Depuis le 16 janvier 2023, le règlement DORA, avec la directive associée, renforce la sécurité des services financiers face à la transformation numérique et aux cyberattaques. My Data Solution vous guide à travers ce nouveau cadre réglementaire, favorisant l’Innovation tout en assurant la protection des consommateurs. Nous offrons notre expertise pour vous aider à naviguer dans ces changements, garantissant conformité et sécurité avec des standards harmonisés pour une résilience numérique optimale.
DORA couvre une large gamme d’acteurs du secteur financier, incluant les établissements de crédit, les entreprises d’investissement, et les prestataires de paiement, ainsi que les acteurs de l’assurance et de la réassurance. Il s’étend également aux fournisseurs de services TIC opérant dans les services financiers au sein de l’UE, assurant une gouvernance et une vigilance renforcées.
Parallèlement, la directive 2022/2556 devra être transposée par les États membres avant le 17 janvier 2025.
Il est crucial pour les entités financières et les prestataires de services TIC de se préparer sans attendre. Chez My Data Solution, nous vous aidons à comprendre et à intégrer ces nouvelles exigences, en évaluant leur impact opérationnel et stratégique sur votre organisation.
Nous transformons la gestion du risque informatique et cyber en une robuste résilience opérationnelle numérique. Le règlement DORA établit un cadre réglementaire crucial pour cela, obligeant les entités financières à garantir leur capacité à faire face, réagir et se rétablir après des perturbations opérationnelles significatives liées aux technologies de l’information et de la communication (TIC).
Le concept de résilience opérationnelle évolue, passant d’une gestion des risques centrée sur la prévention et la limitation des pertes à une stratégie proactive et globale. Cette stratégie part du principe que les incidents peuvent survenir à tout moment et prépare l’organisation à répondre efficacement pour maintenir la continuité des activités et des services essentiels.
Pour réussir, il est essentiel de comprendre en détail les opérations de l’entreprise et de son écosystème, afin d’identifier les risques et les menaces, mais aussi d’évaluer les niveaux de perturbation acceptables, tant pour l’organisation que pour le client. Cette approche renforce l’agilité et la réactivité de l’organisation, augmentant ainsi la confiance et la fidélité des clients.
Ainsi, DORA n’est pas seulement une exigence réglementaire pour les institutions financières, mais une opportunité de se distinguer sur le marché en améliorant leur résilience opérationnelle face risques informatiques, de cybersécurité, de continuité d’activité, et ceux liés aux niveaux.
Dans un monde où la technologie numérique est devenue omniprésente, les organisations telles que My Data Solution sont confrontées à des défis sans précédent en matière de résilience opérationnelle. La capacité à maintenir des opérations fluides et efficaces dans un environnement numérique en constante évolution est devenue essentielle pour garantir la continuité des activités et la sécurité des données. Pour encadrer cette résilience opérationnelle numérique, il est crucial de comprendre et de mettre en œuvre les cinq piliers fondamentaux qui sous-tendent cette démarche. Dans cette optique, cet article explorera en détail ces cinq piliers clés et leur importance pour My Data Solution.
Les entités financières doivent disposer d’un dispositif de gestion des risques liés aux TIC solide, complet et bien documenté, qui leur permet de parer à ces risques de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.
Intégré au dispositif global de gestion des risques, il s’appuie sur une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du dispositif. Il doit être amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi.
Au cœur du règlement DORA se trouve l’objectif crucial d’harmoniser la notification des incidents liés aux TIC. Ceci vise à permettre aux autorités de surveillance de réagir plus promptement aux cybermenaces, tout en offrant aux entités financières une meilleure compréhension de l’évolution du paysage des menaces. Dans le cadre de cette initiative, il incombe aux entités financières de concevoir et de mettre en œuvre un processus de gestion des incidents liés aux TIC, visant à détecter, gérer et signaler ces incidents.
Ces entités sont tenues d’enregistrer et de classifier tous les incidents TIC ainsi que les cybermenaces significatives conformément aux critères détaillés dans le règlement DORA, lesquels seront précisés par les autorités européennes de surveillance (AES), à savoir l’EBA, l’EIOPA et l’ESMA. Les incidents majeurs liés aux TIC doivent être communiqués aux membres de la Direction et à l’organe de direction, et être déclarés aux autorités compétentes dans des délais et selon un modèle standard défini par les AES. En outre, les entités financières peuvent également, de manière volontaire, rapporter les cybermenaces significatives.
Les entités financières, autres que les microentreprises, doivent établir, maintenir et réexaminer régulièrement un programme de tests de résilience opérationnelle numérique faisant partie intégrante du dispositif de gestion des risques liés aux TIC.
Le programme de tests de résilience numérique doit :
Les entités financières d’importance significative et cyber matures, désignées par les autorités compétentes, devront effectuer au moins tous les trois ans des tests avancés au moyen de tests de pénétration fondés sur la menace (« Threat-Led Penetration Testing » ou « TLPT »).
