Paris, France février 2025 Sean Tilley, directeur commercial EMEA de 11:11 Systems, un fournisseur de solutions d'infrastructure gérée, nous livre son analyse du nouveau règlement DORA (Digital Operational Resilience Act), qui est entré en vigueur le 17 janvier et s’applique aux acteurs des services financiers et leurs prestataires informatiques basés dans l’Union européenne. Il explique notamment les spécificités propres aux entreprises travaillant en France. En réponse à la généralisation des cyber-attaques, aux temps d’arrêt imposés et aux violations des données, le règlement DORA vise à harmoniser les dispositions relatives à la sécurité, la confidentialité et la cybersécurité. Cela est d’autant plus important que les cybercriminels sont de plus en plus désinhibés et créatifs, avec une recrudescence des attaques prévisible en 2025.

Les tendances récentes révèlent une augmentation préoccupante de la cybercriminalité. Une étude de SecurityScorecard a révélé que 78 % des principales institutions financières européennes ont subi l’année dernière des violations de données imputables à un tiers. D’autre part, 84 % de ces institutions ont été affectées par des violations faisant intervenir une quatrième partie, ce qui met en évidence l’étendue des risques pesant sur le secteur financier. De plus, selon un rapport de prospective en cybersécurité du Forum économique mondial, les vulnérabilités de la chaîne d’approvisionnement sont en passe de devenir la principale menace pesant sur l’écosystème, avec 54 % des grandes entreprises percevant ce type de défi comme le principal obstacle à la cyberrésilience.

Selon Sean Tilley, « L’adoption de modèles de travail hybrides et la tendance au basculement vers les infrastructures cloud exposent les entreprises à davantage de cyberattaques difficiles à déceler. Ces menaces sont de plus en plus évoluées et recourent fréquemment aux technologies d’IA pour automatiser les vecteurs d’attaque. Sous cet angle, DORA n’est plus une simple obligation légale, mais une stratégie vitale de renforcement des frameworks de cybersécurité et de mise en place de la résilience opérationnelle. »

Les logiciels rançon représentent la principale menace pour 92 % des secteurs d’activité, selon l’édition 2024 du rapport Data Breach Investigations de Verizon, ce qui rend l’application rapide de correctifs et la gestion de l’exposition plus importantes que jamais pour les organisations. Le cadre réglementaire de DORA a été conçu pour renforcer l’intégrité et la résilience des systèmes numériques des entités financières et des prestataires externes de technologies d’information et de communication (TCI) en Europe continentale. Il vise à harmoniser les mesures de détection, de traitement et de signalement des risques liés aux TCI pour remédier aux risques sans cesse croissants de violations.

Comprendre les conséquences de la non-conformité

« Face à la montée en puissance des cyberattaques, DORA s’est imposé comme un cadre de référence, conçu pour améliorer la position de cybersécurité des institutions financières dans l’Union européenne », ajoute Sean Tilley.

Si la plupart des géants du secteur financier opèrent déjà dans un environnement très réglementé et intègrent des mesures robustes de cyberrésilience dans leurs systèmes, les risques de non-conformité continuent de peser lourdement sur le secteur des services financiers. Une étude par Orange Cyberdefense a révélé que 43 % des organisations ne seraient pas conformes à DORA à l’issue du délai d’entrée en vigueur. Plus préoccupant encore, ce retard devrait être de trois mois en moyenne en raison de la complexité de la réglementation.

« DORA est entré en vigueur et impose un cadre strict, notamment pour la gestion des risques TIC, le signalement des incidents, les essais, le partage des informations sur les menaces et la gestion des risques externes, qui prévoit des pénalités substantielles en cas de non-application », rappelle Sean Tilley. « Les organisations doivent prévenir les autorités compétentes en cas d’incidents « majeurs » (définis selon l’impact sur les services essentiels) en seulement moins de quatre heures suite à la classification de l’incident comme majeur. Cette notification initiale doit être suivie par un rapport intermédiaire détaillé sous 72 heures à compter de la classification de l’événement comme incident majeur. DORA impose également aux entreprises de conserver des informations sur leurs contrats avec des prestataires informatiques dans un registre spécifique. »

La non-application de ces réglementations peut avoir des répercussions sévères. La loi des États membres de l’Union européenne prévoit des sanctions financières, pouvant s’élever à 2 % du chiffre d’affaires mondial quotidien sur un semestre ou des pénalités individuelles pouvant atteindre 1 million d’euros. Les prestataires de services TCI tiers jouant un rôle essentiel qui n’appliquent pas les dispositions de DORA s’exposent à des amendes encore plus lourdes, une interdiction d’exercer et, par conséquent, une atteinte à l’image de marque difficilement réparable.

Les autorités réglementaires peuvent limiter, voir suspendre les activités des sociétés financières non conformes jusqu’à ce qu’elles se mettent en règle. Les autorités compétentes ont également le droit de demander des enregistrements de transmission des données aux opérateurs de télécommunications en cas de suspicion raisonnable de violation. Des annonces publiques identifiant les personnes impliquées et la nature de la violation peuvent être également réalisées. Ces pénalités risquent d’avoir un impact financier encore plus significatif que les amendes seules. Il est aussi à noter que DORA introduit la notion de responsabilité individuelle des dirigeants en cas de non-conformité de leur entreprise, assortie d’une pénalité maximale de 1 million d’euros.

Appel à des stratégies robustes de conformité

Un exercice de signalisation des données mené par les autorités européennes de surveillance sur 1 039 sociétés de services financiers a révélé que seulement 6,5 % d’entre elles n’avaient aucune erreur de signalement. La majorité de ces erreurs pointaient un manque de précision et 84 % du total des erreurs résultaient de données manquantes dans les champs obligatoires, suivies par 6,5 % dues à des identifiants d’entité juridique (LEI) incorrects, ce qui montre l’étendue des défis de mise en conformité.

Par conséquent, les organisations doivent fournir des informations correctes pour éviter les erreurs de signalement et de qualité des données. Il est également essentiel que les organisations obtiennent un LEI pour leur permettre de participer au signalement des données.

« Les organisations qui ne disposent pas de stratégies de cybersécurité anticipatrices et complètes, et ne se conforment pas à DORA s’exposent à des conséquences significatives qui risquent de mettre en danger non seulement leurs opérations, mais aussi leur réputation et la confiance de leurs clients », explique Sean Tilley.

Marche à suivre

« Le cadre réglementaire DORA crée une approche structurée de la sécurité pour les entités financières et ses sous-traitants qui permet de gérer la résilience opérationnelle dans un contexte de plus en plus numérique », conclut Sean Tilley. « La collaboration avec des partenaires spécialisés dans la conformité peut aider les organisations à s’adapter à la complexité des règlements et transformer la conformité en véritable force opérationnelle. »

Compte tenu de l’évolution des menaces et des risques considérables en cas de non-conformité, les organisations doivent donner la priorité à la conformité à DORA tout en renforçant leurs frameworks de cybersécurité. Les enjeux sont considérables, mais les bonnes mesures créent un environnement d'exploitation plus résilient et sécurisé pour toutes les parties concernées.

