIC
De la même manière qu’il faut évaluer les risques internes, et comme le prévoit DORA, l’évaluation de vos prestataires doit-être prévue. Un passage en revue des contrats (sécurité / test scénarios de sorties…) doit être exécuté afin de vérifier leur conformité avec les exigences de DORA. L’accent notamment mis sur la protection des données sensibles et la prévention des cyberattaques.
Reporting des incidents
Dora exige la déclaration des incidents majeurs. Cela nécessite de formaliser des outils de gestion des incidents et de mettre en place le signalement normalisé de ces derniers, tout en respectant la contrainte de délais de notification aux autorités compétentes.
Tests de résilience
Une approche par le risque nécessite la mise en place de tests réguliers de résilience. Ceci implique de revoir les Plan de Continuité d’Activité, Plan de Reprise d’Activité et Maintien en Condition Sécurité et de conduire des tests d’intrusion régulièrement pour ajuster les scénarios de crise.
Renforcement de la gouvernance
Une bonne mise en œuvre de DORA implique une gouvernance globale de « pleine responsabilité » et chaque fonction liée à l’informatique doit avoir un rôle précis. Cela passe par l’identification des acteurs responsables tant au niveau interne qu’externe et de les former.
UNE MÉTHODOLOGIE EN 3 ÉTAPES POUR UNE MISE EN CONFORMITÉ DORA EFFICACE
Pour maîtriser ces 5 axes de mise en conformité, IFS by Hardis Group vous propose une méthodologie en 3 étapes permettant d’appréhender les enjeux complexes et multidimensionnels qu’imposent DORA.
Diagnostic DORA pour savoir où vous en êtes
La prise de connaissance de votre environnement actuel est le point de départ de notre accompagnement. Il permet de récupérer l’ensemble des éléments de gestion des risques TIC et des processus qui leur sont associés. Cette analyse permet de dresser un état des lieux précis et formuler des recommandations adaptées à vos besoins réels.
Cadrage et construction d’une feuille de route
Après l’identification d’un référent DORA ou d’un chef de projet, nous définissons des instances et outils qui permettront le bon pilotage des actions de mise en conformité DORA au sein de chaque direction. Une feuille de route sera construite en tenant évidemment compte des travaux de diagnostic réalisé et du calendrier fixé.
Mise en œuvre des actions pour une mise en conformité effective
Nos consultants vous accompagnent dans la concrétisation de votre feuille de route et assurent un suivi rigoureux de vos réalisations grâce à une assistance continue et un arbitrage selon les projets et actions à initier et coordonner.
Besoin de mieux comprendre DORA ? On vous propose une étape d’acculturation !
Encore peu familier avec DORA ? Nous vous proposons une présentation des enjeux et impacts DORA, que vous soyez une mutuelle, une compagnie d’assurance ou encore un établissement financier. Nous vous présentons les enjeux et impacts de DORA pour votre établissement ainsi que les évolutions des risques de non-conformité associés, afin d’instaurer une compréhension commune.
Découvrez notre équipe d’experts DORA
Nous nous appuyons sur une équipe d’experts pluridisciplinaire, prête à vous accompagner sur l’ensemble des aspects de cette réglementation de manière pragmatique, en tenant compte de vos contraintes et objectifs spécifiques.
Nos expertises vont du consulting réglementaire pour les assurances, les mutuelles et les institutions financières, aux expertises liées à la cybersécurité (gestion des risques, protections de données etc.). Nous sommes convaincus que notre équipe d’experts saura répondre à vos besoins spécifiques et vous accompagner efficacement vers la mise en conformité au règlement DORA.
Rostane Hamdi
DIRECTEUR PRACTICE CONSEIL HARDIS GROUP
Laurent Chaillou
CONSULTANT SENIOR ASSURANCE HARDIS GROUP
FAQ – DIRECTIVE DORA
Qui est concerné par DORA
Tous les établissements européens de crédit et de paiement, les prestataires de services sur les cryptoactifs, les entreprises d’assurance et leurs intermédiaires ainsi qu’une vingtaine de catégories d’institutions de retraite professionnelle sont concernées.
Les prestataires de services informatiques (TIC) opérant pour dans le secteur financier en Europe devront également fournir des services répondant aux exigences minimales imposées par DORA.
A partir de quand doit-on être en conformité avec DORA ?
A partir de janvier 2025, tous les établissements européens concernés devront être conforment à DORA.
Pourquoi DORA ?
DORA a pour but de renforcer la sécurité du secteur financier européen de plus en plus sensible aux cyberattaques et dont les structures informatiques et réseaux sont interconnectés. DORA a pour objectif d’harmoniser les exigences en matière de cybersécurité pour assurer la stabilité des entités financières européennes. Elle impose ainsi une résilience opérationnelle des services numériques plus forte et une meilleure gestion des risques.
NOUS CONTACTER
* Ces champs sont obligatoires.