Le règlement DORA introduit une harmonisation des exigences existantes en matière de gestion des risques liés aux tiers prestataires de services TIC. Les entités financières doivent notamment :
Le règlement DORA introduit également un mécanisme de surveillance directe des prestataires de services TIC critiques par les AES au niveau de l’UE.
Le règlement DORA encourage vivement les entités financières à partager les renseignements et les informations sur les cybermenaces au sein de communautés d’entités financières de confiance. Cette démarche vise à sensibiliser aux cybermenaces et à soutenir les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation, de réponse et de rétablissement du secteur financier.
En conclusion, la gestion des risques liés aux technologies de l’information est devenue une priorité incontestable pour les entités financières. Le règlement DORA représente une avancée significative dans cette direction, en introduisant des normes et des procédures harmonisées visant à renforcer la résilience opérationnelle numérique dans le secteur financier européen. À travers ses différentes dispositions, le règlement incite les entités financières à mettre en place des programmes de tests de résilience, à harmoniser les exigences relatives aux tiers prestataires de services TIC, et à promouvoir le partage d’informations sur les cybermenaces au sein de communautés d’entités financières de confiance. En adoptant ces mesures, les entités financières pourront mieux anticiper, détecter et répondre aux menaces émergentes, renforçant ainsi la sécurité et la stabilité du secteur financier dans un environnement numérique en constante évolution.
La conformité RGPD ne doit pas être une contrainte pour votre organisation, mais une occasion de montrer votre engagement envers la sécurité des données. Notre service de DPO externe est conçu pour optimiser le processus de mise en conformité, en apportant notre expertise pour assurer la protection de vos données à caractère personnel. Ainsi, vous pouvez vous concentrer sur votre cœur de métier tout en bénéficiant de la confiance accrue de vos clients et partenaires.
Le règlement DORA vise à harmoniser les exigences existantes en matière de gestion des risques associés aux fournisseurs de services TIC externes. Parmi les obligations imposées aux entités financières, celles-ci doivent établir une stratégie concernant les risques liés aux tiers prestataires de services informatiques.
L’objectif de DORA est explicitement défini dans son considérant 105, un préambule qui précède le texte de loi et expose ses motivations : « atteindre un niveau élevé de résilience opérationnelle numérique pour toutes les entités financières réglementées ». Mais concrètement, qu’entend-on par « résilience opérationnelle numérique » ? Selon le texte même de DORA, cela se réfère à : “la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations” – DORA, Article 3(1)
Le Règlement sur la résilience opérationnelle du numérique concerne 21 types d’entités. Les voici comme décrites dans l’Article 2 :
Sont exclus du champ d’application de DORA :
A noter que les États membres peuvent choisir d’exclure du scope de DORA certaines entités nationales de crédit ou d’investissement très spécifiques, telles que visées à l’Article 2(5) de la directive 2013/36/UE. En France par exemple, l’Etat pourrait choisir d’épargner la Caisse des dépôts et consignations.
Le RGPD, Règlement Général sur la Protection des Données, est une réglementation de l’Union Européenne qui vise à protéger les données personnelles des individus. Il concerne également le secteur bancaire et financier, car les institutions collectent et traitent fréquemment des données sensibles de leurs clients, telles que les informations bancaires et les détails de cartes de crédit.
En cas de violation du RGPD, les entreprises du secteur Banque – Finance peuvent faire face à des amendes pouvant atteindre 4 % de leur chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le montant le plus élevé. En plus des amendes, les violations peuvent entraîner une perte de confiance des clients et nuire gravement à la réputation de l’entreprise.
Les principales étapes pour se conformer au RGPD comprennent : réaliser une évaluation des données, mettre en place des politiques de protection des données, obtenir le consentement éclairé des individus, renforcer la sécurité des données, sensibiliser les employés et mettre en place un processus de gestion des droits des personnes concernées.
Pour obtenir un consentement valide, assurez-vous que votre demande de consentement soit claire, compréhensible et spécifique à chaque finalité de traitement. Les clients doivent donner leur consentement de manière libre, éclairée et sans pression. Vous devez également informer les clients de leur droit de retirer leur consentement à tout moment.
Les mesures de sécurité comprennent l’utilisation de techniques de cryptage pour protéger les données, l’accès restreint aux données sensibles, la mise en œuvre de contrôles d’accès, la sensibilisation des employés à la sécurité des données et la réalisation d’audits réguliers pour évaluer l’efficacité des mesures.
My Data Solution offre une gamme de services personnalisés pour vous aider à atteindre la conformité RGPD. Nous réalisons des évaluations de conformité, développons des plans d’action sur mesure, formons votre personnel aux bonnes pratiques, gérons les droits des individus et effectuons des audits réguliers pour assurer une conformité continue.
La conformité RGPD renforce la confiance de vos clients en montrant votre engagement envers la protection de leurs données. Cela vous permet d’éviter des amendes coûteuses pour non-conformité, protège votre réputation et vous donne un avantage concurrentiel en attirant des clients soucieux de leur vie privée.
🇫🇷 My Data Solution est hébergé, conçu et développé en France
