• ghitaouadifi

Résilience opérationnelle numérique des acteurs du service financier

Le 24 septembre 2020, le « digital financial package » a été adopté par la Commission européenne afin de rendre le secteur financier européen plus compétitif. Plusieurs projets de règlementation ont été proposés et en particulier le projet de règlement sur la résilience opérationnelle numérique des acteurs financiers (ou règlement DORA).

Le Règlement ayant pour objectif de renforcer la cybersécurité de l’ensemble du secteur financier, il a vocation à s’appliquer à l’ensemble des acteurs financiers et notamment aux :

  • établissement de crédit et de paiement

  • entreprises et gestionnaires de fonds d’investissements

  • plateformes de négociations, les sociétés de gestions

  • prestataires de services de communication de données

  • entreprises et intermédiaires d’assurance et de réassurance

  • institutions de retraite professionnelles

  • prestataires de services de financement participatif

  • les tiers prestataires de services informatiques

  • commissaire aux compte, cabinets d’audit, etc..


Le Règlement s’organise autour de quatre axes :



1er Axe : Gouvernance et gestion des risques


L’organe de direction sera responsable de la gestion des risques informatiques. Cette responsabilité se décline en une série d’exigences spécifiques telles que :

  • L’attribution de rôles et de responsabilités clairs pour toutes les fonctions liées à l’informatique

  • Un engagement continu dans le contrôle du suivi de la gestion des risques informatiques, dans les processus d’approbation et de contrôle

  • Une répartition appropriée des investissements et des formations dans le domaine informatique.

De fait, afin de mieux gérer les risques informatiques, les acteurs financiers devront mettre en place :

  • Une cartographie des risques

  • Des mécanismes de détection des activités anormales (seuils d’alerte, critères de déclanchement des processus de détection des incidents, mise en place d’un SOC)

  • Des politiques de sauvegarde, de méthodes de récupération et de politiques de continuité d’activité

  • Une stratégie de réponse aux incidents et de rétablissement afin de garantir la continuité des activités et définir des mesures et plan de communication en cas de crise

  • Des programmes de sensibilisation et de formation

Le cadre de gouvernance de résilience numérique devra être testé et audité, puis révisé au moins une fois par an.



2ème Axe : La notification des incidents


Les acteurs financiers auront l’obligation de notifier les incidents de sécurité auprès d’un guichet unique. Cette obligation nécessite de mettre en place au sein des organismes une procédure de notification des incidents.

Les utilisateurs et clients touchés par les incidents devront également être informés des mesures prises pour atténuer les effets négatifs de cet incident.



3eme Axe : les tests de résilience


Le Règlement prévoit des exigences en matière de tests de résilience opérationnelle numérique en fonction de la taille, de l’activité et du profil de risque des entités financières.


Renforcement de la sécurité des systèmes :

  • tests de résilience opérationnelle numérique (évaluation, tests) au moins une fois par an

  • tests d’intrusion avancés fondés sur la menace tous les trois ans

Le Règlement énonce également les exigences applicables aux testeurs et à la reconnaissance des résultats des tests d’intrusion fondés sur la menace dans l’ensemble de l’Union européenne pour les entités financières exerçant leur activité dans plusieurs États membres.



4eme axe : Les relations avec des tiers


Prérequis à la conclusion de contrats sur la fourniture et l’utilisation de services informatiques :

  • Identification et évaluation des risques

  • Vérification des qualités requises du tiers prestataires tout au long du processus de sélection et d’évaluation

  • Respect par le fournisseur d’exigences adéquates et actualisées en matière de sécurité de l’information

Ce contrôle des prestataires et sous-traitants devra être également être assuré régulièrement tout au long de la relation commerciale.


De fait, les acteurs financiers devront choisir leur prestataires et sous-traitants :

  • En prenant en compte la criticité ou l’importance du service, du processus ou de la fonction en question

  • En prenant en compte les risques potentiels sur la continuité et la qualité des services et activités financiers au niveau individuel et au niveau du groupe


Par ailleurs, le Règlement impose la rédaction d’un registre d’information en rapport avec tous les accords contractuels portant sur l’utilisation de services informatiques fournis par des tiers prestataires des services informatiques. Les entités financières devront communiquer au moins une fois par an aux entités compétentes des informations sur le nombre de nouveaux accords relatifs à l’utilisation de services informatiques, les catégories de tiers prestataires de services informatiques, le type d’accords contractuels et les services fournis.



Le Règlement est actuellement en relecture auprès des autorités compétentes françaises pour discussion sur des points opérationnels, notamment la parution et l’application des guides explicatifs. Le Règlement devrait être adopté courant 2022.

184 vues0 commentaire