Digital Operational Resilience Act (DORA)
DORA – Formations
Qu’est-ce que la résilience opérationnelle numérique ?
La résilience opérationnelle numérique désigne la capacité d’une entité financière à construire, garantir et réévaluer l’intégrité et la fiabilité de ses opérations en s’assurant — directement ou indirectement via des prestataires tiers de services TIC — de disposer de l’ensemble des capacités nécessaires pour sécuriser ses réseaux et systèmes d’information. Cela permet d’assurer la continuité et la qualité des services financiers, même en cas de perturbations.
Le secteur financier repose fortement sur les technologies numériques, ce qui entraîne l’apparition continue de nouvelles cybermenaces. En réponse, l’Union européenne a adopté le règlement DORA (Digital Operational Resilience Act) afin de renforcer la résilience numérique du secteur financier.
Qu’est-ce que DORA ?
DORA est un règlement européen qui impose aux entités financières de pouvoir résister, répondre et se remettre de tout type d’incident, de risque ou de menace liés aux technologies de l’information et de la communication (TIC). Adopté par le Parlement européen et le Conseil de l’UE le 14 décembre 2022 (Règlement (UE) 2022/2554), DORA vise à harmoniser les exigences réglementaires en matière de gestion des risques TIC à travers l’Union européenne.
Il impose une approche proportionnée, tenant compte de la taille, du profil de risque et de la complexité des activités de chaque entité financière.
DORA définit cinq grands domaines d’obligations pour les entités financières :
Gestion des risques TIC : mise en place et maintien d’un cadre efficace pour identifier, classifier et réduire les risques liés aux systèmes d’information.
Gestion des incidents : adoption de processus efficaces pour gérer les incidents majeurs liés aux TIC, avec un cadre harmonisé de notification aux autorités de régulation, afin de faciliter la compréhension des menaces émergentes et les réponses coordonnées.
Tests de résilience opérationnelle : réalisation régulière de tests, y compris des évaluations de vulnérabilités et des tests d’intrusion, adaptés à la taille et au profil de risque de l’entité.
Gestion des risques liés aux tiers : DORA encadre la gestion des risques liés aux prestataires critiques (notamment cloud), afin de garantir leur fiabilité et la continuité des services.
Partage d’informations : encouragement au partage de renseignements sur les menaces cyber et autres informations utiles, pour renforcer la défense collective face aux risques numériques.
Pourquoi DORA est-il important ?
À partir du 17 janvier 2025, les entités financières devront impérativement être conformes à DORA. Le non-respect du règlement pourra entraîner des sanctions importantes, reflétant le sérieux avec lequel l’UE aborde la résilience numérique. Ces sanctions seront proportionnées à la gravité de l’infraction mais visent à avoir un effet dissuasif réel.
Les organisations doivent donc adapter en continu leur stratégie de résilience numérique pour faire face à l’évolution rapide des technologies et des menaces. Cette démarche implique une collaboration transversale entre les dirigeants, les équipes opérationnelles, les partenaires externes et les régulateurs.
Comment commencer ?
La formation PECB Certified DORA Lead Manager vous permettra d’acquérir les connaissances et les compétences nécessaires pour concevoir, mettre en œuvre et gérer un cadre de gestion des risques TIC conforme à DORA.
Les experts PECB vous accompagnent à chaque étape de votre parcours de certification pour vous offrir une expérience enrichissante et alignée avec les exigences réglementaires à venir.
